科技應用普及,騙徒利用各種平台進行詐騙,人人都有可能墮入釣魚詐騙陷阱。據生產力局網絡安全及數碼轉型部總經理兼 HKCERT 發言人陳仲文工程師表示,今年第一季發生的保安事故宗數按年就增長了 67%,而被發現涉及網絡釣魚的網址亦按年增長 23%。當中釣魚詐騙更在 AI 迅速發展下急升。香港網絡安全事故協調中心 HKCERT 今日就向傳媒介紹最新網絡詐騙手法,並提醒市民 6 月 15 日推出的電子交通告票平台可能會被騙徒作為詐騙幌子。
【相關文章】月中推出或成詐騙新幌子 電子告票防騙攻略:https://www.pcmarket.com.hk/ett-expected-to-become-a-new-front-for-fraud/
生成 AI 提升詐騙訊息像真度
據 HKCERT 的資料,網絡釣魚個案由 2023 年 3,752 宗,急增至 2024 年 7,811 宗。陳仲文指出 2023 年生成式 AI 推出,騙徒在 2024 年開始利用各種 AI 工具來製作質素更高的詐騙訊息,甚至利用生成影像技術透過 Zoom 即時視像來進行詐騙,無論攻擊的頻率,攻擊的成效都急速提升,市民更容易墮入陷阱。
扮追騙款二次詐騙 苦主聯盟或是詐騙陷阱
HKCERT 介紹了兩種近期流行的釣魚詐騙手法,其中一種是假意幫助詐騙受害者討回騙款進行二次詐騙。
騙徒會利用過往被騙款的受害人資料,假扮成其中一個受害者組成苦主聯盟群組聯絡目標對象。陳仲文指這類群組的發起人可能就是最初行騙的人,他們手上早已有受害者的名單和損失金額等資料,表示對目標對象受騙感到同情,博取信任,並聲稱曾得到某權威機構幫助討回騙款,誘騙目標對象主動聯絡該偽冒的權威機構求助,從而騙取目標對象的身份證明文件,或要求繳付保證金來取回騙款等。
HKCERT 本身亦是其中一間曾被騙徒假冒的機構,他們提醒市民該中心並沒有開設 WhatsApp 帳號,亦不會要求市民提供身份證、銀行戶口等敏感個人資料。
三招偵測 WhatsApp 騎劫
另一宗個案是騙徒冒充 WhatsApp 客服,訛稱目標對象長期未有進行安全認證,要目標對象在 WhatsApp 輸入他們指定的代碼,從而獲得目標對象 WhatsApp 帳戶的控制權,從而在受害者的過往訊息中取得個人資料,或者取得受害者親朋戚友的聯絡進行詐騙。
HKCERT 提出幾個預防 WhatsApp 被騎劫的方法:
- 應留意 WhatsApp 官方帳戶都會有「藍剔」認證,該帳戶亦沒有對話功能,不會要求用戶分享個人資料;
- 定期檢查 WhatsApp 的連結裝置,如發現不明裝置,應該立即點選登出;
- 騙徒會將與你的聯絡人的對話封存起來減低被發現的風險。應定期檢查封存項目,如有不明對話紀錄,就要提醒親友警惕。
利用熱門話題作詐騙
除了以上手法外,陳仲文亦指出騙徒會利用熱門話題來吸引受害者,或用來建立釣魚網站,例如旅遊或北上消費。早前國產人工智能模型 DeepSeek 推出,坊間隨即出現一系列名稱與 DeepSeek 相似的網站。陳仲文呼籲市民應該留意新服務的網站資訊和域名串法以分辨真偽。
海外旅行收鎖卡短訊 假基站發送帶 # 訊息
最近有報道指騙徒利用流動基站騎劫附近範圍的基站訊號,並向周圍的手機發送帶有 # 號的短訊進行釣魚詐騙。在日本亦有報道指在渋谷等旅遊熱點出現同類假基站,針對中國旅客發送信用卡被鎖不能使用的訊息,要求受害者點擊連結重新擊活,從而騙取信用卡資料。旅客身處異地,擔心信用卡被鎖影響行程,所以較容易上當。
不過,陳仲文認為這種攻擊手法比較複雜,而且受害者的手機會短暫從 4G、5G 降級成 2G 或 3G,大家應留意是否在手機訊號接收出現異常時收到這類短訊,可防止誤墮陷阱。
避免受騙有方法
HKCERT 向市民提出幾項預防受騙的建議:
- 對所有可疑的付款要求、電郵或訊息保持警覺。有懷疑應透過官方渠道直接核實。
- 提升網絡安全意識,了解最新騙案手法及預防方法;
- 遇到事件時切勿衝動,多與身邊人商量;
- 應安裝防毒軟件;
- 使用《防騙視伏器》檢查可疑電郵地址、網址及 IP 地址,識別網絡陷阱,或致電警務處反詐騙協調中心「防騙易 18222」尋求協助。
HKCERT 在記者會上亦有介紹與 6 月 15 日推出的「電子交通告票平台」相關的防騙方法,有關預計屆時會出現的詐騙手法和分辨真假電子告票的方法,請參閱以下文章。
