釣魚短訊

假冒水務署的水費釣魚短訊：一條欠款訊息，掏空你張卡

2026年初，假冒香港水務署（Water Supplies Department）的釣魚短訊鋪天蓋地：一句細額「水費欠款」或「賬戶需要更新」，連結到一個做得幾可亂真的假水務署網頁，先騙你的電話號碼，再騙信用卡號、CVV和一次性密碼（OTP），然後把卡盜刷一空。HKCERT與香港警方已就此發出警告，這是當下香港最高量的冒充政府部門釣魚短訊。

SB

SafeBrowz 威脅研究團隊 安全研究2026年6月17日10 分鐘閱讀

HKCERT與警方警告了甚麼

2026年2月24日，水務署透過政府新聞網（info.gov.hk）發出官方聲明，提醒市民提防假冒水務署的釣魚短訊與電郵；緊接著在2026年3月16日，香港電腦保安事故協調中心（HKCERT）亦就同一波釣魚攻擊發出保安警報。兩個部門指向同一件事：一場以「水費」為餌、針對全港用戶的大規模釣魚短訊浪潮正在爆發。

警方點算過這波攻擊的規模，數字嚇人。執法部門發現騙徒使用了約250個假發送人名稱（sender ID），以及300多條釣魚連結，把訊息偽裝成來自水務署的官方通知。單是2026年3月一個月，已錄得170多宗相關案件，損失逾港幣340萬元，其中一名77歲長者更被騙走港幣17萬元。以單一冒充政府部門的釣魚短訊計，這是目前香港案發量最高的一種。

水費騙局之所以「好用」，正正在於它平凡。水費是每家每戶都有的賬單，金額通常不大，一句「你有一筆細額水費未繳，請即找數以免停水」聽起來再正常不過。沒有人會因為一筆幾十蚊的水費而起戒心，於是順手一點連結，就墮進騙徒精心鋪好的圈套。騙徒要的從來不是那筆水費，而是你在假網頁上親手交出的整套信用卡資料。

整個騙局如何運作，由短訊到盜刷

這個騙局的設計，是一條把你一步步引向「自己交出卡資料」的滑梯。看清每一級，就不會踏空。

第一步：一條看似官方的短訊或電郵。你收到一條短訊，發送人名稱寫著「水務署」或類似字眼，內容大致是「閣下尚有水費欠款港幣 $XX 未繳」或「你的水務賬戶資料需要更新，否則將暫停供水服務」，後面附上一條連結。由於騙徒會偽造發送人名稱，這條訊息甚至可能落在你過往真正政府短訊的同一個對話串裡，令人更難分辨。

第二步：一個幾可亂真的假水務署網頁。點進連結，你會見到一個用了水務署標誌、藍色配色、繁體中文界面的網頁，乍看與官方無異。但網址絕不是 wsd.gov.hk，而是寄存在免費寄存平台或一次性域名上的冒牌網站。頁面通常先請你輸入電話號碼或賬戶號碼「核對身份」，降低你的戒心。

第三步：索取整套信用卡資料。過了第一關，網頁就進入真正的目的：要你輸入信用卡號碼、有效日期，以及卡背的 CVV 三位數安全碼，理由是「繳付欠款」。一個正當的政府收費系統絕不會在這種短訊連結頁面上索取 CVV。

第四步：截取 OTP，盜刷成功。當你輸入卡資料的一刻，騙徒在後台即時用你的卡嘗試一筆交易，於是你的銀行真的發出一個 OTP（一次性密碼）短訊。假網頁隨即彈出一格「請輸入驗證碼」，你以為是繳費的最後一步，把 OTP 填進去，等於親手批准了騙徒那筆盜刷。一旦 OTP 到手，你的卡就會在幾分鐘內被刷爆。整個過程，你「同意」了每一步，銀行系統也難以即時分辨。

SafeBrowz 會標記的假水務署連結（示例）

那個假水務署網頁，是整個騙局裡唯一活在你瀏覽器內的環節，這也代表它是掃描器能在你輸入任何卡資料之前就攔下的環節。這些頁面幾乎都寄存在免費寄存平台或冒充政府字眼的一次性域名上。以下是用於示範的仿冒域名，並非真實服務。把任何一個貼進下面的檢測框，看看即時掃描如何判定：

