警3个月接近千宗钓鱼短讯骗案涉款$1000万 一文拆解SMS钓鱼手法

撰文: 凌逸德
出版:更新:

网上诈骗手法层出不穷,过去两年钓鱼短讯兴起,假冒银行、电子支付工具、邮递服务、网店的诈骗讯息可谓无日无之。去年12月,诈骗集团更开始假冒多家电讯服务供应商及连锁零售商店,以会员奖赏计划行骗。每隔数天至数星期就有机构被冒充,骗徒会发送奖赏计划的钓鱼短讯,称收讯人积分快到期或因不当获取积分而限制使用帐户等,要求收讯人到假网站输入登入及信用卡资料,骗徒再盗用积分换领礼品或刷卡购物。
去年底至今,警方接报近千宗钓鱼SMS骗案,大部分涉及积分奖赏钓鱼诈骗(与HKT The Club、中国移动MyLink、数码通和yuu有关),涉款达1000万港元,当中损失最多的受害人,信用卡被盗用62万元。本文将拆解常见的钓鱼短讯陷阱及防骗方法。

拆解陷阱一:骗徒自订发讯人名称,以假乱真

有些钓鱼短讯的发讯人名字与真实机构相同,这是因为SMS短讯制式容许应用程式对个人(Application-to-Person) 传送的SMS短讯,自订最多11位英文字母的显示号码(即“自订发送者号码”),并隐藏发讯者电话号码。在没有电话号码对比下,手机系统会把同名发送者认作同一发送人,因此真假短讯都会被放在同一个文件夹,令人难以分辨发送来源。骗徒更会利用境外电讯服务供应商发送短讯到本地诈骗,绕过电话卡实名制度。

拆解陷阱二:假网页跟真网页版面相似

假网站版面跟真网站版面极为相似,市民单凭肉眼不易分辨,网址甚至用https开首,予人安全感觉。“https”的“s”虽代表Secure(安全),但只代表该通讯被加密,不等于网站没有欺诈成份。骗徒建立假网站时,会从网页寄存公司付数美元购买SSL 证书,为网站设置加密传输,令假网站更像真。

拆解陷阱三:钓鱼短讯可应用在不同骗案 如假证券平台、色情约会

这类钓鱼短讯可应用在不同骗案上,例如年初有骗徒假冒证券买卖平台,声称要核实用户信息,于是附上WhatsApp连结,要求受害人联络所谓“专员”。“专员”遂以问卷调查为名,将受害人加入投资交流群组,游说受害人参与所谓的“投资计划”。

此外,骗徒也会发短讯邀约色情约会,邀请受害人到假约会平台付款登记,以寻找约会对象,本月初一名男子因而堕入援交陷阱,损失过千万元。

防骗手法一:“防骗视伏器”评估诈骗风险

市民如怀疑短讯真伪,可向官方机构查询或到警方守网者网站(CyberDefender.hk)“防骗视伏器”或手机版应用程式“防骗视伏App”输入可疑网址、电话号码等,可即时评估诈骗风险。市民如输入“The Club”或“yuu”等常被骗徒假冒的机构名称,搜寻结果会显示橙色代表“疑似有伏”,这设计原意是提醒市民进一步查证网址等,以准确评估诈骗风险。

防骗手法二:进入假网站,留意转换语言、连结失效等问题

市民接收的钓鱼短讯内嵌连结的网址,与机构官网的串法不相同,只要稍加留意,并不难发现有异。如进入假网站后,未能转换语言或发现部分按钮或连结失效、输入不正确的信用卡资料也能顺利“过版”,网站很大机会是钓鱼网站。

本月初,警方拘捕8名男女(22至52岁)涉及35宗假冒电讯商的钓鱼骗案,涉款67万元,并检获名贵服饰及电子产品。警方相信被捕的集团主脑及骨干成员发放钓鱼讯息,骗取市民资料后,再安排“车手”购买易转手的货物图利。

警方正与通讯事务办公室、香港银行公会和主要电讯服务营运商研究订立发送者号码注册制度,以过滤钓鱼短讯及拦截诈骗网站,完善通讯及网络系统等方式堵截漏洞。