香港釣魚短訊詐騙點識別:2026年5招拆穿假銀行假政府SMS
識別香港釣魚短訊詐騙,最快一招係睇發送人名稱有冇「#」號:自2024年1月28日起,28間本地銀行只會用「#」開頭嘅已登記名稱發短訊,冇「#」而要你撳連結登入嘅,幾乎肯定係假。
識別香港釣魚短訊詐騙,最快一招係睇發送人名稱有冇「#」號:自2024年1月28日起,28間本地銀行只會用「#」開頭嘅已登記名稱發短訊,冇「#」而要你撳連結登入嘅,幾乎肯定係假。
先講一個數字。2025年全年,香港釣魚詐騙錄得1,093宗,較2024年嘅2,731宗下跌咗六成,乍看之下好似治安改善咗,令人想鬆一口氣。但坦白說,另一組數字先至嚇人。同年釣魚詐騙嘅總損失高達1.1億港元,按年急升112.9%,每宗平均損失飆到約10萬元,係2024年平均數嘅四倍以上,反映騙徒每一單都落足重本去設局。案件少咗。每單卻呃得更狠。
呢個反差講出一件事:騙徒手法明明越嚟越精準,偏偏唔少香港人仲覺得「我唔會中招」。我哋編輯部試過收一條假冒水務署嘅催費短訊,連結個網址同真網站只差一個字母。今年初就有一個假水務署釣魚集團,呃咗25人合共超過80萬港元,警方拘捕咗4人。下面五招,由淺入深,教你親手拆穿。
第1招:認住「#」號——香港釣魚短訊詐騙點識別嘅最快捷徑
香港由2023年12月28日推出「短訊發送人登記制」,初期有23間電訊商參與。重點喺呢度:只有成功向通訊事務管理局辦公室登記做「已認證發送人」嘅機構,先可以用「#」開頭嘅名稱發短訊;任何冒名而帶「#」嘅短訊,電訊網絡會直接攔截。
換句話講,「#」係一個搶唔到嘅標記。2024年1月28日起,28間本地零售及虛擬銀行全部轉用「#」開頭名稱。以滙豐做例子,佢哋一口氣登記咗四個發送人名:#HSBC 發一般通知、#HSBCsecure 同 #PayMe 發一次性密碼呢類保安短訊、而 #HSBCnotice 就專責發交易提示,每個名對應一種訊息用途。收到「HSBC」但前面冇「#」?要警覺。
| 短訊類型 | 真銀行特徵 | 釣魚短訊特徵 |
|---|---|---|
| 發送人名稱 | 「#」開頭已登記名(如 #HSBC) | 普通電話號碼或冇「#」嘅英文名 |
| 連結 | 一般唔會喺單向短訊放登入連結 | 必有「立即驗證」「點擊解鎖」連結 |
| 語氣 | 平實通知,唔催你 | 「24小時內」「帳戶即將凍結」嚇你 |
| 網址 | 官方域名 | 拼字相近嘅假域名(差一兩個字母) |
要留意,登記制只覆蓋 SMS,唔包 WhatsApp、WeChat 或者要你回覆嘅雙向短訊。所以喺 WhatsApp 收到「銀行」訊息,「#」呢招就用唔到,要靠下面幾招。
第2招:假政府短訊——「一網通辦」「智方便」呢類名最易被冒認
政府部門一樣會被冒認。截至2025年5月,登記制已經有超過540間公私營機構加入,包括入境事務處、衞生署、警務處同消費者委員會。佢哋發出嘅正式短訊同樣會有「#」號。
問題係,騙徒專揀啲你似識又唔太識嘅官方名落手。「一網通辦」「智方便」「智方便+」聽落官腔十足,搞到唔少人一見就信。真正嘅「智方便」係政府免費提供嘅單一數碼身分,但佢嘅短訊唔會叫你喺短訊內嘅連結重新「啟動帳戶」或者輸入身分證號碼。
記住一條鐵律:真政府部門唔會用短訊問你攞密碼、信用卡資料或者一次性驗證碼。明明係官方咁嘅措辭,偏偏要你即刻撳連結填料,呢個組合本身就係警號。想全面保護自己嘅手機帳號同私隱設定,可以參考 WhatsApp 私隱設定完整指南,減少個人資料外洩成為詐騙目標嘅機會。
第3招:睇網址同連結——一個字母之差就係生死
釣魚短訊嘅核心武器係假網站。佢哋會整一個同真網站幾乎一模一樣嘅版面,連網址都做到極似,可能只係將字母「l」換成數字「1」、或者喺正牌域名後面加多幾個字。
實際做法有三步。第一,唔好喺短訊直接撳連結,手動入官方網址或者用書籤。第二,撳之前長按連結睇真個完整網址,重點睇主域名(網址最後一個斜線前嗰段),唔好被一大串字尾迷惑。第三,用警方「防騙視伏器」查連結——截至2024年11月,呢個工具累計查詢已超過648萬次,發出約83萬次提示。一條可疑連結,幾秒就驗到。
