資料外洩詐騙風險:騙徒講得出你資料,唔代表佢真係客服
- 19小时前
- 讀畢需時 6 分鐘

拆解資料外洩後的精準詐騙風險
近期本港接連出現大型企業資料外洩及勒索軟件相關事件,當中涉及客戶資料、聯絡資料、保養紀錄或會員資料等敏感資訊,再次提醒大家:資料外洩並不只是企業內部的 IT 事故,也可能成為後續詐騙的起點。
很多人聽到「資料外洩」,第一反應可能只是:「電話、電郵或地址被人知道了,會有幾大件事?」
但真正需要留意的是:資料外洩之後,風險未必即時完結,反而可能只是另一輪精準詐騙的開始。
當騙徒手上掌握了你的姓名、電話、電郵、地址、會員資料、購買紀錄,甚至部分身份資料,他們就可以將原本普通的騙案,包裝成更可信、更個人化、更難分辨的陷阱。
作為 IT 服務及網絡安全支援團隊,我們想提醒大家:對方講得出你的資料,並不代表對方真的是官方客服。
資料被偷走之後,騙徒可以怎樣利用?
很多人以為,資料外洩只是「我的電話號碼被人知道了」。但對騙徒來說,一組看似普通的資料,已經足夠拼湊出一個很有說服力的故事。
例如:
你曾經購買電器,騙徒可以扮成售後服務中心。
你是某品牌會員,騙徒可以扮成會員客服。
你有登記保養,騙徒可以扮成維修部。
你留下過送貨地址,騙徒可以扮成物流公司。
你用同一個電郵註冊多個平台,騙徒可以嘗試撞密碼登入其他帳戶。
最危險的地方,是騙徒未必一開始就問你取錢。他們可能先講出一些真實資料,令你放低戒心,然後一步步引導你:
「我們需要確認你的資料。」
「你的保養登記需要更新。」
「系統顯示你的帳戶有異常登入。」
「請按此連結重新啟用會員戶口。」
「你的退款已批核,請輸入銀行資料收款。」

在資料外洩愈來愈常見的年代,「對方講得出我的資料,所以應該是真的」這個判斷方法已經不可靠。
常見風險一:假客服電話或 WhatsApp
騙徒可能扮成品牌客服、維修中心、保養部、電訊公司、銀行、網購平台或物流公司,聲稱需要跟進你的帳戶、訂單、保養、退款或送貨安排。
他們最常用的方法,是先講出你部分真實資料,令你覺得對方可信,然後再要求你提供更多敏感資料,例如:
身份證號碼
信用卡資料
一次性驗證碼 OTP
登入密碼
銀行戶口資料
要記住一個重要原則:
真正客服不應要求你提供帳戶密碼、完整信用卡資料或一次性驗證碼。
常見風險二:假 SMS / Email 釣魚連結
資料外洩後,騙徒可以發出更個人化的釣魚短訊或電郵。
普通釣魚訊息可能只是:
「你的帳戶有問題,請登入。」
但如果騙徒掌握了更多資料,訊息就可以變成:
「陳先生,你早前登記的產品保養資料需要更新,請於 24 小時內確認。」
後者明顯更容易令人相信。
這類訊息通常會附有連結,引導你登入假網站、輸入個人資料、重設密碼或填寫銀行資料。表面看似是官方通知,實際上可能是釣魚網站。
所以,遇到任何要求你「立即登入」、「更新資料」、「確認付款」、「領取退款」的訊息,都應該格外小心。
常見風險三:撞密碼及帳戶盜用
很多人會在不同平台使用相同或相似密碼。如果其中一個平台的資料外洩,騙徒就可能嘗試用同一組電郵及密碼登入其他服務。
例如:
網購平台
電郵帳戶
社交媒體
雲端硬碟
付款平台
公司系統或 Microsoft 365 帳戶
所以資料外洩後,不只是「受影響平台」需要改密碼。其他使用相同密碼的平台,也應該一併更改。
建議做法包括:
每個重要帳戶使用不同密碼。
啟用雙重認證 MFA / 2FA。
定期檢查有沒有異常登入紀錄。
不要重用公司電郵密碼到私人平台。
不要把同一組密碼用於電郵、網購、銀行或公司系統。
密碼重用,是很多帳戶被盜用的起點。
常見風險四:身份冒認及社交工程攻擊
如果外洩資料包括姓名、電話、電郵、地址、生日、身份證部分資料或交易紀錄,騙徒就可以用作身份冒認。
他們可能嘗試冒充你本人,聯絡服務供應商要求重設密碼、查詢帳戶或申請服務。亦有可能利用你的個人資料,向你的家人、同事、客戶或朋友發出更可信的詐騙訊息
