標題: 用VPN 比人 hack 偷偷轉錢 [打印本頁]

---

作者: javacomhk    時間: 2026-4-18 17:01     標題: 用VPN 比人 hack 偷偷轉錢

本帖最後由 javacomhk 於 2026-5-11 09:27 編輯

小心小心

[attach]2525105[/attach]

大陸的VPN 或機場唔好再用👇
https://www.hkepc.com/forum/viewthread.php?fid=12&tid=2767693

---

作者: hkmop    時間: 2026-4-18 17:04

邊間

---

作者: KING008    時間: 2026-4-18 17:40

免費嘅出事?

定付費?

---

作者: Miipp    時間: 2026-4-18 18:39

hack 到 vpn 又點

網銀 login 要實時手機 gen key，或 sms 收驗碼

---

作者: SLDPK    時間: 2026-4-18 19:02

本帖最後由 SLDPK 於 2026-4-18 19:03 編輯

嘥氣，用得(非私有) 第三方提供既VPN做私隱野就預左咩都俾晒人架啦

---

作者: shingzhk    時間: 2026-4-18 19:51

標題黨? 呢個時代咩都講end to end加密
嚴格來講你出地鐵站用公共wifi都唔會有事, 有事既都唔輪到你可以提防

擔心自己部end device好過擔心network問題啦

---

作者: SLDPK    時間: 2026-4-18 20:40

本帖最後由 SLDPK 於 2026-4-18 20:41 編輯


唔好意思唔係想挑機，但我真係笑左，
呢個世代連call機都可以變炸彈，依家有咩真係信佢係安全架
不過可能有少少離題
[attach]2522716[/attach]

---

作者: shingzhk    時間: 2026-4-18 21:07



你加油啦

---

作者: SLDPK    時間: 2026-4-18 21:15




你信end to end加密係真安全先要加油

---

作者: Miipp    時間: 2026-4-18 22:23



兩件事，babycondom 的 C9 先會比你偷換到概念

hack user 網絡，同 hack user<->銀行之間網絡通訊係兩樣野

偷入到網就轉到錢，富豪們一定首當其衝，等有 n 單富豪 account 清 0 新聞大家先緊張未遲

---

作者: VPN-Guru    時間: 2026-4-18 23:01

不可能的， 網上銀行的嚴密保安。

有 Digital Token， 獨一無二的， 沒辦法複製的。

如果 Digital Token 沒有遺失， 根本不可能【偷偷轉錢】的。

---

作者: evantkh    時間: 2026-4-19 00:03




流動保安編碼器年代如果手機被入侵就好難講，相反我覺得最好用返實體保安編碼器。

---

作者: 傑洛    時間: 2026-4-19 00:12

VPN 可以俾中間人攻擊

---

作者: 六代火龍    時間: 2026-4-19 00:21

呢的唔算新聞 可以算是舊聞  

---

作者: sohato    時間: 2026-4-19 03:31

9成9係內鬼,大部份失竊都糸知情人仕,班磚家都糸出事後出來賣膏葯,睇完就自己汁衫·

---

作者: javacomhk    時間: 2026-4-19 03:54

所以要盡量將的錢放入定期，7日定期都好，然後降低 FPS 轉錢個非登記人限額去減低風險。因為如要提高非登記人限額係要雙重認證。

---

作者: 香蜜    時間: 2026-4-19 06:32


定期好低息，擺嚟做乜

via HKEPC IR 5.1.14 - Android(5.1.2F)

---

作者: soccerhk    時間: 2026-4-19 09:54

邊個vpn

via HKEPC IR 5.1.14 - iOS(5.1.1F)

---

作者: jk1399    時間: 2026-4-19 09:54



佢意思係鎖死左, 你要提早拎返定期, 應該不是係手機APP按取消, 就可以馬上RELEASE個定期出來吧

不過呢D銀行戶口/證券戶口, 被有預謀入侵, 然後被轉錢的事....
不太明白為什麼會發生
是手機一早被入侵, 先盜了戶口名/密碼, 然後可以有方法做埋驗證成功登入
個事主係有乜做錯左, 搞到咁

