分享
釣魚短訊

假匯豐、香港郵政、抖音 「自動扣費」釣魚短訊:一條扣款通知,掏空你張卡

香港反詐騙協調中心(ADCC)的「防騙易」近期警告:有一批假冒匯豐(HSBC)、香港郵政、抖音的「自動扣費」釣魚短訊正在流傳。一類聲稱你「訂閱/續訂了抖音會員,已從你的賬戶自動扣費 HK$XXX」,另一類冒充香港郵政聲稱「地址不完整/派送失敗,請更新」。兩者的尾巴一樣:要麼叫你撥打一個假「客服」電話去「取消扣費/退款」,要麼叫你點一條連結進入做得很像的假匯豐、假香港郵政頁面,騙走你的銀行卡資料、登入密碼和個人資料。這就是近年橫掃香港與廣東話用戶的同一條中文短訊釣魚(Smishing)流水線。

SafeBrowz 威脅研究團隊 安全研究2026年6月25日10 分鐘閱讀

一句話看懂

結論:這是詐騙。無論短訊聲稱「你訂閱抖音會員被自動扣費 HK$XXX」,還是「香港郵政包裹地址不完整、派送失敗請更新」,只要它叫你撥打短訊裡的電話「取消扣費/退款」,或點短訊裡的連結登入、填銀行卡或個人資料,都是釣魚騙局。真正的匯豐只用一個官方網域:hsbc.com.hk;香港郵政是 hongkongpost.hk;抖音是 douyin.com。任何不是這幾個網域的連結,無論做得多像、金額多細、語氣多急,都是假的。不要撥打短訊裡的任何號碼,不要點短訊裡的連結,不要在連結頁輸入卡號、密碼或個人資料。要查賬戶、查扣費、查包裹,請自己打開官方App或官方網站核對,切勿用短訊裡的連結或電話。已中招或想舉報?立即致電「防騙易」熱線 18222(反詐騙協調中心 ADCC),緊急或已有金錢損失請報案 999

防騙易警告了甚麼

香港反詐騙協調中心(ADCC)透過「防騙易」(CyberDefender)平台提醒市民:近期有大量假冒知名機構的釣魚短訊,以「自動扣費」「派送失敗」為餌散播,目標是套取你的銀行卡資料與個人身份。同一波短訊釣魚並非只盯一個品牌,而是輪流換上匯豐、香港郵政、抖音等大眾每天都會接觸的名字,務求隨機亂發都能命中真正的用戶。

這些短訊有一個共通的心理鈎子:先讓你「肉痛」或「擔心」。一條說你莫名其妙被扣了一筆抖音會員費,你第一反應是「我幾時訂過?要快啲取消攞番錢」;一條說你有包裹因地址問題派不到,你第一反應是「咦我係咪真係有個包裹?快啲更新資料」。騙徒要的就是這一秒的慌張,趁你來不及細想,就順手撥了那個電話、點了那條連結。

記住一條鐵律:銀行、郵政、平台,沒有一個會用一條短訊夾着連結或陌生電話,叫你「即刻登入」「即刻退款」「即刻更新資料」。真正要處理的事,永遠是你自己打開官方App或官網去辦,而不是被一條短訊牽着走。

這兩類短訊長甚麼樣

同一條流水線,外殼不同,套路一樣。看清楚兩種最常見的版本。

第一種:假抖音「自動扣費」。短訊大致寫着「【抖音】您已成功訂閱/續訂抖音超級會員,將於今日自動扣費 HK$398,如非本人操作請於 24 小時內致電 +852 XXXX XXXX 取消,逾時不予退款」。它故意報一個聽起來真實、又夠肉痛的金額,再附一個「客服」電話。你一打過去,對面是一把專業、冷靜的假「客服」,會一步步指示你「核實身份退款」,最終引你到一個假頁面輸入銀行卡號、有效期、CVV,甚至讀出銀行發來的一次性驗證碼(OTP)。那一刻,錢就真的被扣走了,而且是被騙徒扣走。