。
這類攻擊未必即時發生。有時外洩資料會被出售、轉手、重新整理,數星期、數月甚至更長時間後,才被用於另一宗騙案。
所以資料外洩的風險,並不會在新聞熱度過去後就自然消失。
最重要的防騙原則:不要被「資料準確」迷惑
很多人判斷對方是否可信,會用一個簡單方法:
「他講得出我的資料,應該是真的。」
但在資料外洩年代,這個方法已經不安全。
更安全的做法是:
1. 不要即時提供敏感資料
無論對方語氣有多急,都不要即時提供密碼、一次性驗證碼、身份證號碼、信用卡資料或銀行資料。
真正的官方客服,不應要求你提供這些高風險資料。
2. 不要按訊息內的連結登入
如果要登入帳戶,應自行打開官方網站或官方 App,而不是透過 SMS、WhatsApp 或 Email 入面的連結。
即使訊息看似來自熟悉品牌,也應先自行核實。
3. 用官方渠道反向查證
不要單靠對方提供的電話號碼或連結。應自行到官方網站、產品單據、保養文件或正式客服渠道查詢。
最安全的方法,是你主動聯絡官方,而不是跟隨對方提供的路徑。
4. 啟用雙重認證
即使密碼被撞中,多一重驗證也可以大大降低帳戶被盜用的風險。
對電郵、銀行、社交媒體、雲端硬碟及公司帳戶來說,MFA / 2FA 已經不是可有可無,而是基本防線。
5. 提醒家人及同事
長者、學生、前線同事、客服同事,往往是社交工程攻擊的高風險對象。
防騙意識不應只靠 IT 部門,而應該成為每個人都知道的日常習慣。
對企業來說,資料外洩不是單純 IT 事故
對企業而言,資料外洩不只是「Server 出事」或「電腦中毒」。
它同時涉及:
客戶信任
品牌聲譽
營運中斷
私隱合規壓力
事故通報安排
客戶查詢壓力
後續詐騙風險
最麻煩的地方是,即使企業本身不是騙案的直接執行者,如果客戶因為公司資料外洩而收到假客服電話、釣魚短訊或被騙,客戶往往都會將責任和不滿連結到該企業身上。
換句話說,資料外洩不只是技術問題,而是信任問題。
一旦客戶覺得「我的資料在你公司手上也不安全」,企業要重新建立信心,往往比修復系統更困難。
老闆不應只問:「我們有沒有防毒軟件?」
很多企業以為有防毒軟件、有備份,就代表已經足夠安全。
但面對勒索軟件、釣魚攻擊、VPN 入侵、帳戶被盜用、NAS 暴露及雲端帳戶風險,單靠傳統防毒已經不足夠。
企業管理層更應該問:
我們的備份能否真正還原?
備份是否有離線或不可被輕易刪除的版本?
重要帳戶有沒有啟用 MFA?
員工權限是否過大?
VPN、Firewall、NAS、Server 有沒有定期更新?
客戶資料是否有分級及限制存取?
如果今日中招,有沒有事故應變及通報流程?
前線同事是否知道如何處理客戶查詢?
這些問題,才是真正決定企業能否在事故中快速應對、減低損失及恢復營運的關鍵。
i-Success 的觀點:防騙,是市民責任;保護資料,是企業責任
作為市民,我們要學懂保護自己,不要因為對方講得出個人資料就輕信對方。
但作為企業,更重要的是在事故發生前做好準備,減低資料外洩、系統被加密、業務停頓及客戶受騙的風險。
資料保安不應只是一套防毒軟件,也不應只是 IT 部門在背後默默處理的技術問題。它應該是企業管理層需要理解的營運風險。
i-Success Technology 一直協助企業檢視 IT 架構、備份策略、帳戶權限、端點防護、Firewall / VPN 設定、NAS 及 Server 安全性,以及事故應變流程。
我們的目標,是讓企業在面對網絡攻擊時,不只是「希望不會出事」,而是有能力預防、偵測、應對及復原。
如果你不確定公司現有系統是否足以應對勒索軟件或資料外洩風險,歡迎聯絡我們作初步評估。
WhatsApp: https://wa.me/85253831033
Website: www.i-success.hk
