WhatsApp被黑客入侵難發現 私隱設定助防範

WhatsApp騙案為近月常見的新型網絡騙案，黑客會騎劫受害者的WhatsApp帳戶並冒充受害者傳送訊息要求其親友轉賬。黑客入侵WhatsApp帳戶的手法難以防範，令不少人受騙，有受害者表示「沒有想過WhatsApp也能被入侵來進行騙案。」專家指善用WhatsApp的私隱功能有助防範騙案。

記者：賴姵伶、李景琳、陳叻、簡恩翹

黑客與朋友的對話

10月7日的中午時段，陳思姻一如既往地與朋友在WhatsApp上聊天，卻不知黑客正在入侵她的WhatsApp，當時她與朋友在聊天，同一時間內，黑客正冒充她的身分向她的母親及朋友借錢，金額高達港幣一萬元正，幸好只用了5至10分鐘的時間她便發現了，沒有任何親友有金錢損失。

「我當時感到十分驚訝和害怕，因為第一次遇到這種情況，若不是朋友的提醒，恐怕會有很多親友受騙。」陳小姐表示朋友收到騙徒訊息時，感到奇怪，因為知道她不會突然借錢，所以即時打電話問她，便發現了她的WhatsApp被入侵了。她立刻提醒身邊的朋友和家人其WhatsApp有問題，以防止他們受騙。但陳小姐的母親仍相信了黑客的訊息，把自己的銀行賬戶及密碼發送給黑客，幸好她及時制止了母親並向其說明事情的始末，母親即時凍結了銀行帳戶，使黑客未能成功騙取任何金錢。

事件至今已兩個月，陳小姐表示仍猶有餘悸，「若當時沒有立刻制止母親，恐怕現在就要去行乞了。」她無奈表示現在騙徒手法愈來愈高超和層出不窮，讓人難以防備。這次黑客入侵WhastApp的手法更是難以讓人發現，能在WhatsApp用戶的持有人使用WhatsApp的同時，傳送訊息給他們的朋友和家人，並向他們借錢。

事後，陳小姐在網上尋找解決方法去制止黑客繼續入侵她的WhatsApp。她先登出所有與WhatsApp連結的網站和應用程式，包括平板電腦和網頁版的WhatsApp， 然後她使用WhatsApp的雙重認證功能，當其他人再次註冊這個電話號碼時，需輸入用戶所設定的6位數字密碼才可以，使黑客難以入侵。

「日後會更小心使用WhatsApp，不會隨便使用公共電腦登入WhastApp。」陳小姐指出直至現在仍找不到被盜用戶口的原因，希望坊間可以教授更多預防方法，避免有更多人受騙。

3分鐘受騙的過程

今年9月21日，王安琪與朋友一同上課時，突然收到朋友的訊息，向她借9,500元，她並沒有質疑事件的真確性，因金錢有限，最終過帳2,000元給騙徒。

王小姐表示上課時使用WhatsApp討論有關功課詳情，途中約有半小時沒有交流，突然收到朋友傳來借款訊息，把2,000元透過轉數快轉賬給訊息的指定戶口，轉賬後便把交易記錄截圖傳送予朋友（黑客），整個騙案過程只有三分鐘，由於當時一直與朋友在同一個課室，沒有懷疑訊息中的人是假。

事後，王小姐看到朋友Instagram的限時動態提及其WhatsApp被盜用才得悉自己墮入騙案，她便打電話給朋友了解，朋友亦到警署報案。

「以為朋友報案後自己不需要報案，是朋友提醒才知道要報案」同日，王小姐的朋友指警方建議受害人亦要報案，她便到警署報案及通知銀行有關騙案。王小姐指銀行表示她需要提供報案記錄才可在銀行中作進一步處理及紀錄；而警方告訴她此類為新型騙案，近期該警署亦收到數宗同類案件，通常較難取回相關騙款，但他們仍會通知銀行相關案件。

