5间社福机构及学校WhatsApp群组被骑劫　900人资料外泄

私隐专员公署表示，过去一个月，接获5间社福机构和学校的资料外泄事故通报，表示他们用作与受助人、学生或家长通讯的即时通讯软件WhatsApp的帐户遭到骑劫，骗徒继而盗用已骑劫的WhatsApp帐户假冒受害机构，向通讯录的联络人发送骗取金钱的讯息。事件涉及近900名受助人、学生、家长或职员的姓名及手提电话号码等个人资料。

私隐专员钟丽玲接受电台访问时指，受影响的大约900人中，有个案可能涉及住址和银行资料外泄，细节仍要调查。她相信5宗通报都属于随机骑劫行为，并非特别针对机构或学校，而公署在去年全年至今年8月，都没有收到同类通报，到上月就录得5宗通报，反映WhatsApp帐户遭骑劫案件明显增加。

钟丽玲指，市民未必得悉自己的资料已被外泄，部分人亦忽视电话号码外泄的严重性，但不法分子可以利用电话号码在网上搜寻更多受害人资料，或假扮受害人亲友行骗，如果有人以电话号码作为不同帐户的密码，帐户就有机会被盗用。

公署呼吁市民启用WhatsApp的双重认证功能，定期在WhatsApp设定中检查已连结装置，并登出不再使用或不明的装置连结；切勿向他人透露密码或验证码；在网上搜寻WhatsApp网页版时，小心留意网页连结，不要误按虚假的WhatsApp网页版。一旦收到他人在WhatsApp要求借钱、汇款或提供个人资料的讯息，应先确认发送者的身分。

电脑保安事故协调中心表示，近日发现针对WhatsApp等即时通讯帐户的新式钓鱼攻击活动，黑客透过建立伪冒的登入网页，然后在搜寻引擎投放广告，令伪冒网页显示于搜寻结果的当眼位置，诱导用户进入钓鱼网页，扫描网页上所显示的二维码。用户一旦不慎扫描相关的二维码，黑客就可以存取帐户，冒充身份联络及欺诈受害人亲友。

中心指，黑客一旦获得即时通讯帐户的存取权限，就可以获得该帐户中的大部分资讯和数据，例如照片、影片、文件、聊天记录和通讯录资讯。黑客甚至可以冒充用户，向受害人的亲友发送恶意讯息，例如要求转账或购买点数卡，事后更会用封存功能，隐藏恶意讯息，以免受害人发现。

中心呼吁市民保持警惕，应验证即时通讯平台的网址，才进行登入程序，不要点击不明来历的连结，例如来自搜寻引擎的广告等。中心又指，市民应定期检查即时通讯帐户，有否不明装置连结，定期检查已封存的讯息；如收到亲友的财务要求讯息，最好致电对方确认。