第二種:假香港郵政「派送失敗」。短訊大致寫着「【香港郵政】您的包裹因地址資料不完整無法派送,請於 24 小時內點擊以下連結更新地址,逾期將退回寄件人」,後面跟一條短連結。點進去是一個套用香港郵政標誌、繁體中文界面的假頁面,先要你填姓名、地址、電話,再以「需繳付 HK$3 補派費」「核實身份」為由,要你輸入銀行卡或信用卡資料。那三蚊從來不是重點,騙徒要的是你整套卡資料。

兩種短訊的尾巴殊途同歸:一個叫你打電話、一個叫你點連結,但最終都是把你引到「親手交出銀行卡與個人資料」這一步。

SafeBrowz 會標記的假連結

那條假匯豐、假香港郵政、假抖音的網頁,是整個騙局裡唯一活在你瀏覽器內的環節,也正是掃描器能在你輸入任何卡號或密碼之前就攔下的環節。防騙易這波警示並沒有點名某一條特定的釣魚網址,因為騙徒每天都在換站、換域名,靠數量淹沒防守。重點不在記住某一條壞網址,而在記住那幾條好網址:真正的匯豐、香港郵政、抖音各自只有一個官方網域,連結若指向其他任何網域,無論看起來多官方,都是假的。騙徒慣用的,是把品牌字眼縫進廉價或一次性域名(以下純屬示範,並非真實服務):

  • hsbc-hk[.]xyz(示範,冒充匯豐)
  • hkpost-update[.]top(示範,冒充香港郵政)
  • douyin-vip-refund[.]cc(示範,冒充抖音)

留意它們的共通點:地址都不是 hsbc.com.hkhongkongpost.hkdouyin.com。任何把「hsbc」「hkpost」「douyin」拼進古怪域名、或寄存在免費平台子網域上的連結,都是冒充。任何聲稱來自匯豐、香港郵政或抖音的短訊連結,先用下面的檢測框驗一驗,再決定要不要相信。

🛡 即時檢測

點擊之前,先把連結貼到這裡

收到聲稱來自匯豐、香港郵政或抖音的短訊連結?貼到下面。我們的三層引擎(本地 + 接口 + AI)約 3 秒給出結論。免費,無需註冊。

使用深度 AI 分析進行完整掃描 → · 不會將任何網址與您的身份關聯。

整個騙局如何運作,由短訊到盜走你張卡

這個騙局的設計,是一條把你一步步引向「自己交出銀行卡」的滑梯。看清每一級,就不會踏空。

第一步:一條製造肉痛或擔心的短訊。你收到一條顯示成「匯豐」「香港郵政」「抖音」字眼的短訊,內容不是說你被扣了一筆莫名其妙的會員費,就是說你有包裹派不到。它一定夾着一個「客服」電話或一條短連結,並配上「24 小時內」「逾期不予退款/退回寄件人」之類的死線,逼你即刻行動。

第二步:撥打假客服,或點進假網頁。打電話那條路,對面是訓練有素的假「客服」,語氣專業,會用「核實身份才能退款」「保障你賬戶安全」之類的說法,一步步指示你操作;點連結那條路,你會見到一個套用品牌標誌、繁體中文界面的假登入或表單頁,與官網極為相似,但網址絕不是官方網域。

第三步:交出銀行卡與一次性驗證碼。無論哪條路,終點都是要你輸入或讀出銀行卡號、有效期、CVV,以及銀行剛剛發給你的一次性驗證碼(OTP)。騙徒拿到卡資料還不夠,那個 OTP 才是臨門一腳,有了它,他們就能即時授權一筆交易或綁定你的卡到他們的錢包。你以為自己在「取消扣費」,其實是在親手授權一筆扣款。

第四步:扣款、盜用、橫向擴大。卡資料一旦落入騙徒手中,他們可能即時盜刷、把卡綁到電子錢包反覆消費,或把資料賣給其他犯罪集團;連同你填過的姓名、地址、身份證等個人資料,更可能被用來冒充你開戶或申請其他服務。整個過程,你「同意」了每一步,因為每一步看起來都只是「取消扣費」或「更新地址」。

