香港新闻网6月29日电 临近暑假,不少市民正计划外游,预订机票及酒店。香港网络安全事故协调中心(HKCERT)呼吁公众提高警觉,慎防骗徒在旅游旺季发动与预订行程相关的钓鱼攻击。

暑假外游期间,慎防针对旅游预订平台及即时通讯软件的钓鱼及诈骗。(AI生成图片)
近期, HKCERT发现有骗徒疑似利用早前Booking.com资料外泄事故中流出的真实订房资料,冒充该平台或酒店,向旅客发送钓鱼电邮及WhatsApp讯息;同时亦接获WhatsApp帐户被骑劫的个案。骗徒或会设立假冒WhatsApp官方网站的钓鱼页面,诱骗用户将帐户连结至不法装置,甚至利用系统旧漏洞,入侵旧版本的作业系统及WhatsApp应用程式,从而骑劫用户帐户。
Booking.com外泄资料被用作精准钓鱼攻击
HKCERT早前已就同类手法发出警报,提醒公众提防冒充Booking.com及酒店预订通知的钓鱼讯息。骗徒利用疑似早前外泄的真实订房资料,向旅客发送极度逼真的电邮或WhatsApp讯息,声称预订出现问题、付款授权失败,或要求用户在限时内更新付款资料,否则预订将被取消。
由于有关讯息可能包含旅客的真实姓名、酒店名称、入住日期或行程资料,容易令受害人信以为真,并点击连结进入假冒登入页面、付款页面或验证页面,输入帐户密码、信用卡资料、一次性密码等敏感资讯,最终导致金钱损失或个人资料外泄。

假冒Booking.com的钓鱼网站,声称用户需输入信用卡资料以进行预订。


假冒网上旅游预订平台的钓鱼网站页面。

假冒WhatsApp的钓鱼网站页面。
HKCERT建议用户尽快更新系统及WhatsApp至最新版本,并启用WhatsApp的两步验证功能,并留意帐户是否出现异常活动。详情请参考HKCERT保安公告:https://www.hkcert.org/tc/security-bulletin/whatsapp-security-restriction-bypass-vulnerability_20250901
骗徒利用真实资料及紧急情境 降低受害人戒心
近期的钓鱼攻击或会利用真实资料(如用户姓名、酒店名称、入住日期等)提高可信度,并配合“帐户已被锁定”、“付款失败”、“若不即时处理将取消预订”等紧急字眼,迫使用户在未有充分核实下仓促行动。此类攻击不限于电邮,骗徒亦会透过WhatsApp或其他即时通讯平台发送讯息,并引导事主进入假网站,输入信用卡资料、一次性密码,甚至操作帐户的安全功能,手法更具迷惑性。
HKCERT提醒,每逢FIFA世界杯等重大体育赛事,骗徒亦会乘机发动钓鱼攻击,例如设立假冒售票网站,在社交媒体上发布,或假借官方名义发送讯息,以“限时折扣”、“内部票源”、“免费或平价观看直播”等作招徕,引导用户点击钓鱼连结、付款或安装假冒应用程式,从而窃取包括信用卡在内的个人及财务资料。
为确保市民在暑假外游时玩得安心,同时保障个人资料、财务及帐户安全,HKCERT建议市民采取以下保安措施:
* 收到与旅游预订、付款或帐户安全相关的通知时,应直接透过官方应用程式或手动输入官方网址查核,切勿直接点击讯息内附连结;
* 仔细核实寄件人电邮地址及完整网址。即使讯息包含真实行程资料,亦不应贸然信以为真,应透过官方渠道再次确认;
* 切勿在可疑网站输入帐户密码、信用卡资料、一次性密码或其他敏感个人资料;
* 只从官方来源下载应用程式,切勿安装来历不明的应用程式;
* 定期将手机及其他流动装置的作业系统及应用程式更新至最新版本,并启用自动更新功能;
* 不要相信声称WhatsApp帐户被锁定并要求点击连结验证或解锁的讯息;
* 切勿扫描来历不明的QR Code,亦不要按照陌生网站指示,在WhatsApp的“已连结装置”功能中连结任何装置;
* 定期检查WhatsApp已连结装置清单,若发现不明装置应立即移除;
* 启用强密码及多重认证,并为WhatsApp启用两步验证,以加强帐户保护;
* 定期检查银行帐户及信用卡交易纪录,并开启交易提示,以便及早发现未经授权交易;
* 如亲友透过即时通讯软件发出不寻常要求(如借钱、索取验证码或要求点击连结),应先透过其他方式核实对方身份。
若市民怀疑曾在可疑网站提交个人资料、帐户凭证或信用卡资料,或怀疑WhatsApp帐户被骑劫,应尽快采取以下行动:
* 立即停止与骗徒联络,切勿再提供任何个人、帐户或财务资料;
* 立即更改相关平台帐户密码,以及其他使用相同或相似密码的帐户;
* 立即联络相关银行或信用卡发卡机构,通报事件并要求采取保护措施;
* 检查WhatsApp的“已连结装置”,移除任何不明装置,并启用或重设两步验证;
* 通知亲友及联络人帐户可能已被入侵,以防骗徒冒充其身份进行诈骗;
* 保留相关证据(如可疑电邮、讯息截图、网址、网站画面及交易纪录),以便跟进及举报。(完)