警3個月接近千宗釣魚短訊騙案涉款$1000萬　一文拆解SMS釣魚手法

網上詐騙手法層出不窮，過去兩年釣魚短訊興起，假冒銀行、電子支付工具、郵遞服務、網店的詐騙訊息可謂無日無之。去年12月，詐騙集團更開始假冒多家電訊服務供應商及連鎖零售商店，以會員奬賞計劃行騙。每隔數天至數星期就有機構被冒充，騙徒會發送奬賞計劃的釣魚短訊，稱收訊人積分快到期或因不當獲取積分而限制使用帳戶等，要求收訊人到假網站輸入登入及信用卡資料，騙徒再盜用積分換領禮品或刷卡購物。
去年底至今，警方接報近千宗釣魚SMS騙案，大部分涉及積分獎賞釣魚詐騙（與HKT The Club、中國移動MyLink、數碼通和yuu有關），涉款達1000萬港元，當中損失最多的受害人，信用卡被盜用62萬元。本文將拆解常見的釣魚短訊陷阱及防騙方法。

拆解陷阱一：騙徒自訂發訊人名稱，以假亂真

有些釣魚短訊的發訊人名字與真實機構相同，這是因為SMS短訊制式容許應用程式對個人（Application-to-Person） 傳送的SMS短訊，自訂最多11位英文字母的顯示號碼（即「自訂發送者號碼」），並隱藏發訊者電話號碼。在沒有電話號碼對比下，手機系統會把同名發送者認作同一發送人，因此真假短訊都會被放在同一個文件夾，令人難以分辨發送來源。騙徒更會利用境外電訊服務供應商發送短訊到本地詐騙，繞過電話卡實名制度。

拆解陷阱二：假網頁跟真網頁版面相似

假網站版面跟真網站版面極為相似，市民單憑肉眼不易分辨，網址甚至用https開首，予人安全感覺。「https」的「s」雖代表Secure（安全），但只代表該通訊被加密，不等於網站沒有欺詐成份。騙徒建立假網站時，會從網頁寄存公司付數美元購買SSL 證書，為網站設置加密傳輸，令假網站更像真。

拆解陷阱三：釣魚短訊可應用在不同騙案　如假證券平台、色情約會

這類釣魚短訊可應用在不同騙案上，例如年初有騙徒假冒證券買賣平台，聲稱要核實用戶信息，於是附上WhatsApp連結，要求受害人聯絡所謂「專員」。「專員」遂以問卷調查為名，將受害人加入投資交流群組，遊說受害人參與所謂的「投資計劃」。

此外，騙徒也會發短訊邀約色情約會，邀請受害人到假約會平台付款登記，以尋找約會對象，本月初一名男子因而墮入援交陷阱，損失過千萬元。

防騙手法一：「防騙視伏器」評估詐騙風險

市民如懷疑短訊真偽，可向官方機構查詢或到警方守網者網站（CyberDefender.hk）「防騙視伏器」或手機版應用程式「防騙視伏App」輸入可疑網址、電話號碼等，可即時評估詐騙風險。市民如輸入「The Club」或「yuu」等常被騙徒假冒的機構名稱，搜尋結果會顯示橙色代表「疑似有伏」，這設計原意是提醒市民進一步查證網址等，以準確評估詐騙風險。

防騙手法二：進入假網站，留意轉換語言、連結失效等問題

市民接收的釣魚短訊內嵌連結的網址，與機構官網的串法不相同，只要稍加留意，並不難發現有異。如進入假網站後，未能轉換語言或發現部分按鈕或連結失效、輸入不正確的信用卡資料也能順利「過版」，網站很大機會是釣魚網站。

本月初，警方拘捕8名男女（22至52歲）涉及35宗假冒電訊商的釣魚騙案，涉款67萬元，並檢獲名貴服飾及電子產品。警方相信被捕的集團主腦及骨幹成員發放釣魚訊息，騙取市民資料後，再安排「車手」購買易轉手的貨物圖利。

警方正與通訊事務辦公室、香港銀行公會和主要電訊服務營運商研究訂立發送者號碼註冊制度，以過濾釣魚短訊及攔截詐騙網站，完善通訊及網絡系統等方式堵截漏洞。