你收到一則來自陌生號碼的短訊,內容稱要找 Alex 或 Mia。看起來像是真正的誤發。不過,「打錯號」短訊詐騙正是建基於這種假設,而寄件人的目的就是等你糾正對方。
任何回覆,包括有禮貌地說「不好意思,找錯人了」,都會確認你的號碼仍然有效,而且背後有真人留意。之後的風險高低,取決於你們的對話會持續多久。
重點摘要:
- 「打錯號」短訊是有意安排的開場白,並非誤把訊息傳到你的號碼。
- 回覆任何「打錯號」短訊,等同向寄件人確認你的號碼是有效的。
- 騙徒會利用這些訊息物色「殺豬盤」及其他長期財務詐騙的目標。
- 正確做法是封鎖並舉報寄件人,而不是有禮貌地更正錯誤。
- 點擊後續訊息中的任何連結,可能安裝惡意程式,或打開用來竊取你憑證的網頁。
- 善用手機內置過濾及保安軟件,可減少此類訊息傳到你手機。
什麼是「打錯號」短訊詐騙?
「打錯號」短訊詐騙,是有意偽裝成誤發訊息的對話開場。寄件人早已掌握你的號碼,並以假裝出錯作為展開對話的方法。目的始終如一:建立足夠的信任,讓你交出金錢、個人資料,或兩者兼而有之。
這類詐騙的手法有別於一般即時推送連結或優惠的垃圾短訊。以「打錯號」為開場時,首則訊息不會顯示任何威脅跡象。當你回覆,即使只是簡單更正,對方也會把你的回應視為繼續互動的信號。由此開始,對方就把你的回應當作邀請,持續跟你聊天。
與真正的誤發訊息有何分別?
真正的誤發短訊只需一次往來便能解決;而「打錯號」詐騙會在你更正後繼續發展。
真的發錯號的人通常會簡單道歉,之後便不再傳訊。相反,騙徒往往會在你更正之後,以輕鬆閒談的方式回應、問你最近如何,或找其他理由繼續交談。整段對話不會顯得緊張或可疑。這是刻意安排:他們不想驚動你,而是要培養規律、友善的互動習慣。
騙徒為何會發送「打錯號」短訊?
假扮「打錯號」可同時達到兩個目的:篩走不會回應的號碼,並找出願意與陌生人交談的人。這些人就會被帶到詐騙的下一階段。
騙徒手上通常有大量電話號碼清單,來源包括從資料外洩事件收集、向資料經紀購買,或以演算法產生。之後,他們會向清單上的每個號碼發送看似可信的「打錯號」訊息,批量成本幾乎為零。回覆可把有效號碼與無效號碼區分開來,並識別出那一小撮願意互動的人。
騙徒長遠目標是什麼?
結果視乎詐騙種類,由純粹蒐集資料到財務詐騙不等。「打錯號」短訊只是第一步。
有些行動只做到驗證號碼,然後把確認過的聯絡清單出售給其他攻擊者。另一些則會升級為網絡釣魚,以捏造的緊急情況為名,要求提供個人資料或傳送惡意連結。
為何「打錯號」詐騙愈趨普遍?
規模與自動化是「打錯號」詐騙增加的兩大推手。AI 工具如今能以遠超人工的規模產生並變化訊息範本。
十年前的「打錯號」訊息多半真的是誤發。如今,看起來相似的文字,可能只是單一小時內成千上萬訊息中的其中一則。AI 生成內容令這些訊息不易被一眼看穿是垃圾:名字更貼地、情境更可信、用詞亦能通過電訊商的基本篩查。美國聯邦貿易委員會 記錄顯示,自 2020 年起,短訊詐騙的舉報數與損失金額均大幅上升。
為何這類詐騙特別容易得逞?
這類詐騙利用了人們想幫助一位似乎很困惑的陌生人的本能。一旦開啟了那份善意,之後友善、低壓力的對話便更容易讓人放下戒心。
整段對話始終保持友好、不強求,沒有明顯可疑之處。數星期下來,捏造的「交情」開始令人覺得是真實連結;等到任何金錢請求出現時,目標人士早已每日與一位從未見過面的人互通訊息。當請求來到時,感覺更像是朋友的要求,而不是陌生人的勒索。
除了「打錯號」是常見切入點外,騙徒也會利用其他類型的短訊接觸潛在受害者。
最常見的短訊詐騙有哪些?
