復活節將至，香港網絡安全事故協調中心（HKCERT）提醒公眾在網購迎復活節時，宜提高警惕，注意網絡釣魚及假冒網站的風險，以保障個人訊息及免招財務損失。

不少市民會乘透過網絡平台，選購復活節商品或預訂聚會用品。雖然網購便捷且選擇多元化，但消費者亦不免會受到新型網絡詐騙威脅。網絡罪犯經常針對節慶消費熱潮，偽造大量釣魚網站及虛假優惠訊息，伺機竊取市民的個人資料與財產。

虛假交易頁面　竊密手法升級

據 HKCERT 監測發現，近期有黑客製作假冒網站，冒充 Carousell 等二手交易平台，誘導用戶完成購物。用戶在付款界面選擇「銀行轉帳」時，會跳轉至偽造的銀行付款頁面。該頁面高度模仿本地銀行官方界面，要求用戶輸入銀行帳號、登錄密碼甚至短訊驗證碼。由於整個流程皆嵌入在交易平台內，消費者容易誤判為真實的支付程序，從而洩露敏感財務訊息。

 ▲假冒網站冒充 Carousell 二手交易平台欺騙使用者。

 ▲騙徒製作假冒網站時利用了真實銀行的商標和名稱，偽冒 Carousell 二手交易平台的付款步驟。

從下圖可見，頁面會根據受害人所選擇的銀行切換至一個仿冒該銀行設計的頁面。例如當受害者選擇某某銀行轉帳時，網頁會自動加載與該銀行官網相同的配色、商標與表單欄位以混淆視聽。曾有案例顯示，受害者在仿冒頁面輸入網上銀行密碼後，詐騙集團立即利用竊取的資料進行多筆跨境高額消費交易。

▲連相關銀行的頁面也被偽冒。

此外，騙徒會結合「假冒官方通知」及「多重網址重定向」技術，大幅提高詐騙訊息迷惑性。騙徒透過短訊發送偽裝 WhatsApp 訊息，要求驗證帳戶。這些短訊會利用短網址掩蓋真實域名，用戶在短訊中僅能看見類似「t.ly/wsapps-hk」等的偽裝連結，無法從連結的英文串法上直接辨識跳轉後的目標網址。一旦點擊後，顯示的頁面完全模仿 WhatsApp 帳戶驗證流程，要求輸入帳戶訊息。

 ▲虛假連結通過短訊的短網址，偽裝成 WhatsApp 的保安驗證。

▲騙徒利用虛假的 WhatsApp 連結，冒充合法保安警報欺騙使用者。

為防範上述詐騙手法，HKCERT 建議公眾採取以下措施：

1. 不要輕信任何未經確認的付款要求、電郵或短訊。如有疑問，應直接通過官方渠道核實；

2. 任何情況下切勿向他人披露自己短訊驗證碼、信用卡安全碼（如 CVV2、CVC 碼）、信用卡短訊驗證碼（如 3D Secure 驗證碼）、支付平台及網上銀行密碼等；

3. 收到「帳號異常」通知，應直接開啟官方應用程式查詢狀態，不要點擊訊息中的連結；致電客服時，應只使用官方網頁或應用程式內提供的電話號碼，不要撥打發訊息者提供的所謂「專線」；

4. 使用高強度密碼並啟用多重身份驗證（MFA）；

5. 定期檢查支付平台的交易記錄，確保沒有異常活動；

6. 確保所有軟件和應用程式都更新至最新版本，以防止已知的安全漏洞；

7. 可利用「CyberDefender 守網者」的「防騙視伏器」，通過檢查電郵地址、網址和 IP 地址等，來辨識詐騙及網絡陷阱，或者致電香港警務處反詐騙協調中心「防騙易18222」熱線向警方求助；

8. 提高自身網絡安全意識，了解更多新的詐騙手法和防範措施。