• wsd-billing-hk.vercel.app
• wsd-payment.pages.dev
• gov-hk-wsd.netlify.app

留意它們的形態。一個官方字眼（「wsd」、「gov-hk」）擺在前面，後面跟著一個任何香港政府部門都不會用的免費寄存後綴。真正的水務署只會用 wsd.gov.hk，所有政府服務都落在 gov.hk 之下。一個整個可瀏覽地址都只是 vercel.app、pages.dev 或 netlify.app 子網域的「水務署繳費頁」，不可能是真的。用下面的檢測框，先驗一驗任何聲稱來自政府的連結，再決定要不要相信。

每次都能坐實這是詐騙的危險信號

你不必懂科技也能識破它。只要記住政府部門的做事方式，破綻就一目了然。

• 用短訊連結叫你「即時找數」。水務署不會用短訊夾一條連結叫你點入去繳水費。真正的賬單透過郵寄單據、賬戶結單或官方App發出，從不靠一條催繳連結。
• 網址不是 wsd.gov.hk。這是決定性的一條。所有香港政府網站都在 gov.hk 之下，水務署是 wsd.gov.hk。只要網址有 vercel.app、pages.dev、netlify.app，或把「gov」「hk」「wsd」拼在一個古怪域名裡，就是假的。
• 索取信用卡號 + CVV。政府收費系統不會在催繳頁面上問你卡背的三位數安全碼。一旦見到要 CVV，立即關掉。
• 要你輸入 OTP「驗證」。那個一次性密碼是你銀行發出來保護你的，把它填進任何短訊連結頁面，等於替騙徒批准一筆盜刷。任何網頁叫你交出 OTP，都是騙局。
• 製造緊迫與恐嚇。「24小時內不繳將停止供水」「賬戶即將凍結」。政府不會用這種催逼語氣逼你即時入卡。緊迫感本身就是騙徒的工具。
• 金額細到令你不起疑。欠款往往只是幾十蚊，正是要你覺得「咁少錢，找咗佢算」。騙徒要的是卡資料，不是那筆水費。
• 發送人名稱看似官方但可偽造。短訊顯示「水務署」不代表真的來自水務署，發送人名稱（sender ID）可以被假冒，警方已發現約250個假名稱在用。

核實一張賬單的正確方法

規則其實只有一條，而且很簡單：永遠不要用短訊或電郵裡的連結去核實或繳付任何政府賬單。那條連結正是騙徒控制的入口。

要查你究竟有沒有水費欠款，請自己動手，從頭打開官方途徑：在瀏覽器自行輸入 wsd.gov.hk，或從官方應用程式商店安裝水務署官方App，用你自己的賬戶登入查看。如有疑問，直接致電水務署的官方客戶服務熱線（號碼以 wsd.gov.hk 上公佈者為準），而不是回覆短訊或撥打訊息中提供的電話。香港政府的「智方便」（iAMSmart）等官方數碼服務，亦不會透過陌生短訊連結要你補回卡資料。多花一分鐘自己打開官方網站，勝過在假頁面上交出整張卡。

為甚麼「水費」是騙徒首選的餌

同一套釣魚劇本，騙徒可以換上任何政府部門的招牌：海關、入境處、郵政署、稅務局、消費券。但「水費」這個餌特別好用，原因很實在。

第一，覆蓋面最廣。全港幾乎每一戶都有水務署賬戶，隨機亂發都能命中真正的用戶，命中率遠高於冒充某間特定銀行。第二，金額小、爭議低。一筆幾十蚊的欠款不會令人警覺去打電話查證，反而會「順手繳清」。第三，賬單情境合理。水費是定期賬單，「漏交一期」聽起來完全可信，不像中獎或退稅那麼明顯造假。第四，目標可被孤立。獨居長者、不常上水務署網站的人，最難即時核對自己到底欠不欠費，正是這波騙局裡損失最慘重的一群，那位被騙HK$17萬的77歲長者就是寫照。