王小姐指警方進一步向她解釋這個狀況是屬於輕微案件，同時表示騙案假如發生半小時或一小時後還能追查，但時間相隔較長時，黑客可能已把騙款轉至其他脹戶，未能追查。

王小姐表示當時警方指如能取回騙款便會通知她，但騙案至今已約三個月，她仍然沒有收到警方消息。她表示，假如銀行存款真的有一萬元，可能已被騙取9,500元而不只是2,000元。

「曾經懷疑朋友是因為按進詐騙連結或在學校等公共場合登入WhatsApp，事後忘記登出而被盜用，但朋友並沒有。」王小姐表示以往的騙案甚少盜用WhatsApp來騙取金錢，亦認為沒有可能駭入WhatsApp；同時，她的朋友指其WhatsApp 介面看不到騙徒盜用後傳送的訊息，懷疑騙徒刪除或封存了相關對話，她對此表示驚訝。

面對此類新式騙案時，王小姐表示沒有提防意識，事後看回騙徒提供的戶口資訊發現不尋常的細節，例如簡體字。她表示日後任何人問其有關涉及金錢交易時，會先用電話聯絡對方或面對面了解清楚事件，假如是以WhatsApp等文字方式要求金錢交易，則不會再次轉賬給別人。

根據警方數字，9月共錄得1,239宗網上戶口被騎劫的案件，較8月的127宗個案颷升近10倍，當中WhatsApp佔涉案平台約96%，而兩個月內的即時通訊軟件被騎劫的案件合共錄得損失2,820萬元。

專家教預防入侵方法

香港創科發展協會主席陳迪源指，黑客入侵WhatsApp 用戶的方法主要有兩種：第一種是用新裝置登入受害者的WhatsApp 帳戶，第二種方法是將虛假的網頁版WhatsApp網站放於搜索引擎的首位。

陳迪源指使用第一種方法登入是需要驗證碼的，黑客會叫受害者的朋友提供號碼，藉口通常是説自己註冊了新軟件。由於黑客是直接取得WhatsApp帳戶的使用權，黑客可以利用受害者的WhatsApp帳戶做任何的事情，這種方法比較容易發現因其損害性較大，但當用戶想重新取回使用權的時候，騙徒便會故意多次輸入錯的驗證碼，令用戶無法再驗證登入帳戶。

他指第二種方法是當用戶沒有留意並按進虛假連結或下載了第三方的WhatsApp應用程式，按著正常登入步驟掃描二維碼時，黑客便會獲得用戶的授權使用其WhatsApp帳戶。由於WhatsApp在早前的更新中允許了一個手機號碼的帳戶可以連結五部裝置，而且就算手機上的WhatsApp並沒有登入，仍可以使用網頁版的WhatsApp，這使黑客更容易駭入受害者的WhatsApp帳戶。這種方法的損害性較低，但因為黑客會在傳送訊息後封存或刪除對話內容，因此會更難發現自己的WhatsApp帳戶被入侵，只能依靠親朋發現不妥後才有機會揭發。

「沒有方法阻止的，最多只能未雨綢繆。」被問到有沒有方法可以阻止WhatsApp帳戶被入侵，陳迪源指由於黑客入侵WhatsApp沒有特別的痕跡令用戶可以即時發現，難以在被入侵帳戶的第一時間發現並阻止。市民可以做的只有設定好WhatsApp的私隱功能，啟用雙重認證功能，這樣當他人要使用用戶的電話號碼作註冊時便會要求其輸入用戶所設定的保安編碼，有效防範騙徒使用新裝置登入受害者的WhatsApp 帳戶。另外，他亦建議用戶定時登出所有連結了的裝置並在使用第三方應用程式時要小心謹慎，同時在使用公共電腦後要記得登出帳戶。

陳迪源認為WhatsApp對防範騙案已足夠，「最多可以挑剔它沒有強制所有用戶設定私隱功能。」

指導老師：林穎茵