多數短訊詐騙都有共同結構:一個看似平常的開場、一個繼續交談的理由,接著是要求金錢或個人資料。表達方式會改變;順序則不變。
「殺豬盤」與投資詐騙
財務損失最嚴重的情況是「殺豬盤」:先以數星期的友善對話鋪墊,慢慢把話題引向由騙徒操控的加密貨幣平台。你轉入的金錢會顯示為「利潤」,直到你嘗試提現,這時平台與對方就會同時消失。
在一宗報導個案中,灣區一名男子損失 $1 million,導火線就是一則「打錯號」短訊,引發他與一位自稱「Tina」的人維持數月關係,最後被引導到一個假的加密貨幣交易平台。
對話示例:
騙徒:「Hi Michelle! 週六晚餐還照常嗎?好期待見面!」
你:「不好意思,你可能傳錯號碼了。」
騙徒:「噢不,太尷尬了!打擾你真不好意思。至少你這個星期過得還好嗎?」
[過了幾天。每日訊息往來。你週末過得如何?你做哪一行?你看起來很有意思。不如轉到 Telegram 聊吧,我這週末外出只得 Wi‑Fi。]
[數週後] 騙徒:「我叔叔管理一個交易基金,我一直跟他學。上個月賺的比我以前一年還多。我不常跟人提,不過我覺得可以信任你。」
假冒包裹投遞短訊
短訊聲稱你的包裹無法投遞,並要求你點擊連結。該連結會把你帶往收集你的信用卡資料或住址的頁面。FTC 報告指出 2024 年因短訊詐騙造成的損失達 $470 million,而包裹投遞訊息是被舉報最多的類型。
2024 年,一名資安研究員的妻子點擊了假冒的 USPS 連結,他追查到該詐騙行動每天發送 100,000 則短訊,資料庫中存有 390,000 組被盜取的信用卡號碼。
示例訊息:
「USPS ALERT: Your package #7748320 could not be delivered. Confirm your address to reschedule: [link]」
銀行與支付冒充
短訊看似來自你的銀行,警告你的帳戶有可疑活動。當你回電或點擊連結,會接通一名冒充銀行職員的騙徒,向你解釋如何把資金「轉移到安全地方」。這招之所以有效,是因為它製造緊迫感,讓你來不及思考就立刻行動。
在一宗報導個案中,佛羅里達一對夫婦損失 $42,000,起因是一則詐騙短訊,隨後還接到自稱是 Chase 客服的來電。此外,自 2025 年 1 月以來,FBI 的 Internet Crime Complaint Center 收到逾 5,100 宗投訴,涉及冒充金融機構而導致的帳戶盜用詐騙,損失總額超過 $262 million。
示例訊息:
「[Bank Name] Fraud Alert: A $1,240 purchase was attempted on your account. If this wasn’t you, reply STOP or call us immediately at [number].」
「打錯號」詐騙如何逐步展開?
騙徒先發送看似誤發的短訊。當你回覆後,對話會轉為友善並持續數天或數週。最後,騙徒會提出財務機會或金錢請求。
開場訊息會提及你不認識的人名,並加上可信的細節,例如餐廳、地址或見面時間,令「搞錯」看來更真實。當你更正錯誤後,對方會熱情道歉,並找理由保持對話開放。
之後他們可能問候你一天過得如何,互動愈來愈頻密也愈來愈個人化。某個時間點,攻擊者會建議把對話轉到另一個通訊應用程式。等到關係看似穩固,便會出現投資機會,或編造急需用錢的故事。
為何騙徒會轉到 WhatsApp 或 Telegram 對話?
騙徒會把對話轉到 WhatsApp 或 Telegram,是為了避開你的電訊商可監察的通道。SMS 流量會經過電訊商基礎設施;而加密通訊應用則完全阻擋這種監管。
透過7726 短碼向電訊商舉報可疑的 SMS 有效,是因為電訊商能看見該流量並採取行動。一旦對話轉到 WhatsApp 或Telegram,這個選項便不復存在。騙徒在這些平台上還可使用更多工具,包括能營造可信度的精緻個人檔案照片、在收件人不察覺的情況下刪除已發送訊息的功能,以及進入群組聊天以假造投資計畫的「社會證明」。
有哪些明顯跡象可辨識「打錯號」短訊詐騙?
