私隱專員公署表示,過去一個月,接獲5間社福機構和學校的資料外洩事故通報,表示他們用作與受助人、學生或家長通訊的即時通訊軟件WhatsApp的帳戶遭到騎劫,騙徒繼而盜用已騎劫的WhatsApp帳戶假冒受害機構,向通訊錄的聯絡人發送騙取金錢的訊息。事件涉及近900名受助人、學生、家長或職員的姓名及手提電話號碼等個人資料。

私隱專員鍾麗玲接受本台訪問時指,受影響的大約900人中,有個案可能涉及住址和銀行資料外洩,細節仍要調查。她相信5宗通報都屬於隨機騎劫行為,並非特別針對機構或學校,而公署在去年全年至今年8月,都沒有收到同類通報,到上月就錄得5宗通報,反映WhatsApp帳戶遭騎劫案件明顯增加。

鍾麗玲指,市民未必得悉自己的資料已被外洩,部分人亦忽視電話號碼外洩的嚴重性,但不法分子可以利用電話號碼在網上搜尋更多受害人資料,或假扮受害人親友行騙,如果有人以電話號碼作為不同帳戶的密碼,帳戶就有機會被盜用。

公署呼籲市民啟用WhatsApp的雙重認證功能,定期在WhatsApp設定中檢查已連結裝置,並登出不再使用或不明的裝置連結;切勿向他人透露密碼或驗證碼;在網上搜尋WhatsApp網頁版時,小心留意網頁連結,不要誤按虛假的WhatsApp網頁版。一旦收到他人在WhatsApp要求借錢、匯款或提供個人資料的訊息,應先確認發送者的身分。

HKCERT:黑客或用封存功能隱藏惡意訊息

電腦保安事故協調中心表示,近日發現針對WhatsApp等即時通訊帳戶的新式釣魚攻擊活動,黑客透過建立偽冒的登入網頁,然後在搜尋引擎投放廣告,令偽冒網頁顯示於搜尋結果的當眼位置,誘導用戶進入釣魚網頁,掃描網頁上所顯示的二維碼。用戶一旦不慎掃描相關的二維碼,黑客就可以存取帳戶,冒充身份聯絡及欺詐受害人親友。

中心指,黑客一旦獲得即時通訊帳戶的存取權限,就可以獲得該帳戶中的大部分資訊和數據,例如照片、影片、文件、聊天記錄和通訊錄資訊。黑客甚至可以冒充用戶,向受害人的親友發送惡意訊息,例如要求轉賬或購買點數卡,事後更會用封存功能,隱藏惡意訊息,以免受害人發現。 

中心呼籲市民保持警惕,應驗證即時通訊平台的網址,才進行登入程序,不要點擊不明來歷的連結,例如來自搜尋引擎的廣告等。中心又指,市民應定期檢查即時通訊帳戶,有否不明裝置連結,定期檢查已封存的訊息;如收到親友的財務要求訊息,最好致電對方確認。