---

作者: SLDPK    時間: 2026-4-19 12:35

本帖最後由 SLDPK 於 2026-4-19 12:36 編輯




另一方法VPN redirect去假網站，你入咩都record晒

---

作者: evantkh    時間: 2026-4-19 13:18



網絡層面可以用HTTPS等帶認證的加密方式解決，反而VPN軟件本身會否有可疑而等於有個後門送曬你啲資料出去就係另一個問題。

---

作者: s84292    時間: 2026-4-19 13:41

本帖最後由 s84292 於 2026-4-19 05:43 編輯


hack到VPN 有咩用
銀行本身連線又有本身的加密，又有二步認證等等

佢如果係HACK 到銀行本身的保安機制，你用唔用VPN都係會比人轉到錢啦
相反~ 就算比你知道晒VPN 連線內容，都沒辦法碰到銀行帳戶

---

作者: s84292    時間: 2026-4-19 13:45



END TO END 加密你自己可以查到,大把機構用緊開源方案，你去查CODE 查封包一定查到

當然內地係不存在END TO END 加密,唔係做唔到,係當局唔允許

---

作者: 傑洛    時間: 2026-4-19 13:58


中間人可以調換 HTTPS 張證書

---

作者: evantkh    時間: 2026-4-19 14:38



咁咪出certificate warning

---

作者: evantkh    時間: 2026-4-19 14:40

本帖最後由 evantkh 於 2026-4-19 14:41 編輯


應該唔係end to end加密本身被禁止，而係監管需要導致實際上啲app做唔到。另外，就算國外app有“端對端”加密，你都唔知隻app本身有冇可疑。

---

作者: KING008    時間: 2026-4-19 18:24


銀行 實體保安編碼器 先最安全.

你中木馬, 駭客都轉唔走你嘅錢.

---

作者: evantkh    時間: 2026-4-19 19:14

本帖最後由 evantkh 於 2026-4-19 19:19 編輯


只係有啲銀行已經唔出實體保安編碼器。
坊間好多時將cyber security困左係例如防毒軟件、Public WiFi、所謂“只安裝appstore軟件”等電腦保安層面，但實際上係你要自己有一套資產風險管理系統，而唔係對所謂“最好電腦保安措施”照單全收跟住以為係安全。

---

作者: SLDPK    時間: 2026-4-19 19:29




中間人攻擊 (MITM) 與金鑰偽造
雖然 E2EE 旨在防止 中間人攻擊，但仍有技術死角：

偽造身分： 攻擊者在金鑰交換階段冒充接收方，誘使發送方使用錯誤的公鑰進行加密。

服務商漏洞： 雖然服務商宣稱無法讀取訊息，但若加密演算法實作有缺陷，或服務商在後端添加「隱形參與者」（Ghost User）進入群組，亦可攔截內容。

---

作者: 3q-epc    時間: 2026-4-19 19:38

宜家chrome 都搞到入普通網站都要用https.
hack VPN 有咩用.

---

作者: SLDPK    時間: 2026-4-19 19:41

本帖最後由 SLDPK 於 2026-4-19 19:43 編輯


唔係好明你講咩？
查source code定查key?
首先，一眾主流IM / 銀行 會俾你睇source code?
另外，有邊個會每次查cert對key?
如果個個都咁小心，就唔會有多人連自己去緊假網站中詐騙都唔知囉

---

作者: evantkh    時間: 2026-4-19 19:50

本帖最後由 evantkh 於 2026-4-19 19:54 編輯


網絡層面威脅主要指網絡層面嘅MITM威脅，前題要protocol或軟件本身有問題而去爆，正確設計係要假設攻擊者擁有網絡。至於服務商insider問題唔屬於哩個範籌，無論正常用普通ISP上網還是VPN都係加密到服務商handoff，之後嘅野唔到你控制。

---

作者: SLDPK    時間: 2026-4-19 19:58



你講得無錯呀，如果好似啲人講點對點加密好安全，好無敵，唔怕其他野咁
咁就唔會有FBI提取到singal既message啦
[attach]2522801[/attach]

---

作者: evantkh    時間: 2026-4-19 20:05



所以係要全套安全體系去睇，唔係有樣“安全”功能就以為好安全或者冇就好危險。

---

作者: SLDPK    時間: 2026-4-19 20:06

本帖最後由 SLDPK 於 2026-4-19 20:15 編輯


所以我#5 已經講左
用(非私有)第三方提供既VPN係嘥氣
咩都俾晒個中間人代理，呢啲叫多個香爐多隻鬼
話會安全左或匿名果啲一係唔識就係自欺欺人

---

作者: SLDPK    時間: 2026-4-19 20:17

本帖最後由 SLDPK 於 2026-4-19 20:23 編輯



所以無知是福

果都咩咩出既就可信係安全
另外某某出既就一定好危險
其實自己先係最危險

---

作者: evantkh    時間: 2026-4-19 20:27



我諗又假唔曬，只係實務上要用到哩啲好處嘅場景好有限。匿名野有時會啲奇奇怪怪嘅安全措施，反而普通ISP就實名換自由，而正常合法使用ISP亦受私隱條例約束。係咪都用公共VPN，反而會有性能耗損，而且對有KYC嘅網站完全無任何匿名作用，技術合規環境同條件也可能比一般ISP差。