這也解釋了為何同一波攻擊會用上300多條釣魚連結：騙徒把站點當消耗品，被舉報封一個就換一個，靠數量淹沒防守。要追著每一條新連結去封堵，永遠慢半拍；唯有從結構上識破「政府部門 + 短訊連結 + 索取卡資料」這個組合，才能一次過擋下整個家族。

SafeBrowz 在網絡層面看到甚麼

盜刷那一刻發生在銀行系統內，但讓整個騙局成立的那一環，也就是那個假水務署網頁，是一個網頁，而這正是瀏覽器端檢測發揮作用的地方。在 SafeBrowz 引擎中，這類假政府網頁在三層檢測裡的表現都高度一致。

第一，域名又新又一次性。假水務署網站幾乎都在攻擊發動前幾天才註冊，被舉報後即棄用換新。真正的 wsd.gov.hk 是一個有多年歷史、已驗證的政府網域。單憑域名年齡與政府冒充信號，就能在頁面內容載入之前標記出大量這類站點。

第二，寄存方式是破綻。這些「繳費頁」絕大多數跑在免費寄存平台上，把「wsd」「gov」「hk」拼在 vercel.app、pages.dev 或 netlify.app 子網域上，因為騙徒要消耗成百上千個一次性站點，而免費寄存不花一分錢。任何真正的政府服務都只會在 gov.hk 之下。免費寄存加政府關鍵詞這個組合，本身就是一個高置信度信號，與頁面寫了甚麼無關。

第三，內容是一份教科書式的政府冒充畫像。一個套用水務署標誌的繳費表單、一個索取信用卡號和 CVV 的欄位、一格要你輸入 OTP 的彈窗，全都由一個毫無政府痕跡的主機提供。內容層分析能抓住一個任何黑名單都未見過的全新仿冒站，這一點至關重要，因為這些站點被批量生產的速度，比任何靜態名單能追蹤的都快。

SafeBrowz 如何攔截此威脅

SafeBrowz 採用 3 層檢測架構：本地 + API + AI。

• 第 1 層 - 本地檢測：60+ URL 模式 + 550+ 品牌與機構專屬簽名（包括同形異義與 Punycode 變體）+ 社群白名單／黑名單，全部在擴展程序中直接運行，於頁面渲染之前完成。它能即時抓住免費寄存子網域上的政府機構關鍵詞、廉價 TLD 濫用，以及把「gov」「wsd」縫進古怪域名的仿冒家族。
• 第 2 層 - API 檢查：聚合 Google Safe Browsing、PhishTank、URLhaus、ScamAdviser，外加域名年齡查詢（多數假政府站只有幾天歷史）和 30+ 詐騙 TLD。
• 第 3 層 - AI 深度掃描：支援 100+ 語言的內容感知品牌與機構冒充分析，能抓住一個任何黑名單都未見過的全新假政府繳費頁，包括那些套用部門標誌、索取卡資料的頁面。

檢測簽名源自威脅情報研究和我們內部的品牌數據庫，而非用戶瀏覽數據。SafeBrowz 不儲存每個用戶的瀏覽歷史。

不想安裝任何東西的人，可以使用同一引擎驅動的免費 公共網址檢測工具。貼上任何可疑連結，幾秒鐘得到結論。

現在該怎麼做

如果你剛收到這類短訊，或者懷疑自己已經中招，正確的應對如下。

1. 不要點連結，不要入任何卡資料。就算只是「填個電話號碼核對一下」也不要做。一個會問你信用卡號、CVV 或 OTP 的政府繳費頁，必然是假的。
2. 核實賬單只走官方途徑。自行打開 wsd.gov.hk 或水務署官方App登入查看，或致電官網公佈的客服熱線，切勿用短訊裡的連結或電話。
3. 如已輸入卡資料或 OTP，立即致電發卡銀行。用卡背面的電話號碼聯絡銀行，要求即時凍結／停用該張信用卡並查核可疑交易，越快越好，盜刷往往在幾分鐘內發生。
4. 致電防騙易熱線 18222。反詐騙協調中心（ADCC）的 18222 可即時提供求助與防騙意見；若已有金錢損失或屬緊急情況，請報案 999 或聯絡香港警務處。報案時附上釣魚短訊、發送人名稱、連結網址及交易紀錄。
5. 把釣魚連結轉交 HKCERT。香港電腦保安事故協調中心會處理並協助封禁釣魚網站，向他們提交可疑連結有助保護其他人。你亦可循官方反詐騙宣傳渠道（如 CyberDefender 守網者）核對最新騙案手法。
6. 提醒家中長者。這波騙局重災區是不常上網核對賬單的長者。把這條規則直接告訴他們：政府不會用短訊連結問卡號和 OTP，任何水費問題都打電話問家人或直接打去水務署。