每次都能坐實這是詐騙的危險信號

你不必懂科技也能識破它。只要記住銀行、郵政、平台的做事方式,破綻就一目了然。

  • 用短訊夾電話叫你「取消扣費/退款」。匯豐、抖音不會用一條短訊報你一筆扣費、再附一個電話叫你打去取消。真正的扣費爭議,只會在官方App或官網的正式渠道處理。
  • 用短訊夾連結叫你「更新地址/補繳派送費」。香港郵政不會用一條短訊連結叫你填地址再收你卡。包裹有問題,循官方網站或官方渠道查件,從不靠一條「即點」連結收你的卡資料。
  • 網址不是 hsbc.com.hk / hongkongpost.hk / douyin.com。這是決定性的一條。只要連結網址不是這幾個官方網域,無論它把品牌字眼拼得多像、標誌做得多真,都是假的。
  • 叫你提供銀行卡號、CVV 或一次性驗證碼(OTP)。任何客服、任何頁面叫你讀出或輸入 OTP,都是詐騙。OTP 是你授權一筆交易的鑰匙,正規退款絕不需要你交出它。
  • 製造緊迫與死線。「24 小時內取消否則不予退款」「逾期退回寄件人」。這種催逼本身就是工具,目的是讓你來不及細想就行動。
  • 用一筆莫名其妙的扣費勾起你「攞番錢」的衝動。「你被扣了 HK$398」之所以好用,正是要你急於追回,反而失了戒心。先冷靜核對賬戶,沒有這筆扣費,整條短訊就是假的。
  • 發件人名稱看似官方但可偽造。短訊顯示「匯豐」「香港郵政」不代表真的來自官方,發件人名稱與短訊內容都可以被偽冒,真正的網域與官方渠道才是關鍵。

核實一條「扣費」或「派送」通知的正確方法

規則其實只有一條,而且很簡單:永遠不要撥打短訊裡的電話,也永遠不要點短訊裡的連結去登入、退款或填資料。那個號碼、那條連結,正是騙徒控制的入口。

要查你究竟有沒有被抖音扣費,請自己打開抖音官方App的賬戶與付費紀錄查看;要查有沒有匯豐的可疑扣款,請自行打開匯豐官方App或在瀏覽器輸入 hsbc.com.hk 登入核對,有疑問就撥打你銀行卡背面或月結單上印的官方客服熱線,而不是短訊裡的號碼;要查包裹,請自己打開香港郵政官網 hongkongpost.hk 用單號查件。多花一分鐘自己打開官方途徑核對,勝過在假頁面或假客服面前交出整張卡。

為甚麼匯豐、郵政、抖音是騙徒最愛的招牌

同一套短訊釣魚劇本,騙徒可以換上任何機構的招牌,但這三個招牌特別「抵搏」,原因很實在。

第一,覆蓋面極廣。匯豐是香港最多人用的銀行之一,幾乎人人都有包裹會經香港郵政,抖音的用戶更是以億計,隨機亂發都能命中真正的用戶。第二,情境極合理。每個月都有人真的被各種會員自動續費、每個人都真的在等某個包裹,「扣費」「派送失敗」這種說法完全合乎日常,不像中獎那麼明顯造假。第三,動作門檻低。打一個電話、點一條連結,比甚麼都容易,騙徒只要你做這一個小動作,就能把你拉進後面的圈套。第四,目標可被孤立。長者或不熟悉網上付費機制的人,最難即時分辨真假,往往是損失最慘重的一群。

這也解釋了為何騙徒會不斷更換發送號碼與釣魚連結:站點被舉報封一個就換一個,靠數量淹沒防守。要追着每一條新連結去封堵,永遠慢半拍;唯有從結構上識破「機構名 + 短訊 + 陌生電話或連結 + 索取卡資料或 OTP」這個組合,才能一次過擋下整個家族。

SafeBrowz 在網絡層面看到甚麼

盜刷那一刻發生在銀行系統內,但讓整個騙局成立的那一環,也就是那個假匯豐、假香港郵政、假抖音的網頁,是一個網頁,而這正是瀏覽器端檢測發揮作用的地方。在 SafeBrowz 引擎中,這類假機構網頁在三層檢測裡的表現都高度一致。