最清晰的警號是「糾正後仍不罷休」:真的發錯號的人會在得知找錯對象後停止;騙徒則會道歉,並繼續把話題聊下去。
還可留意以下跡象:
- 開場訊息會提及你不認識的人名,並加入無法驗證但看似可信的細節,例如餐廳或見面時間。
- 訊息以固定頻率傳來,即使沒有特別話題,語氣亦始終友好。
- 對方很早就提議轉到 WhatsApp 或 Telegram,通常稱為「比較方便」。
- 個人檔案照片過於完美:專業打燈、缺乏隨手拍的感覺、看起來誰都適用的形象。
- 在數星期溫和但「無目的」的聊天之後,會出現投資機會或涉及金錢的請求。
回覆「打錯號」詐騙會有什麼後果?
回覆會確認你的號碼有效,並把你列入「會回應」的目標清單。若你只是回覆一次,風險仍低;若持續對話、點擊連結或分享個人資料,風險便會急升。
如你只回覆而未提供資料會怎樣?
回覆代表你的號碼有效。實際影響是之後可能會被更頻繁鎖定,但帳戶未即時受威脅。請立刻封鎖對方,並不要再回覆。此階段你的帳戶與個人資料尚未受影響。
如果你點擊了連結或分享了個人資料呢?
請立刻行動:你的帳戶與個人資料已面臨風險。立即更改密碼,先從電郵帳戶開始;若你曾向騙徒提供任何財務資料,請聯絡你的銀行。
收到疑似詐騙短訊應怎麼做?
不要回覆,直接封鎖寄件人。然後透過 7726 向你的電訊商舉報。整個過程不到一分鐘,便可在網絡層面標記該號碼。
在兩大平台上封鎖步驟相當簡單:
iPhone:打開對話,點按頂部的寄件人名稱,捲至底部,選擇「封鎖此來電者」。
使用 Google 訊息的 Android:打開對話串,點按右上角三點選單,選「封鎖」。封鎖後,該寄件人將無法再以此號碼聯絡你。
各國如何回報垃圾短訊
| # | 國家 | 短碼/回報渠道 |
|---|---|---|
| 1 | 孟加拉 | 2872 (BTRC) |
| 2 | 巴西 | 透過你的流動網絡商回報 |
| 3 | 中國 | 12321(中國互聯網協會) |
| 4 | 哥倫比亞 | 透過你的流動網絡商回報 |
| 5 | DR 剛果 | 透過你的流動網絡商回報 |
| 6 | 埃及 | 155 (NTRA hotline) |
| 7 | 法國 | 33700 |
| 8 | 德國 | 透過你的流動網絡商回報 |
| 9 | 印度 | 1909 (TRAI) · 1930 (Cybercrime) |
| 10 | 印尼 | 1166 (Telkomsel) · 1708 (LAPOR) |
| 11 | 伊朗 | 195 (CRA) |
| 12 | 意大利 | 透過你的流動網絡商回報 |
| 13 | 日本 | 透過你的流動網絡商回報 |
| 14 | 肯尼亞 | 1566 (CAK) |
| 15 | 墨西哥 | 透過你的流動網絡商回報 |
| 16 | 緬甸 | 透過你的流動網絡商回報 |
| 17 | 尼日利亞 | 2442 (NCC) |
| 18 | 巴基斯坦 | 9000 (PTA) |
| 19 | 菲律賓 | 1326 (DICT) · 1682 (NTC) |
| 20 | 俄羅斯 | 透過你的流動網絡商回報 |
| 21 | 南非 | 40662(WASPA—傳送「BLOCK」) |
| 22 | 南韓 | 118 (KISA) · 1394 (Police) |
| 23 | 西班牙 | 017 (INCIBE) |
| 24 | 坦桑尼亞 | 15040 (TCRA) |
| 25 | 泰國 | 1678 (dtac) · 1185 (AIS) |
| 26 | 土耳其 | 透過你的流動網絡商回報 |
| 27 | 烏干達 | 透過你的流動網絡商回報 |
| 28 | 英國 | 7726(所有主要電訊商) |
| 29 | 美國 | 7726(所有主要電訊商) |
| 30 | 越南 | 5656 |
可用性或因電訊商而異。若未列出短碼,請直接向你的流動通訊服務供應商舉報。
iPhone:在未知寄件人的對話串下方,未開啟前先點選「回報垃圾訊息」。
Android(Google 訊息):打開對話選單並選擇垃圾訊息回報選項。
如果你已經與騙徒互動,該怎麼辦?
