top of page

資料外洩詐騙風險:騙徒講得出你資料,唔代表佢真係客服

  • 19小时前
  • 讀畢需時 6 分鐘
手機收到假客服訊息,旁邊顯示客戶資料外洩後可能被利用作精準詐騙的示意圖

拆解資料外洩後的精準詐騙風險


近期本港接連出現大型企業資料外洩及勒索軟件相關事件,當中涉及客戶資料、聯絡資料、保養紀錄或會員資料等敏感資訊,再次提醒大家:資料外洩並不只是企業內部的 IT 事故,也可能成為後續詐騙的起點。


很多人聽到「資料外洩」,第一反應可能只是:「電話、電郵或地址被人知道了,會有幾大件事?」

但真正需要留意的是:資料外洩之後,風險未必即時完結,反而可能只是另一輪精準詐騙的開始。


當騙徒手上掌握了你的姓名、電話、電郵、地址、會員資料、購買紀錄,甚至部分身份資料,他們就可以將原本普通的騙案,包裝成更可信、更個人化、更難分辨的陷阱。

作為 IT 服務及網絡安全支援團隊,我們想提醒大家:對方講得出你的資料,並不代表對方真的是官方客服。




資料被偷走之後,騙徒可以怎樣利用?


很多人以為,資料外洩只是「我的電話號碼被人知道了」。但對騙徒來說,一組看似普通的資料,已經足夠拼湊出一個很有說服力的故事。


例如:

  • 你曾經購買電器,騙徒可以扮成售後服務中心。

  • 你是某品牌會員,騙徒可以扮成會員客服。

  • 你有登記保養,騙徒可以扮成維修部。

  • 你留下過送貨地址,騙徒可以扮成物流公司。

  • 你用同一個電郵註冊多個平台,騙徒可以嘗試撞密碼登入其他帳戶。


最危險的地方,是騙徒未必一開始就問你取錢。他們可能先講出一些真實資料,令你放低戒心,然後一步步引導你:


「我們需要確認你的資料。」

「你的保養登記需要更新。」

「系統顯示你的帳戶有異常登入。」

「請按此連結重新啟用會員戶口。」

「你的退款已批核,請輸入銀行資料收款。」


資料外洩後常見四大詐騙風險,包括假客服、釣魚短訊、撞密碼及身份冒認


在資料外洩愈來愈常見的年代,「對方講得出我的資料,所以應該是真的」這個判斷方法已經不可靠。



常見風險一:假客服電話或 WhatsApp


騙徒可能扮成品牌客服、維修中心、保養部、電訊公司、銀行、網購平台或物流公司,聲稱需要跟進你的帳戶、訂單、保養、退款或送貨安排。

他們最常用的方法,是先講出你部分真實資料,令你覺得對方可信,然後再要求你提供更多敏感資料,例如:


  • 身份證號碼

  • 信用卡資料

  • 一次性驗證碼 OTP

  • 登入密碼

  • 銀行戶口資料


要記住一個重要原則:


真正客服不應要求你提供帳戶密碼、完整信用卡資料或一次性驗證碼。



常見風險二:假 SMS / Email 釣魚連結


資料外洩後,騙徒可以發出更個人化的釣魚短訊或電郵。

普通釣魚訊息可能只是:

「你的帳戶有問題,請登入。」

但如果騙徒掌握了更多資料,訊息就可以變成:

「陳先生,你早前登記的產品保養資料需要更新,請於 24 小時內確認。」

後者明顯更容易令人相信。


這類訊息通常會附有連結,引導你登入假網站、輸入個人資料、重設密碼或填寫銀行資料。表面看似是官方通知,實際上可能是釣魚網站。


所以,遇到任何要求你「立即登入」、「更新資料」、「確認付款」、「領取退款」的訊息,都應該格外小心。



常見風險三:撞密碼及帳戶盜用


很多人會在不同平台使用相同或相似密碼。如果其中一個平台的資料外洩,騙徒就可能嘗試用同一組電郵及密碼登入其他服務。


例如:

  • 網購平台

  • 電郵帳戶

  • 社交媒體

  • 雲端硬碟

  • 付款平台

  • 公司系統或 Microsoft 365 帳戶


所以資料外洩後,不只是「受影響平台」需要改密碼。其他使用相同密碼的平台,也應該一併更改。


建議做法包括:

  • 每個重要帳戶使用不同密碼。

  • 啟用雙重認證 MFA / 2FA。

  • 定期檢查有沒有異常登入紀錄。

  • 不要重用公司電郵密碼到私人平台。

  • 不要把同一組密碼用於電郵、網購、銀行或公司系統。


密碼重用,是很多帳戶被盜用的起點。


常見風險四:身份冒認及社交工程攻擊


如果外洩資料包括姓名、電話、電郵、地址、生日、身份證部分資料或交易紀錄,騙徒就可以用作身份冒認。


他們可能嘗試冒充你本人,聯絡服務供應商要求重設密碼、查詢帳戶或申請服務。亦有可能利用你的個人資料,向你的家人、同事、客戶或朋友發出更可信的詐騙訊息

這類攻擊未必即時發生。有時外洩資料會被出售、轉手、重新整理,數星期、數月甚至更長時間後,才被用於另一宗騙案。


所以資料外洩的風險,並不會在新聞熱度過去後就自然消失。



最重要的防騙原則:不要被「資料準確」迷惑


很多人判斷對方是否可信,會用一個簡單方法:

