香港新闻网6月29日电  临近暑假，不少市民正计划外游，预订机票及酒店。香港网络安全事故协调中心（HKCERT）呼吁公众提高警觉，慎防骗徒在旅游旺季发动与预订行程相关的钓鱼攻击。

暑假外游期间，慎防针对旅游预订平台及即时通讯软件的钓鱼及诈骗。（AI生成图片）

近期， HKCERT发现有骗徒疑似利用早前Booking.com资料外泄事故中流出的真实订房资料，冒充该平台或酒店，向旅客发送钓鱼电邮及WhatsApp讯息；同时亦接获WhatsApp帐户被骑劫的个案。骗徒或会设立假冒WhatsApp官方网站的钓鱼页面，诱骗用户将帐户连结至不法装置，甚至利用系统旧漏洞，入侵旧版本的作业系统及WhatsApp应用程式，从而骑劫用户帐户。

Booking.com外泄资料被用作精准钓鱼攻击

HKCERT早前已就同类手法发出警报，提醒公众提防冒充Booking.com及酒店预订通知的钓鱼讯息。骗徒利用疑似早前外泄的真实订房资料，向旅客发送极度逼真的电邮或WhatsApp讯息，声称预订出现问题、付款授权失败，或要求用户在限时内更新付款资料，否则预订将被取消。

由于有关讯息可能包含旅客的真实姓名、酒店名称、入住日期或行程资料，容易令受害人信以为真，并点击连结进入假冒登入页面、付款页面或验证页面，输入帐户密码、信用卡资料、一次性密码等敏感资讯，最终导致金钱损失或个人资料外泄。

假冒Booking.com的钓鱼网站，声称用户需输入信用卡资料以进行预订。

假冒网上旅游预订平台的钓鱼网站页面。

假冒WhatsApp的钓鱼网站页面。

HKCERT建议用户尽快更新系统及WhatsApp至最新版本，并启用WhatsApp的两步验证功能，并留意帐户是否出现异常活动。详情请参考HKCERT保安公告：https://www.hkcert.org/tc/security-bulletin/whatsapp-security-restriction-bypass-vulnerability_20250901

骗徒利用真实资料及紧急情境 降低受害人戒心

近期的钓鱼攻击或会利用真实资料（如用户姓名、酒店名称、入住日期等）提高可信度，并配合“帐户已被锁定”、“付款失败”、“若不即时处理将取消预订”等紧急字眼，迫使用户在未有充分核实下仓促行动。此类攻击不限于电邮，骗徒亦会透过WhatsApp或其他即时通讯平台发送讯息，并引导事主进入假网站，输入信用卡资料、一次性密码，甚至操作帐户的安全功能，手法更具迷惑性。

HKCERT提醒，每逢FIFA世界杯等重大体育赛事，骗徒亦会乘机发动钓鱼攻击，例如设立假冒售票网站，在社交媒体上发布，或假借官方名义发送讯息，以“限时折扣”、“内部票源”、“免费或平价观看直播”等作招徕，引导用户点击钓鱼连结、付款或安装假冒应用程式，从而窃取包括信用卡在内的个人及财务资料。

为确保市民在暑假外游时玩得安心，同时保障个人资料、财务及帐户安全，HKCERT建议市民采取以下保安措施：

＊ 收到与旅游预订、付款或帐户安全相关的通知时，应直接透过官方应用程式或手动输入官方网址查核，切勿直接点击讯息内附连结；

＊ 仔细核实寄件人电邮地址及完整网址。即使讯息包含真实行程资料，亦不应贸然信以为真，应透过官方渠道再次确认；

＊ 切勿在可疑网站输入帐户密码、信用卡资料、一次性密码或其他敏感个人资料；

＊ 只从官方来源下载应用程式，切勿安装来历不明的应用程式；

＊ 定期将手机及其他流动装置的作业系统及应用程式更新至最新版本，并启用自动更新功能；

＊ 不要相信声称WhatsApp帐户被锁定并要求点击连结验证或解锁的讯息；

＊ 切勿扫描来历不明的QR Code，亦不要按照陌生网站指示，在WhatsApp的“已连结装置”功能中连结任何装置；

＊ 定期检查WhatsApp已连结装置清单，若发现不明装置应立即移除；

＊ 启用强密码及多重认证，并为WhatsApp启用两步验证，以加强帐户保护；

＊ 定期检查银行帐户及信用卡交易纪录，并开启交易提示，以便及早发现未经授权交易；

＊ 如亲友透过即时通讯软件发出不寻常要求（如借钱、索取验证码或要求点击连结），应先透过其他方式核实对方身份。

若市民怀疑曾在可疑网站提交个人资料、帐户凭证或信用卡资料，或怀疑WhatsApp帐户被骑劫，应尽快采取以下行动：

＊ 立即停止与骗徒联络，切勿再提供任何个人、帐户或财务资料；

＊ 立即更改相关平台帐户密码，以及其他使用相同或相似密码的帐户；

＊ 立即联络相关银行或信用卡发卡机构，通报事件并要求采取保护措施；

＊ 检查WhatsApp的“已连结装置”，移除任何不明装置，并启用或重设两步验证；

＊ 通知亲友及联络人帐户可能已被入侵，以防骗徒冒充其身份进行诈骗；

＊ 保留相关证据（如可疑电邮、讯息截图、网址、网站画面及交易纪录），以便跟进及举报。（完）