立刻結束對話並封鎖該號碼,不要再回覆。交流持續得越久,攻擊者就越能利用你已透露的資訊。結束對話前,先把重點內容記下來。
不要在封鎖前威脅要舉報對方。這只會顯示你仍然在意,並給對方理由升級攻勢。封鎖後,檢視整段對話並記下你透露過的任何資訊:朋友、同事或家人的姓名、你的工作單位、日常作息,或任何財務細節。你提過名字的人,現在可能被納入攻擊者建立的側寫之中。請提醒他們忽略任何後續聯絡。
如何保護你的帳戶與資料?
在你信任的裝置上更改密碼,從電郵帳戶開始。為每個帳戶開啟多重驗證。然後查看登入紀錄,找出你不認得的工作階段。
如要在多個帳戶與裝置之間降低風險,Kaspersky Premium 之類的工具可協助偵測網絡釣魚、封鎖惡意連結,並即時監控可疑活動。
其餘帳戶可按敏感度排序逐一檢查:先是銀行,再來是社交平台,然後是你在對話中提過的任何平台。如發現可疑跡象,多數平台都支援遠端登出所有現有工作階段。
若你分享過住址、出生日期或政府核發的身分證號碼,請聯絡相關的徵信機構。在美國,分別是 Equifax、 Experian 與 TransUnion。
如果詐騙從你的手機開始,你的裝置也可能有風險。具備即時連結掃描與惡意程式偵測功能的安全應用程式,可識別你尚未意識到的威脅,並在下一次嘗試到達你之前就先行攔截。
搶先阻截短訊詐騙
Kaspersky Mobile Security 可即時掃描連結、偵測惡意程式,並在威脅觸及你的資料前加以封鎖。適用於 iOS 與 Android。
立即試用 Kaspersky Mobile Security如何預防日後的「打錯號」詐騙?
不要回覆任何找別人的短訊,即使是出於好意想糾正錯誤也不必。保持沉默其實是最有效的做法。
另外有兩項手機設定,不到兩分鐘即可開啟,能在多數詐騙短訊到達你之前就先行過濾。
哪些設定與工具可阻擋詐騙短訊?
在 iPhone,前往「設定」>「訊息」,開啟「過濾未知發送者」。在使用 Google 訊息的 Android,打開「設定」並開啟「垃圾訊息防護」。部分工具也能在你回應前即時識別可疑來電。
具有即時 URL 掃描功能的資安軟件,會在你點擊前把連結與已知惡意網域比對。若訊息仍傳到你手上,而你在意識到之前不慎點擊,主動式惡意程式偵測可在威脅落地前即時攔截。Kaspersky 的網絡釣魚防護資源亦說明如何在電郵與 SMS 上建立這些防線。
如何逐步封鎖詐騙號碼與短訊
當偵測與過濾同步運作時,封鎖詐騙來電與訊息會更有效。以下步驟示範如何自動阻擋不必要的聯絡。
依照下列步驟封鎖詐騙來電與短訊:
-
下載並安裝應用程式
從應用商店取得應用程式,開啟後完成設定。 -
授予權限
允許存取電話與通話記錄,讓應用程式可以識別垃圾。 -
啟用封鎖設定
前往設定並開啟來電封鎖。 -
選擇封鎖模式
選擇要封鎖所有垃圾或只封鎖特定類別。 -
啟用反釣魚保護
開啟短訊反釣魚功能,以掃描 SMS 連結中的威脅。 -
查核不明號碼
使用號碼查詢功能,在回應前辨識可疑來電。
延伸閱讀:
推薦產品:
FAQs
毋須點擊任何東西,錯號短訊詐騙也能感染你的手機嗎?
僅接收短訊不會安裝惡意程式或危及你的裝置。必須點擊連結或下載檔案才會構成威脅。請直接刪除該訊息且不要互動,你的裝置便不會有風險。
為什麼即使你不回覆,騙徒仍不斷傳訊?
騙徒使用自動化工具,按固定排程發送,不會因為沒人回覆就停止。你的沉默並不是叫停的訊號。與其等待流程自行結束,不如直接封鎖號碼。
騙徒能否利用你的電話號碼進行其他詐騙?
可以。確定有效的號碼可能會在詐騙網絡間被出售,或用於後續行動。你的號碼可能出現在網絡釣魚來電、smishing 攻勢,或來電者 ID 偽冒行動之中。結合其他來源的數據,還可用於針對性的社交工程。
「打錯號」詐騙一定是由真人發送嗎?
未必。自動化系統會用 AI 生成的範本處理開場與早期對話。一旦目標持續回覆,通常會由真人接手,因為要長期維持可信的關係需要判斷力,而自動化無法複製。
