釣魚網站冒警詐財 當局籲提高警覺

HKCERT指，進入假網站後會見到網址和機構標誌，像真程度與香港警察網站無異。經分析後發現，該假網站是採用近期再興起的Browser in the Browser（BitB）嵌入式瀏覽器攻擊，所見到的網址列、工具列和索引標籤，只是黑客利用JPG方式製作出來，當瀏覽器進入全屏幕模式時，真網址列會被隱藏，這樣整個外觀就會跟平時上香港警察網站一樣。

其實這類釣魚網站有數個識別位，例如按下ESC就會退出全屏幕模式顯示真正的網址，假網址列上的網址是不可以修改的，用任何瀏覽器都只會顯示Chrome外觀，以及不可以在手機上瀏覽。

HKCERT已聯絡相關服務供應商移除這個網站，但相信這類釣魚攻擊會持續演變，故建議市民留意網站連結的串法，因假網站是不可以使用該機構的網址 （例如攻擊者只能利用hkcert.co去假冒hkcert.com）；點擊任何連結前必須考慮連結的真偽和傳送者是否可信；只在可信的設備下進行信用卡付款；確認是否付款到可信的機構等。