「他講得出我的資料,應該是真的。」

但在資料外洩年代,這個方法已經不安全。

更安全的做法是:


1. 不要即時提供敏感資料

無論對方語氣有多急,都不要即時提供密碼、一次性驗證碼、身份證號碼、信用卡資料或銀行資料。


真正的官方客服,不應要求你提供這些高風險資料。


2. 不要按訊息內的連結登入

如果要登入帳戶,應自行打開官方網站或官方 App,而不是透過 SMS、WhatsApp 或 Email 入面的連結。


即使訊息看似來自熟悉品牌,也應先自行核實。


3. 用官方渠道反向查證

不要單靠對方提供的電話號碼或連結。應自行到官方網站、產品單據、保養文件或正式客服渠道查詢。


最安全的方法,是你主動聯絡官方,而不是跟隨對方提供的路徑。


4. 啟用雙重認證

即使密碼被撞中,多一重驗證也可以大大降低帳戶被盜用的風險。

對電郵、銀行、社交媒體、雲端硬碟及公司帳戶來說,MFA / 2FA 已經不是可有可無,而是基本防線。


5. 提醒家人及同事

長者、學生、前線同事、客服同事,往往是社交工程攻擊的高風險對象。


防騙意識不應只靠 IT 部門,而應該成為每個人都知道的日常習慣。



對企業來說,資料外洩不是單純 IT 事故


對企業而言,資料外洩不只是「Server 出事」或「電腦中毒」。


它同時涉及:

  • 客戶信任

  • 品牌聲譽

  • 營運中斷

  • 私隱合規壓力

  • 事故通報安排

  • 客戶查詢壓力

  • 後續詐騙風險


最麻煩的地方是,即使企業本身不是騙案的直接執行者,如果客戶因為公司資料外洩而收到假客服電話、釣魚短訊或被騙,客戶往往都會將責任和不滿連結到該企業身上。


換句話說,資料外洩不只是技術問題,而是信任問題。


一旦客戶覺得「我的資料在你公司手上也不安全」,企業要重新建立信心,往往比修復系統更困難。



老闆不應只問:「我們有沒有防毒軟件?」


很多企業以為有防毒軟件、有備份,就代表已經足夠安全。

但面對勒索軟件、釣魚攻擊、VPN 入侵、帳戶被盜用、NAS 暴露及雲端帳戶風險,單靠傳統防毒已經不足夠。


企業管理層更應該問:

  • 我們的備份能否真正還原?

  • 備份是否有離線或不可被輕易刪除的版本?

  • 重要帳戶有沒有啟用 MFA?

  • 員工權限是否過大?

  • VPN、Firewall、NAS、Server 有沒有定期更新?

  • 客戶資料是否有分級及限制存取?

  • 如果今日中招,有沒有事故應變及通報流程?

  • 前線同事是否知道如何處理客戶查詢?


這些問題,才是真正決定企業能否在事故中快速應對、減低損失及恢復營運的關鍵。



i-Success 的觀點:防騙,是市民責任;保護資料,是企業責任


作為市民,我們要學懂保護自己,不要因為對方講得出個人資料就輕信對方。


但作為企業,更重要的是在事故發生前做好準備,減低資料外洩、系統被加密、業務停頓及客戶受騙的風險。


資料保安不應只是一套防毒軟件,也不應只是 IT 部門在背後默默處理的技術問題。它應該是企業管理層需要理解的營運風險。


i-Success Technology 一直協助企業檢視 IT 架構、備份策略、帳戶權限、端點防護、Firewall / VPN 設定、NAS 及 Server 安全性,以及事故應變流程。


我們的目標,是讓企業在面對網絡攻擊時,不只是「希望不會出事」,而是有能力預防、偵測、應對及復原。


如果你不確定公司現有系統是否足以應對勒索軟件或資料外洩風險,歡迎聯絡我們作初步評估。


Website: www.i-success.hk

Contact i-Success via WhatsApp for IT support, cybersecurity consultation and enquiry

PROFESSIONAL & RELIABLE 

香港九龍荔枝角光昌街3號鴻昌工廠大廈2樓D2室

Unit D2 , 2/F , Hung Cheong Factory Building, 3 Kwong Cheung Street, Lai Chi Kok, Kowloon, Hong Kong

電話 : 852-3997 0301
營業時間 : 9am - 6pm

Copyright © 2025 i-Success Technology (HK) Limited. All Rights Reserved.

 
  • White Facebook Icon
  • Google Places - White Circle
  • v2 web-11
  • Customer Service
bottom of page