第一,域名又新又一次性。這些假頁面幾乎都在攻擊發動前幾天才註冊,被舉報後即棄用換新。真正的 hsbc.com.hkhongkongpost.hkdouyin.com 是有歷史、已驗證的機構網域。單憑域名年齡與品牌冒充信號,就能在頁面內容載入之前標記出大量這類站點。

第二,網域是破綻。這些「退款頁」「更新地址頁」的網址都不是官方網域,可能把「hsbc」「hkpost」「douyin」拼在廉價 TLD 或免費寄存子網域上,因為騙徒要消耗成百上千個一次性站點,而免費寄存不花一分錢。任何真正的匯豐、香港郵政、抖音服務都只會在各自的官方網域之下。免費寄存或廉價域名加品牌關鍵詞這個組合,本身就是一個高置信度信號,與頁面寫了甚麼無關。

第三,內容是一份教科書式的機構冒充畫像。一個套用匯豐或香港郵政標誌的登入或退款表單、一個索取卡號與 CVV 的欄位、一格要你讀出一次性驗證碼的提示,全都由一個毫無官方痕跡的主機提供。內容層分析能抓住一個任何黑名單都未見過的全新仿冒站,這一點至關重要,因為這些站點被批量生產的速度,比任何靜態名單能追蹤的都快。

SafeBrowz 如何攔截這種威脅

SafeBrowz 採用 3 層檢測架構:本地檢測 + API + AI。

  • 第 1 層 - 本地檢測:60+ URL 模式 + 550+ 品牌與機構專屬簽名(包括同形異義與 Punycode 變體)+ 社群白名單/黑名單,全部在擴展程序中直接運行,於頁面渲染之前完成。它能即時抓住免費寄存子網域上的品牌關鍵詞、廉價 TLD 濫用,以及把「hsbc」「hkpost」「douyin」縫進古怪域名的仿冒家族。
  • 第 2 層 - API 檢查:聚合 Google Safe Browsing、PhishTank、URLhaus、ScamAdviser,外加域名年齡查詢(多數假機構站只有幾天歷史)和 30+ 詐騙 TLD。
  • 第 3 層 - AI 深度掃描:支援 100+ 語言的內容感知品牌與機構冒充分析,能抓住一個任何黑名單都未見過的全新假匯豐、假香港郵政或假抖音頁面,包括那些套用機構標誌、索取銀行卡與驗證碼的頁面。

誠實說清楚它能與不能做甚麼:SafeBrowz 能攔截短訊裡那條釣魚連結、在你輸入卡號或密碼之前標記出假登入頁;但它無法攔截短訊本身,也無法替你掛斷一通假客服電話。所以「絕不撥打短訊裡的號碼、只在官方App或官網核對」永遠是你的第一道防線,瀏覽器端的攔截是第二道。檢測簽名源自威脅情報研究和我們內部的品牌數據庫,而非用戶瀏覽數據。SafeBrowz 不儲存每個用戶的瀏覽歷史。這正好呼應防騙易的核心忠告:看清楚網域、只在官方途徑登入。

不想安裝任何東西的人,可以使用同一引擎驅動的免費 公共網址檢測工具。貼上任何可疑連結,幾秒鐘得到結論。

現在該怎麼做

如果你剛收到這類短訊,或者懷疑自己已經中招,正確的應對如下。

  1. 不要撥打短訊裡的電話,不要點短訊裡的連結。就算只是「打去問清楚」也不要做。一個叫你提供卡號、CVV 或一次性驗證碼的「客服」或頁面,必然是假的。
  2. 核對只走官方途徑。查扣費就自己打開抖音或匯豐官方App,查包裹就自己打開 hongkongpost.hk 用單號查件,有疑問就撥打卡背或月結單上的官方熱線,切勿用短訊裡的號碼或連結。
  3. 如已提供卡資料或 OTP,立即通知發卡銀行止付。第一時間致電你銀行卡背面印的官方客服熱線,要求停卡、阻截可疑交易並補發新卡,並檢查近期交易紀錄。
  4. 如已洩露個人資料,提高警覺並更改相關密碼。如同一密碼也用於其他賬戶(如電郵、網銀),一併更改並開啟雙重認證,留意日後有否被冒名申請。
  5. 致電防騙易熱線 18222。反詐騙協調中心(ADCC)的 18222 可即時提供求助與防騙意見;若已有金錢損失或屬緊急情況,請報案 999 或聯絡香港警務處。報案時附上釣魚短訊、發送號碼、連結網址及任何紀錄。
  6. 把釣魚短訊與連結通報官方。可將可疑短訊及連結提交防騙易(CyberDefender)及香港電腦保安事故協調中心(HKCERT)協助封禁,幫助保護其他人。

