“您的账户存在异常登录,请立即验证身份。”
“年终积分即将清零,点击兑换礼品。”
“系统升级通知:请于24小时内重新绑定银行卡。”
这些看似来自银行的“善意提醒”,正成为香港市民钱包失守的导火索。近日,香港金融管理局(HKMA)发布罕见的全行业紧急警示,点名包括汇丰、中银香港、渣打、东亚银行、永亨、创兴、大新、富邦、上海商业银行、恒生、南洋及集友等十二家主流银行,均遭遇高度仿真的伪冒网站与钓鱼攻击。
据 HKMA 通报,犯罪分子通过伪造与真实网银界面像素级一致的登录页面,配合精准投放的短信、电邮甚至 WhatsApp 消息,诱导用户主动输入账号、密码及一次性验证码(OTP)。一旦信息提交,资金往往在数分钟内被转空。更令人担忧的是,部分钓鱼页面甚至能动态加载真实银行的 favicon(网站图标)、SSL 证书提示和多语言切换功能,普通用户几乎无法分辨真伪。
“这不是简单的‘假网站’,而是一场针对金融信任体系的系统性攻击。”公共互联网反网络钓鱼工作组技术专家芦笛在接受本报独家专访时指出,“攻击者不再满足于广撒网,而是以银行品牌为矛,以用户习惯为盾,发动了一场‘高仿真社会工程战’。”
随着农历新年临近、跨境消费与年终奖金发放高峰到来,此类诈骗活动已进入全年最活跃周期。HKMA 呼吁市民:切勿点击任何短信或邮件中的链接登录网银——这是铁律。
一、骗局全景:从一条短信到账户清零
整个攻击链通常始于一条精心设计的诱导信息。
以中银香港为例,受害者可能收到如下短信:
【BOC HK】尊敬的客户,检测到您的账户于 2026-01-05 23:17 在海外尝试登录。为保障安全,请立即验证:https://boc-hk-security[.]com/verify
链接域名看似合理——包含“boc”“hk”“security”等关键词,甚至使用 HTTPS 加密(由 Let’s Encrypt 等免费 CA 颁发),浏览器地址栏显示绿色锁形图标。点击后,页面自动跳转至一个与中银香港官网几乎无法区分的登录界面:顶部是熟悉的红白 LOGO,中间是标准的“网上银行登录”表单,下方还有“隐私政策”“联络我们”等静态链接(虽为死链,但足以增强可信度)。
用户输入账号密码后,页面并不报错,而是“友好”地提示:“为完成验证,请输入您刚收到的六位数字验证码。”——此时,攻击者的后台已同步向银行发起真实登录请求,触发 OTP 发送。用户收到短信后,不疑有他,将验证码填入钓鱼页。
就在这一瞬间,攻击者获得了完整的登录凭证。
“OTP 本是最后一道防线,但在钓鱼面前反而成了‘助攻’。”芦笛解释道,“因为银行系统认为:用户已通过密码+OTP 双重验证,操作合法。于是攻击者立即通过自动化脚本接管会话,查询余额、添加收款人、发起转账。”
HKMA 透露,已有市民在短短10分钟内损失数十万港元。部分案例中,攻击者甚至利用被盗账户向亲友发送“急用钱”消息,实施二次诈骗。
二、技术深潜:伪冒网站如何做到“以假乱真”?
要理解这场危机的技术内核,必须拆解现代钓鱼网站的构建逻辑。
1. 前端克隆:一键复制真实网银界面
攻击者通常使用开源工具如 HTTrack 或 wget --mirror,对目标银行官网进行完整镜像下载:
# 示例:克隆某银行登录页
httrack "https://www.hangseng.com/en_HK/login.html" -O "./phish_hang_seng"
随后,仅需修改表单的 action 属性,将用户提交的数据指向自己的服务器: