提防「Are you available？」釣魚詐騙電郵

HKCERT留意到多所本地院校的學生收到標題為「Are you available？」的釣魚詐騙電郵，騙徒會偽裝成大學教授或相關的行政人員，提出需要緊急協助，以誘使收件者回覆。一旦展開對話後，騙徒會以各種理由詐騙金錢，例如請求對方幫忙購買禮品卡等。

此類偽冒電郵屬社交工程攻擊(social engineering attack)的一種，利用身份可信度高的發件者，博取收件者的信任進行詐騙。本次事件中的電郵署名為大學教授，惟有關電郵卻是透過其他免費電郵服務（如gmail.com、yahoo.com）的帳戶，而不是經所屬院校的專屬電郵帳戶發出。由於當中並不含惡意附件或連結，所以難以被電郵閘道檢測過濾。不過，只要收件者細心留意發件者的電郵地址即可發現其可疑之處。

其實此類型的釣魚詐騙電郵早於2018 年在其他地區已經出現，但近日有針對本地院校的趨勢，因此HKCERT提醒大眾應提高警覺，以免遭受金錢損失。

以下是該類詐騙電郵的例子：

如收到此類釣魚電郵，用戶應如何處理 ?

1. 經常檢查發件者的電郵地址是否與發件者相同；
2. 刪除該郵件；
3. 提防任何有關轉帳或金錢援助的要求；
4. 立刻通報給相關的IT部門。

相關保安警報:

1. 本地大學

   https://www.itsc.cuhk.edu.hk/newsdetails/phishing-alert-are-you-available/

   https://itsc.ust.hk/services/cyber-security/phishing/phishing-samples/#20190912

   https://www.cityu.edu.hk/csc/deptweb/support/faq/email/phishing/phishing143.htm

2. 海外大學

   https://www.boisestate.edu/oit/2019/01/30/are-you-available-email-phishing-scam/

   https://support.rowan.edu/sp?id=kb_article_view&sys_kb_id=9c2fe8a8db292b4883847bec0f9619b3