節日期間網上購物須保持警覺

假冒購物平台及釣魚網站仿真度高

詐騙集團常在節日高峰期建立高度仿真的假冒購物平台，版面設計、網址及標誌與真實網站（如淘寶）極為相似，令消費者難以分辨真偽。受害人往往被誘導輸入登入帳號、信用卡資料及送貨地址，相關資料隨後可能被用於非法用途。

假冒淘寶的釣魚網站，以誘導用戶聯繫虛假客服，進行詐騙。

電話詐騙：假冒電商平台職員

詐騙者可能冒認知名平台職員（如HKTVMall），訛稱受害人在登記帳戶時自動參與額外服務，並要求其透過即時通訊應用程式聯絡所謂的客服人員，或前往指定網站辦理「取消」手續。此類互動通常涉及社交工程及釣魚手法，藉此騙取個人資料及銀行帳戶資訊。市民應透過官方渠道核實任何帳戶相關聲稱，切勿依照陌生來電指示採取行動。

新型威脅：假冒速遞公司「派件通知」詐騙

近期出現多宗假冒速遞公司（如順豐）的詐騙個案。詐騙者會透過短訊、電郵或即時訊息，聲稱收件人有包裹待領取，並警告如不盡快聯絡或登入網站，日後可能需要支付「逾期保管費」。此類訊息旨在製造緊迫感，迫使收件人立即行動。

常見手法包括：

• 釣魚網站版本： 訊息附上連結至假冒速遞公司網站，誘使用戶輸入個人資料、信用卡號碼或支付平台帳號，甚至下載惡意程式。

• 假客服版本： 訊息提供假冒速遞公司電話，誘使收件人致電，並在通話中套取身份證號碼、銀行資料或一次性驗證碼。

假冒順豐速運的釣魚網站，以誘導用戶在假付款頁面上輸入個人資料。

釣魚連結結合系統及瀏覽器漏洞

釣魚威脅不僅限於帳戶盜取密碼。近期披露的漏洞，包括影響 macOS 上 Google Chrome 的 CVE‑2025‑14174，以及影響多個 Apple 作業系統的 CVE‑2025‑43529，顯示攻擊者或可透過誘使使用者瀏覽惡意網站而入侵裝置。此類網站常透過釣魚電郵、假冒購物廣告或偽造速遞通知散播。若裝置或瀏覽器未有安裝最新安全更新，攻擊者或可在用戶不知情的情況下利用漏洞進行攻擊。HKCERT建議用戶立即更新以修復漏洞。

漏洞詳情請參考：https://www.hkcert.org/tc/security-bulletin/apple-products-multiple-vulnerabilities_20251215

安全安心的節日

年終節日期間是網絡詐騙的高峰期。保持警覺並採取適當的安全措施，可有效降低成為網絡犯罪受害者的風險。HKCERT亦刊登了「網絡釣魚 全城防禦」專頁，向大家介紹更多有關釣魚攻擊以及如何防範此類攻擊的資訊。 公眾可以從這個專頁了解有關釣魚攻擊的訊息，包括攻擊技巧、預防、識別和處理可疑訊息的方式。

保安最佳實踐

如要在數碼時代裡在購物時無憂無慮，大家應考慮採取以下保安最佳實踐。

1. 定期為作業系統、瀏覽器及應用程式安裝最新安全更新及修補程式，以降低因點擊釣魚連結或瀏覽惡意網站而遭受漏洞攻擊的風險。 
2. 使用安全可靠的 Wi-Fi 網絡，避免連接較低保安設定的公眾 Wi-Fi，特別是在進行交易的時候。 
3. 啟用瀏覽器的防釣魚功能以助阻擋釣魚攻擊。 
4. 直接輸入官方網址或使用已儲存的書籤進入購物平台，切勿點擊來歷不明的電郵、訊息或社交媒體連結。 
5. 在輸入個人或付款資料前，務必核實網站真偽，留意網址是否異常、拼寫錯誤或設計可疑。 
6. 切勿向未經核實的網站或陌生人透露禮品卡號碼、信用卡資料或個人資料。 
7. 切勿透過即時通訊應用程式或外部網站處理任何聲稱與帳戶設定、取消服務或退款有關的要求，相關操作應僅於官方平台內進行。 
8. 如接獲自稱網購平台職員的來電，切勿即時跟從指示行動，亦不要因對方提供個人資料而放下戒心，應自行透過官方網站或應用程式查證相關資訊。 
9. 使用「守網者」（CyberDefender）檢查可疑電郵地址、網址及IP地址，識別網絡騙局及陷阱，或致電香港警務處反詐騙協調中心「防騙易18222」尋求協助。 
10. 定期檢查網上帳戶及付款紀錄，開啟交易提示，及早發現未經授權的交易。 
11. 若懷疑成為釣魚詐騙受害者，應立即更改密碼，通知銀行或服務供應商，並向 HKCERT 報告以獲協助。