假冒水務署釣魚短訊騙案近期再度猖獗。過去 2 周警方共接獲逾 50 宗釣魚騙案。其中假冒水務署案件佔 7 成,騙款逾 250 萬港元。警方早前於 3 月 24 日成功搗破一個詐騙集團,以「串謀詐騙」罪拘捕 2 男 2 女,年齡介乎 22 至 41 歲。警方相信集團與今年 1 月至 3 月 25 宗同類詐騙案有關,涉款逾 80 萬港元。
騙局手法
詐騙集團以高度組織化方式運作。他們利用程式建立多個偽冒水務署網站,並透過外國網站向本港電訊商用戶批量發送假冒政府部門短訊。騙徒聲稱用戶有「逾期水費」或需要更新帳戶資料,以「即將停水」、「罰款」等威嚇性字眼誘使市民點擊釣魚連結。當市民點擊連結後會被引導至偽冒水務署網站,並要求輸入信用卡號碼、安全碼(CVV / CVC)及一次性密碼。集團成員隨即利用騙取資料在本地多間網上商店購買名牌手錶、演唱會門票及遊戲卡等高價值物品。
警方亦在觀塘搗破集團運作中心。人員發現騙徒使用電腦控制台實時監察受騙人數,顯示集團系統化程度極高。警方藉「銳眼計劃」閉路電視錄像蒐證成功鎖定疑犯並展開拘捕行動。
識破假冒短訊方法
香港防騙協調中心(ADCC)及 Hong Kong Computer Emergency Response Team Coordination Centre (HKCERT)提醒市民,辨識假冒水務署短訊可留意以下 5 大重點:
發送人名稱:水務署官方短訊發送人名稱必定以「#」號開頭(#WSD 及 #WSD eWater)。含「WSD」或「GOV」字眼但沒有「#」字首均屬可疑。
超連結要求:水務署絕不會通過電郵或短訊內超連結引領客戶到其他網站,亦不會要求提供信用卡資料。
虛假域名:水務署官方網址為 www.wsd.gov.hk,騙徒常用 wsdgov[.]com 或 wsd.govi[.]qpon/hk 等相似域名。
威嚇性字眼:「逾期水費」、「即將停水」、「罰款」等均屬常見詐騙用詞。
小額欠款:騙徒常聲稱欠款只有數元至數十元(例如 HK$18.54),令人鬆懈點擊連結。
受騙後應對措施
HKCERT 建議一旦在釣魚網站輸入信用卡資料,市民應立即聯絡銀行或發卡機構凍結及更換信用卡。市民亦需同時更改相關帳戶密碼,並保留截圖、電郵、交易紀錄及網址等證據以便跟進。市民可使用「防騙視伏器」或「防騙視伏 App」輸入可疑網址評估詐騙風險。除水務署外假冒稅務局及煤氣公司釣魚短訊亦同期出現。市民應對各類公共服務繳費短訊提高警覺。
香港資訊科技商會榮譽會長 方保僑回應 :
1. 關於為何仍有詐騙短訊成功繞過攔截。我們理解每間電訊商的網絡基建及技術水平存在差異。警方正持續與業界保持緊密合作,務求拉近技術差距,提升識別與攔截的成效。長遠而言,期望各電訊商能通力合作,擴大技術覆蓋面,並持續優化防騙手段,以最大程度減少市民接收可疑短訊的機會。
2. 關於短訊中介平台(SMS aggregator)缺乏規管的問題。在過往的釣魚詐騙案中,騙徒普遍利用這類平台,透過網絡大規模批量發送詐騙訊息。由於此類非法操作往往涉及跨境及隱藏身份,加上目前並非所有平台都設有完善的電子身份驗證(eKYC)機制,增加警方調查難度。因此,期望未來能將這類平台納入規管,並強制建立完善的 eKYC 機制,從源頭堵截詐騙漏洞。
