黑客買位 假WhatsApp網搜尋器置頂 誘用戶嘟二維碼 盜帳號冒名欺詐

【明報專訊】即時通訊軟件WhatsApp帳戶遭騎劫個案近期大增，私隱專員公署昨公布，過去一個月接獲5間社福機構及學校（下統稱「機構」）通報資料外泄事故，涉及各機構用作與受助人、學生或家長通訊的WhatsApp帳戶被騎劫，遭假冒向聯絡人發信息騙財，事涉近900人的資料。電腦保安事故協調中心昨亦發出警告，稱本港最近出現針對WhatsApp的新式釣魚攻擊，黑客於搜尋引擎買廣告令偽冒WhatsApp的登入網頁「置頂」，誘導用戶進入釣魚網頁掃描二維碼，黑客便可存取帳戶並冒名欺詐親友。

5機構帳戶被騎劫 泄900人資料

私隱專員公署稱，是次外泄事故涉及近900人，包括相關機構受助人、學生、學生家長及職員，涉及事主姓名和手提電話號碼等個人資料。根據公署建議，相關機構已通知受影響者。公署表示，WhatsApp帳戶騎劫一般指疑犯假冒事主親友，向事主發信息要求事主轉發其帳戶的驗證碼；或透過假冒WhatsApp網站騙取事主電話號碼及帳戶驗證碼，用作登入事主帳戶，繼而冒認事主向其帳戶通訊錄的聯絡人發信息，以騙取金錢或個人資料。

生產力促進局轄下電腦保安事故協調中心稱，近日本港出現針對WhatsApp等即時通訊軟件的釣魚攻擊活動，形容偽冒這些軟件登入網頁的仿真度高，設登入指示及二維碼，當事主掃描二維碼，黑客便能登入事主帳號，而非事主的裝置。黑客隨即獲得帳戶中大部分資訊和數據存取權限，包括照片、視訊、文件、聊天紀錄和通訊錄等，甚至冒充事主向親友發信息，如要求轉帳或購買點數卡，事後更會用「封存」功能隱藏信息以免事主發現，呼籲公眾警惕。

註冊手機號碼登入 可重奪「主導權」

至於事主帳戶遭盜用後能否即時奪回「主導權」，協調中心稱黑客一旦取得事主登入驗證碼，便可盜用事主帳戶，事主亦會被強制退出，再轉到要求輸入手機號碼的畫面；不過當事主再以註冊手機號碼登入，便可重奪回帳戶「主導權」。協調中心稱，即使疑犯盜用事主帳戶後啟動雙重認證，不論事主是否知道雙重認證碼（俗稱PIN碼），只要選用短訊收取登入驗證碼，疑犯裝置所盜用的帳戶便會被強制登出，不能再使用事主帳戶。

上半年157宗「網上戶口盜用」

本報昨向WhatsApp母公司Meta查詢，包括有否採取行動防止黑客騎劫和盜用帳戶活動，以及有否接獲用戶就相關情况的反映，截稿前未回覆。根據警方數字，今年上半年涉及「網上戶口盜用」案件有157宗，損失金額約1300萬元。