香港網絡安全事故協調中心(HKCERT)呼籲公眾提高警覺,慎防騙徒發動與預訂行程相關的釣魚攻擊。中心發現有騙徒疑似利用資料外洩事故中流出的真實訂房資料,冒充網上旅遊預訂平台或酒店,向旅客發送釣魚電郵及 WhatsApp 訊息。騙徒利用真實外洩資料,向旅客發送極度逼真的訊息,聲稱預訂出現問題、付款授權失敗,或要求用戶在限時內更新付款資料。由於有關訊息可能包含旅客的真實姓名、酒店名稱、入住日期或行程資料,容易令受害人信以為真,並點擊連結進入假冒頁面,輸入帳戶密碼、信用卡資料及 1 次性密碼等敏感資訊,最終導致金錢損失或個人資料外洩。
除旅遊預訂相關騙案外,中心亦接獲多宗涉及 WhatsApp 帳戶被盜用的個案。騙徒會發送訊息,訛稱用戶的帳戶因安全風險而被鎖定,誘使他們點擊釣魚連結進行驗證,或設立高度仿真的官方網站。當事主進入釣魚網站並使用已連結裝置功能掃描二維碼或輸入驗證碼後,其帳戶便會被控制。海外研究更指出,部分手機用戶即使未曾點擊可疑連結或掃描二維碼,帳戶仍可能因作業系統與應用程式的已知舊漏洞被利用,而在毋須用戶互動的情況下被騎劫。這反映帳戶被盜用未必是用戶誤信釣魚網站,使用較舊系統版本的裝置同樣存在極大安全風險。騙徒亦會乘機針對重大體育賽事發動攻擊,設立假冒售票網站以竊取財務資料。
為保障個人資料及財務安全,香港網絡安全事故協調中心建議市民收到相關通知時,應直接透過官方應用程式查核,切勿直接點擊訊息內附連結。市民應定期將流動裝置的作業系統及應用程式更新至最新版本,並為通訊軟件啟用 2 步驗證功能。若懷疑曾在可疑網站提交個人資料或帳戶被騎劫,市民應立即停止與騙徒聯絡,更改相關平台帳戶密碼,並聯絡銀行或發卡機構通報事件。同時,用戶應檢查通訊軟件的已連結裝置清單,移除任何不明裝置,並保留相關可疑訊息與網址截圖,以便後續跟進及向執法機構舉報。
