「釣魚短訊」(phishing)是騙案的一種，騙徒會發出虛假短訊，誘使受害人登入虛假網站，藉此將惡意軟件植入事主的流動裝置內，盜取他們的銀行資料及密碼。

釣魚短訊騙案手法日新月異，騙徒不時轉換假冒對象。其中假冒電子支付平台的案件去年5月首次出現後，警方在一年內就已錄得逾400宗相關個案，損失金額達480萬元。今年首5個月，亦有近200宗假冒郵遞服務公司的釣魚短訊騙案，事主合共損失610萬元，案件宗數及損失金額均較對上一年高。

受害人誤以為包裹有問題　遭假網站盜取個人資料

本集《防騙專家》分享的個案，涉及12月一宗釣魚短訊騙案。事主陳先生(化名)當時收到騙徒假冒速遞公司發出的短訊，聲稱他有一個由外國寄來香港的郵包有問題。

「短訊中有一個網址，要求我按指示去做。因為我在那段時間曾上網訂購東西，所以不以為然，以為自己的訂單出問題，於是登入了該網站。裡面要求我補回差價，折合大約10港元，又要求我輸入信用卡資料和密碼，於是我輸入了信用卡資料。」

大約一小時後，陳先生收到銀行發出的訊息，指他在外國網站刷了一筆上萬元的帳單，他就發現自己受騙。「我愣了一下，立即致電銀行查詢。銀行指我在外國網站刷了筆數，我向對方指沒有，銀行反問我詳情，指我有機會受騙，叫我快點報警，又指幫我停用該信用卡。」

陳先生指，由於騙徒誘使輸入信用卡資料和密碼涉及的金額太小，令他降低戒心，又指回想過來，覺得該虛假網站有點簡陋，「上面有速遞公司的名稱，登入網站後亦看到速遞公司的標誌。顯示的電話號碼很長，像是外國號碼，我以為真的是速遞公司，於是就相信了」。

網絡安全專家：釣魚短訊內容粗疏

香港互聯網註冊管理公司網絡安全經理林嘉棋(Arktos)分析指，很多市民日常生活使用的服務，例如速遞、醫院或政府服務，都會以短訊發放資訊；如果騙徒用短訊行騙，接收者一不留神就很容易墮入陷阱。

「現時很多商店轉型，在網上已經可以消費，相對方便了，但其實要核實社交媒體的商店真偽，對一般市民來說難度十分高，所以多了市民會容易墮入陷阱。」

Arktos又指，釣魚短訊內容及行騙手法粗糙空泛，如果市民本身並沒有使用相關服務，可以直接無視短訊內容；亦可透過電話號碼前的「+」號，識別海外電話號碼，即是如果來電或短訊的電話號碼，前方有「+852」標記，就很大機會是騙徒將海外號碼假扮成本地號碼。

釣魚騙案並無既定目標年齡群

Arktos表示，近年越來越多青少年擁有手機，騙徒一般不會選擇特定年齡的行騙對象。「現時小朋友的手機內，都可能有家長的信用卡資料，甚至從小朋友口中套取他們家人的資料，比直接騙一個成人更容易。」

他指，香港互聯網註冊管理公司，聯同政府資訊科技總監辦公室開設的「網絡安全資訊共享夥伴計劃」(Cybersec Infohub)，可以提供最新的防騙資料。他又提醒懷疑收到釣魚短訊的市民，「千萬不要發送給自己的朋友，亦不應發送到公眾地方，詢問到底是否詐騙電郵。因為再發送出去的話，會幫助騙徒將有問題的短訊再散播出去，如果收到的人沒為意，按下釣魚連結的話，就變相幫助了騙徒」。

警方：騙徒漁翁撒網　或會在網址「做手腳」

警方網罪科網絡安全組協作隊高級督察楊栢灝(Paul)表示，釣魚短訊攻擊的騙徒，主要會利用漁翁撒網方式，發出包含釣魚網址的短訊給普通市民，假扮成速遞公司、網上付款服務商、政府部門或銀行等。

「這些有問題的連結，通常都會帶受害人去仿真度很高的假網頁，誘使他們自願登記帳戶個人資料，以及其他敏感資料。騙徒其後就可以用這些資料，進行更多犯罪行為。」

Paul指，部份虛假網站的連結仿真度相當高，騙徒可能會將原本網址內的數字「0」變成字母「O」，或將數字「1」換成字母「l」。他提醒市民，可留意網站設計是否過於簡陋，例如只得外殼，根本按不到其他鍵或功能，建議市民嘗試轉換網站的字型大小或切換語言，如果未能轉換，都很有可能是假網頁。他又說，以「https」為開首的網址不一定是真實，只代表該網站已被加密，

釣魚短訊騙案騙徒　配合語音通過行騙

Paul表示，近期騙徒除了發短訊，亦會假冒銀行職員致電受害人，聲稱對方的電子支付帳戶有問題，或者以其他方式，例如以協助登記消費券為名，要求受害人提供一次性密碼，聲稱協助跟進個案。而騙徒取得一次性密碼或帳戶號碼後，就會立即用以進行其他犯罪行為，將帳戶內的錢轉走。

他又說，警方「守網者」平台設有「網絡釣魚詐騙搜尋器」，可供市民查核短訊中的網址真偽；而公司或家居網絡亦應安裝防毒或防惡意軟件工具、開啟防火牆、設置高強度密碼，以及使用一次性密碼等雙重驗證方式，處理比較敏感的資訊。

警方指，如果市民收到個人資料或轉賬的指令，應透過其他方法，包括致電相關公司或單位辦公室，甚至透過官方客戶服務熱線，核實相關指令的真確性。