5間社福機構及學校WhatsApp群組被騎劫　900人資料外洩

私隱專員公署表示，過去一個月，接獲5間社福機構和學校的資料外洩事故通報，表示他們用作與受助人、學生或家長通訊的即時通訊軟件WhatsApp的帳戶遭到騎劫，騙徒繼而盜用已騎劫的WhatsApp帳戶假冒受害機構，向通訊錄的聯絡人發送騙取金錢的訊息。事件涉及近900名受助人、學生、家長或職員的姓名及手提電話號碼等個人資料。

私隱專員鍾麗玲接受電台訪問時指，受影響的大約900人中，有個案可能涉及住址和銀行資料外洩，細節仍要調查。她相信5宗通報都屬於隨機騎劫行為，並非特別針對機構或學校，而公署在去年全年至今年8月，都沒有收到同類通報，到上月就錄得5宗通報，反映WhatsApp帳戶遭騎劫案件明顯增加。

鍾麗玲指，市民未必得悉自己的資料已被外洩，部分人亦忽視電話號碼外洩的嚴重性，但不法分子可以利用電話號碼在網上搜尋更多受害人資料，或假扮受害人親友行騙，如果有人以電話號碼作為不同帳戶的密碼，帳戶就有機會被盜用。

公署呼籲市民啟用WhatsApp的雙重認證功能，定期在WhatsApp設定中檢查已連結裝置，並登出不再使用或不明的裝置連結；切勿向他人透露密碼或驗證碼；在網上搜尋WhatsApp網頁版時，小心留意網頁連結，不要誤按虛假的WhatsApp網頁版。一旦收到他人在WhatsApp要求借錢、匯款或提供個人資料的訊息，應先確認發送者的身分。

電腦保安事故協調中心表示，近日發現針對WhatsApp等即時通訊帳戶的新式釣魚攻擊活動，黑客透過建立偽冒的登入網頁，然後在搜尋引擎投放廣告，令偽冒網頁顯示於搜尋結果的當眼位置，誘導用戶進入釣魚網頁，掃描網頁上所顯示的二維碼。用戶一旦不慎掃描相關的二維碼，黑客就可以存取帳戶，冒充身份聯絡及欺詐受害人親友。

中心指，黑客一旦獲得即時通訊帳戶的存取權限，就可以獲得該帳戶中的大部分資訊和數據，例如照片、影片、文件、聊天記錄和通訊錄資訊。黑客甚至可以冒充用戶，向受害人的親友發送惡意訊息，例如要求轉賬或購買點數卡，事後更會用封存功能，隱藏惡意訊息，以免受害人發現。

中心呼籲市民保持警惕，應驗證即時通訊平台的網址，才進行登入程序，不要點擊不明來歷的連結，例如來自搜尋引擎的廣告等。中心又指，市民應定期檢查即時通訊帳戶，有否不明裝置連結，定期檢查已封存的訊息；如收到親友的財務要求訊息，最好致電對方確認。