如果你是替年長的父母或親戚讀這篇文章,今天就替他們把抖音、匯豐、香港郵政的官方App裝好、把官方熱線記下,並約定一句話:「收到任何叫你打電話取消扣費、或點連結更新資料的短訊,先打給我。」一條偽冒的短訊,敵不過一通打回家的電話。我們完整的 《被騙了,現在該怎麼辦》 指南詳細講了頭一小時的補救步驟。

常見問題

抖音真的會用短訊通知我自動扣費嗎?

正常的付費通知會出現在你抖音App內的賬戶與付費紀錄,不會用一條夾着陌生「客服」電話的短訊叫你「致電取消否則不予退款」。防騙易已警告,這類聲稱「你訂閱抖音會員被自動扣費 HK$XXX,請致電取消」的短訊是釣魚騙局,目的是引你打電話給假客服,再騙取你的銀行卡資料與一次性驗證碼。要查有沒有被扣費,請自己打開抖音官方App查看,切勿撥打短訊裡的號碼。抖音官方網域是 douyin.com。

hsbc.com.hk 和 hongkongpost.hk 是真的官網嗎?

是。hsbc.com.hk 是匯豐香港的官方網站,hongkongpost.hk 是香港郵政的官方網站,douyin.com 是抖音的官方網域,三者都是真確的官方網域。如果你收到的連結不是這幾個網域,無論它把「hsbc」「hkpost」「douyin」拼進一個古怪域名、還是寄存在免費平台子網域上,都是假的,無論頁面上的標誌和配色做得多像。最穩陣的做法是不要點短訊連結,自己在瀏覽器輸入官方網址,或用官方App。

我已經給了假客服銀行卡資料或驗證碼怎麼辦?

立即致電你銀行卡背面印的官方客服熱線,要求停卡、阻截可疑交易並補發新卡,並檢查近期交易紀錄是否有未授權扣款。如你也讀出了一次性驗證碼(OTP),更要爭分奪秒,因為騙徒可能正用它授權交易。然後致電防騙易熱線 18222 求助;如已有金錢損失或屬緊急,請報案 999 或聯絡香港警務處,並保留釣魚短訊、發送號碼、連結及任何紀錄作證。

如何舉報這類假冒短訊?

在香港,致電反詐騙協調中心的防騙易熱線 18222 求助及舉報;如已損失金錢或屬緊急情況,請報案 999 或聯絡香港警務處。可將釣魚短訊及連結提交防騙易(CyberDefender)及香港電腦保安事故協調中心(HKCERT)協助封禁。內地用戶可使用國家反詐中心App舉報或撥打 96110,台灣用戶可撥打反詐騙專線 165。舉報時請附上釣魚網址、短訊內容、發送號碼及任何相關紀錄。

免費安裝 SafeBrowz

添加這款瀏覽器擴展,它會掃描每一個連結,包括假冒匯豐、香港郵政、抖音或其他機構的釣魚連結,在頁面渲染之前完成。永久免費。

Chrome 添加到 Chrome Firefox 添加到 Firefox Edge 添加到 Edge Google Play 通过 Google Play 下载

底線:假匯豐、假香港郵政、假抖音的「自動扣費」短訊靠的是你那一秒的慌張,但它的致命傷只有一個,連結網址不是 hsbc.com.hk、hongkongpost.hk 或 douyin.com。絕不撥打短訊裡的號碼、只在官方App或官網核對,再把 SafeBrowz 裝到瀏覽器上,讓那條假頁面在你輸入卡號之前就被攔下。

相關閱讀