钓鱼诈骗│警方3个月内接近千宗钓鱼SMS骗案 涉款逾1000万元 多涉及积分奖赏
2023-03-14 10:35 
钓鱼短讯近年肆虐本港,过去两年曾出现假冒银行、电子支付工具、邮递服务、网上商店的诈骗SMS讯息。2022年12月,诈骗集团开始把「版图」延伸至多家电讯服务供应商及连锁零售商店的会员奬赏计划,每隔数天至数星期便有机构被伪冒。如此换汤不换药的手法,为何仍能「骗到众生」?
巧立名目 几可乱真
近期假冒奬赏计划的钓鱼短讯,声称收讯人的积分快将到期、收件人因不当获取积分而其帐户被限制使用等,诱骗他们到假网站留低登入资料及信用卡资料,继而盗用积分换取礼品或疯狂刷卡购物。由去年底至今,警方已接报近千宗钓鱼SMS骗案,大部分涉及积分奖赏钓鱼诈骗 [注:即与HKT The Club、中国移动MyLink、数码通和yuu有关] ,涉款超过港币$1000万元,当中最大损失案件受害人的信用卡被盗用高达62万元。钓鱼短讯难以识破主要有两大盲点:
盲点一:随意自订发讯人名称
部分钓鱼短讯的发讯人名字与真实机构相同,看似神乎奇技。然而,这是因为SMS短讯制式容许应用程式对个人(Application-to-Person) 传送的SMS自订最多11位英文字母的显示号码(即「自订发送者号码」),并隐藏发讯者电话号码。在没有电话号码作对比下,手机系统会把同名发送者认作同一发送人,因此真假SMS会被放在同一个文件夹,令人难以辨认发送来源。有不少骗徒均透过境外电讯服务供应商发送SMS到本地进行诈骗,绕过刚生效的电话卡实名制度。
盲点二:网页设计像真度高
从手机浏览,假网站的版面跟真网站版面极为相似,单凭肉眼不易分辨,网址甚至用HTTPS开首,予人安全感觉。「HTTPS」的「S」虽然代表Secure(安全),但只代表该通讯被加密,并不等于网站无欺诈成份。不少骗徒建立假网站时,都会从网页寄存公司付数美元购买一张SSL证书,为网站设置加密传输,令假网站更像真。
犯案成本低 容易模仿
本月初,警方拘捕8名男女(22至52岁)涉及35宗假冒电讯商的钓鱼骗案,涉款约67万元,检获涉案名贵服饰及电子产品。警方相信被捕的集团主脑及骨干成员负责发放钓鱼讯息,并在骗取市民资料后,安排「车手」四出购买属易转手的货物。
「钓鱼短讯只是一种手法,骗徒还可用作不同骗案。」警方网络安全及科技罪案调查科警司陈纯青解释,「例如年初有骗徒假冒证券买卖平台,短讯声称有「用户信息」要核实,要求受害人透过附上的WhatsApp连结联络所谓「专员」。有关「专员」以进行问卷调查为名,邀请受害人加入投资交流群组,继而游说他们参与不存在的投资计划。
另外也有短讯邀约色情约会,诱骗受害人到假约会平台付费登记以寻找约会对象,本月初一名男子因而堕入援交陷阱导致损失过千万。」
据悉,警方正与通讯事务办公室、香港银行公会和和主要电讯服务营运商研究订立发送者号码注册制度以过滤钓鱼SMS短讯以及拦截诈骗网站,以完善通讯及网络系统等方式堵截漏洞。
识破钓鱼陷阱 靠见微知著
钓鱼短讯内嵌连结的网址与机构官方网址的串法并不相同。只要稍加留意,并不难发现有异。进入假网站后,假如未能转换语言、发现部分按钮或连结失效、输入不正确的信用卡资料也能顺利「过版」,该网站便很大机会是钓鱼网站。
陈纯青提醒市民,如怀疑讯息真伪,可向官方机构查询,或在警方守网者网站(CyberDefender.hk)「防骗视伏器」或最近推出的手机版应用程式「防骗视伏App」输入可疑网址、电话号码等,便可即时评估诈骗风险。就算市民输入「The Club」或「yuu」等常被骗徒假冒的机构名称,搜寻结果也会显示橙色代表「疑似有伏」,这个设计的原意是提醒市民进一步查证网址等,以准确评估诈骗风险。
---
《星岛申诉王》于3月1日隆重登场,节目为民请命抱不平、追踪城中热话,亦会搜罗温情小故事。你申诉,我跟进,搵91999933,《星岛申诉王》随时候命!
立即报料: https://bit.ly/3IMunqd
你的独家报料一旦被采用及报导,将获得乙份奖品。
《星岛头条》APP经已推出最新版本,请立即更新,浏览更精彩内容:https://bit.ly/3yLrgYZ
最新回应