說實話,有時假網站做到連保安鎖頭都有,所以「有 https 就安全」呢個舊觀念已經唔可靠。真正可靠嘅,係你由頭到尾都冇經過短訊嗰條連結。
第4招:拆穿心理操控——「限時」同「恐嚇」係固定劇本
技術之外,釣魚短訊有一套幾乎不變嘅心理劇本。佢哋要你慌、要你急、要你冇時間諗。
常見句式包括:「你嘅帳戶偵測到異常登入,24小時內未驗證將被凍結」、「你有一個包裹因地址不全待處理」、「電子道路收費未繳,逾期罰款」。呢啲訊息嘅共通點,係製造一個迫在眉睫嘅損失,令你嘅理性讓位畀恐慌。
環聯(TransUnion)嘅調查就顯示,香港消費者報稱嘅數碼詐騙損失中位數高達48,000港元,係受訪全球市場之中最高。當中以語音釣魚(vishing)最常見,影響32%受訪者;而香港帳戶登入嘅可疑詐騙率達10.1%,超過全球平均4.3%嘅兩倍。數字咁誇張,正正因為心理操控真係有效。對策好簡單:凡係催你即刻行動嘅訊息,一律當佢係假,收線、放低電話,過十分鐘自己經官方途徑查證。
第5招:辨別流程——收到可疑 SMS 嘅四步自保
將前面四招整合成一個可以即刻照做嘅流程,係最實際嘅防線。釣魚SMS辨別唔係靠記住所有騙局,而係養成一個固定動作。
- 停:任何要你撳連結或者畀資料嘅短訊,先停低,唔好即刻撳。
- 查:睇發送人有冇「#」號(銀行同已登記政府部門必有);用「防騙視伏器」查連結同電話。
- 驗:唔好回覆短訊,自己打官方熱線或者入官方App查證有冇相關通知。
- 報:確認係詐騙,致電警方反詐騙協調中心熱線18222,或者透過「防騙視伏App」舉報。
呢四步加埋,大概用唔到三分鐘。竟然有人會嫌麻煩而跳步,結果損失幾萬蚊——時間同金錢點計都唔對等。
真假短訊對照:5個信號一覽
下面將五招濃縮成一張快速對照表,收短訊嗰陣可以即刻比對。
| 識別信號 | 真短訊 | 假冒釣魚短訊 |
|---|---|---|
| 發送人名稱 | 「#」開頭已登記名 | 冇「#」或普通號碼冒充官方 |
| 是否催促 | 平實、無時限壓力 | 「24小時」「即將凍結」恐嚇 |
| 是否索取敏感資料 | 唔會問密碼/驗證碼 | 直接或經假網站索取 |
| 連結 | 單向通知極少附登入連結 | 必附「立即驗證」連結 |
| 網址 | 官方域名,可手動核對 | 拼字相近假域名,差一兩個字 |
只要其中一格踩中「假」嗰邊,基本上就唔好再撳。寧願多疑,好過事後追數。
常見問題
收到帶「#」號嘅短訊就一定安全嗎?
「#」號代表發送人已向通訊事務管理局登記,而冒名嘅「#」短訊會被電訊網絡攔截,所以可信度大幅提升。但要留意,登記制只覆蓋單向 SMS,唔包 WhatsApp、WeChat,亦唔覆蓋要你回覆嘅雙向短訊。喺呢啲渠道,仍然要靠核對網址同唔交敏感資料呢幾招。
點解2025年案件少咗六成,但損失反而升咗一倍?
2025年釣魚案件由2,731宗跌至1,093宗,跌幅約六成;但總損失升到1.1億港元,按年升112.9%,每宗平均損失約10萬元。即係話騙徒由「廣撒網」轉為「精準狙擊」,單宗金額更大,所以唔可以因為宗數跌而鬆懈。
唔小心撳咗釣魚連結點算?
如果只係撳開但未輸入任何資料,通常風險較低,但仍應即刻關閉頁面、清除瀏覽記錄。如果已經輸入密碼或卡資料,要立即更改相關密碼、致電銀行止付或停卡,並致電反詐騙協調中心熱線18222求助,同時用「防騙視伏App」記錄。
香港有冇官方工具可以查可疑短訊?
有。警方「防騙視伏器」可以查連結、電話同收款帳戶嘅風險;截至2024年11月,累計查詢超過648萬次,發出約83萬次提示。另外亦可查通訊事務管理局辦公室嘅已登記發送人名單,核對個「#」名是否屬實。
假冒政府部門嘅短訊有冇真實案例?
有,而且唔少。2026年初就有一個假冒水務署嘅釣魚集團,以催繳水費為名,呃咗25名市民合共超過80萬港元,警方其後拘捕4人。呢類案件提醒大家,即使打住政府旗號,只要要求你撳連結交資料,就要當作詐騙處理。
本文僅供參考,所述防騙資訊以香港警務處、通訊事務管理局辦公室及相關機構之官方公布為準,不構成任何專業意見;如涉及金錢損失,請即時諮詢警方及相關金融機構。
留言討論