騙徒促事主提供信用卡資料 稱不遵從即刪用戶所有檔案
騙徒釣魚攻擊手法層出不窮!香港電腦保安事故協調中心(HKCERT)近日收到一宗涉及假冒香港警察網站的網絡釣魚攻擊事件,騙徒以用戶瀏覽太多色情網站為藉口,要求事主提供信用卡資料繳交數千元罰款,更警告若不遵從就會刪除用戶裝置內的所有檔案以防止散播色情資訊。中心呼籲市民小心辨別網站真偽,並提供多項提防釣魚攻擊建議。◆香港文匯報記者 蕭景源
香港電腦保安事故協調中心指出,經分析發現該假網站是採用近期再興起的Browser in the Browser (BitB)嵌入式瀏覽器攻擊,大家所見到的網址列、工具列和索引標籤,其實只是黑客利用JPG方式製作出來。當瀏覽器進入全屏幕模式時,真網址列會被隱藏,這樣整個外觀就會跟平時上香港警察網站一樣。
中心提醒市民,這類釣魚網站有數個識別位,例如按下ESC鍵就會退出全屏幕模式顯示真正的網址,假網址列上的網址是不可以修改的,用任何瀏覽器都只會顯示Chrome外觀,以及不可以在手機上瀏覽。
留意網站連結串法
HKCERT指已聯絡相關服務供應商移除這個網站,但相信這類釣魚攻擊會持續演變,故提供多項提防釣魚攻擊建議,包括留意網站連結的串法,因假網站是不可以使用該機構的網址(例如攻擊者只能利用hkcert.co假冒hkcert.com);點擊任何連結前必須考慮連結的真偽和傳送者是否可信;只在可信的設備下進行信用卡付款,以及確認是否付款到可信的機構等。若有任何懷疑應致電有關機構查詢。
逾七成事故涉網購或網銀
據HKCERT今年2月公布的總結2021年香港資訊保安狀況,指出在該中心去年處理的7,725宗保安事故中,最主要事故為網絡釣魚攻擊,有3,737宗,佔整體的48%,較2020年增加7%,連續4年上升並見新高,當中逾七成事故涉及網上購物或網上銀行。
而事實上,警方亦早於上月28日公布及提醒市民,指早前接獲網民舉報一個偽冒香港警務處釣魚網站(https://gdpayjoojen2.xyz/?c=0011,現已移除),聲稱用戶因多次瀏覽色情網站而違反相關「香港法例」,電腦即時被上鎖。用戶同時被要求以信用卡繳交港幣3,700元罰款,否則會被拘捕,而其電子裝置的資料亦會被刪除。
警方形容騙徒這次算「花了點心思」製作假網站。當用户進入釣魚網站時,瀏覽器會自動進入全熒幕模式並隱藏網址列,同時載入顯示香港警務處網址的截圖及播放警報音效。若用戶不懂得按ESC鍵離開該模式,便可能會「上釣」受騙。警方重申,香港警務處的網址為 https://www.police.gov.hk ,警方與該釣魚欺詐網站並無任何關係。
警方提醒市民,緊記切勿登入未經查證的網站。此外若被要求提供個人或信用卡資料,更應加倍小心。如有懷疑,可使用守網者「https://cyberdefender.hk」的「網絡釣魚詐騙搜尋器」查證,或致電防騙易熱線18222及報警求助。
評論