如果你是替年長的父母或親戚讀這篇文章，今天就替他們把水務署官方App裝好、把官方客服熱線記在電話簿，並約定一句話：「收到任何叫你入卡找數的短訊，先打給我。」一條偽冒的連結，敵不過一通打回家的電話。我們完整的 《被騙了，現在該怎麼辦》 指南詳細講了頭一小時的補救步驟。

常見問題

水務署真的會用短訊叫我點連結繳水費嗎？

不會。水務署不會透過短訊夾一條連結叫你即時繳交水費，更不會在這類連結頁面上索取信用卡號、CVV 或 OTP。真正的水費賬單透過郵寄單據、賬戶結單或官方App發出。任何聲稱有水費欠款、要你點短訊連結入卡找數的訊息，都是釣魚騙局。水務署只用官方網域 wsd.gov.hk。

我怎樣分辨網頁是不是真的水務署？

看網址。所有香港政府網站都在 gov.hk 之下，水務署是 wsd.gov.hk。如果地址是 vercel.app、pages.dev、netlify.app 等免費寄存子網域，或把「gov」「hk」「wsd」拼進一個古怪域名，就是假的，無論頁面上的標誌和配色做得多像。最穩陣的做法是不要點短訊連結，自己在瀏覽器輸入 wsd.gov.hk。

騙徒為甚麼要我輸入 OTP？

因為那個一次性密碼正是批准一筆交易的最後一步。當你在假網頁輸入卡資料時，騙徒在後台即時用你的卡發動一筆盜刷，於是你的銀行真的發出 OTP 短訊保護你。假網頁隨即叫你「輸入驗證碼」，你以為是繳費的一步，其實是替騙徒批准了那筆盜刷。任何網頁叫你交出 OTP，都不要照做。

這個騙局在香港有多嚴重？

非常嚴重。香港警方發現騙徒使用約250個假發送人名稱和300多條釣魚連結，僅2026年3月一個月就錄得170多宗相關案件，損失逾港幣340萬元，一名77歲長者被騙走港幣17萬元。以單一冒充政府部門的釣魚短訊計，這是目前香港案發量最高的一種，水務署亦於2026年2月24日、HKCERT 於3月16日先後發出警告。

我已經在假網頁輸入了信用卡號和 OTP，現在怎麼辦？

立即用信用卡背面的電話致電發卡銀行，要求即時凍結或停用該卡並查核可疑交易，因為盜刷可能在幾分鐘內發生。然後致電防騙易熱線 18222 求助；如已有金錢損失或屬緊急，請報案 999 或聯絡香港警務處，並把釣魚短訊、連結及交易紀錄保留作證。如有需要，亦可考慮更換相關密碼及通知其他持卡。

我該如何舉報這類釣魚短訊？

在香港，致電反詐騙協調中心的防騙易熱線 18222 求助及舉報；如已損失金錢或屬緊急情況，請報案 999 或聯絡香港警務處。可將釣魚連結及短訊轉交香港電腦保安事故協調中心（HKCERT）協助封禁，並循 CyberDefender 守網者等官方反詐騙渠道核對最新騙案。舉報時請附上釣魚網址、短訊內容、發送人名稱及任何交易紀錄。

免費安裝 SafeBrowz

添加這款瀏覽器擴展，它會掃描每一個連結，包括假冒水務署或其他政府部門的釣魚連結，在頁面渲染之前完成。永久免費。

添加到 Chrome 添加到 Firefox 添加到 Edge