---

作者: evantkh    時間: 2026-4-19 20:28



最大問題係半桶水以為自己好安全，現實係要知自己做緊乜。

---

作者: SLDPK    時間: 2026-4-19 20:34

本帖最後由 SLDPK 於 2026-4-19 20:38 編輯


我只知，了解得越多，識得越多，就唔信得越多
特別係果啲免費VPN,根本就係自己申請被監聽

---

作者: shingzhk    時間: 2026-4-19 20:36

本帖最後由 shingzhk 於 2026-4-19 20:41 編輯

好難耶
有D人覺得自己隨時會比FBI級數既機構偷資料
感既大前題之下咩都唔洗用, 最慘又係大把婦孺真係信
加多兩個新聞報導, 多重一知半解之下就好多悲劇

銀行app既加密都信唔過的話, 呢個世界真係好危險咩都唔洗用
大家轉行做ISP員工, 係中間夾packet, 偷夠資料可以轉錢走, 人人都係富貴
返去排counter既時代好了

---

作者: evantkh    時間: 2026-4-19 20:39



所以係需要自己度身訂做嘅一套風險管理體系，而唔係停留係所謂“技術安全”或“資訊安全”。

---

作者: SLDPK    時間: 2026-4-19 20:43



就算app / network信得過又點，咁就完全安全？
你#6都有講，自己部end device唔安全其他點無敵都無用

---

作者: evantkh    時間: 2026-4-19 20:44



所以我覺得“翻牆”問題最大問題未必係打擊不良信息嘅問題，而且成個係境內網絡系統性安全問題，境內網絡治理嘅邏輯我覺得好似一間公司嘅網絡政策邏輯。

---

作者: evantkh    時間: 2026-4-19 20:46



坊間可能會講“只安裝appstore軟件”或者“安裝防毒軟件”等，但我覺得其實哩啲可能係服務於corporate interest嘅論述，唔代表你個人資產實際安全左。

---

作者: SLDPK    時間: 2026-4-19 20:51



其實個網絡長城主要都係為左網絡系統性安全防止外部入侵去建造
不過俾人無限放大負面功能去抹黑

---

作者: SLDPK    時間: 2026-4-19 20:53



app store 同antivrius 防唔到0日漏洞

---

作者: evantkh    時間: 2026-4-19 20:56



所以其實係要你自己按資產與風險度一套防護體系，不止於IT設備保安本身。

---

作者: evantkh    時間: 2026-4-19 20:58

本帖最後由 evantkh 於 2026-4-19 21:01 編輯


真係要上外網其實按情況慢慢有合規通道嘅出現，會發展成點就要再睇。
以前針對不良信息嘅年代，反而唔見好大力打擊“翻牆”，而近年就變成網絡安全戰略。

---

作者: SLDPK    時間: 2026-4-19 20:59



所以我每次見到有留言話用乜乜/有乜乜就好安全，就忍唔住笑就就咁解
唔好話網絡世界，呢個世界有咩係(一樣野) 就可保安全？

---

作者: evantkh    時間: 2026-4-19 21:01



所以係好複雜，IT只係一個切面。

---

作者: SLDPK    時間: 2026-4-19 21:07

本帖最後由 SLDPK 於 2026-4-19 21:15 編輯


因為依家假信息同間諜滲透嚴重
近排以色列咁多案例就知啦
另外好多人已經起唔知情既情況下被境外監聽
幫助左境外間諜活動都唔知

[attach]2522825[/attach]

---

作者: shingzhk    時間: 2026-4-19 21:14


係係係, call機會爆炸, 手機都會爆炸
唔用最安全

P.S. 你不如望返成個post主旨講緊D咩, 整理下自己想講D咩先

---

作者: evantkh    時間: 2026-4-19 21:15



所以我覺得哩方面中央係幾有眼光，面對污名都一直做左咁多野。

---

作者: SLDPK    時間: 2026-4-19 21:18

本帖最後由 SLDPK 於 2026-4-19 21:20 編輯


認同你device安全都好緊要又唔啱？
咁你講晒啦

---

作者: shingzhk    時間: 2026-4-19 21:25


.......你點諗我冇所謂
只係從第一個reply開始我只覺得你好可憐, 希望你能朝更有邏輯性方向改進
都係果句.... "你加油啦"

---

作者: SLDPK    時間: 2026-4-19 21:25

本帖最後由 SLDPK 於 2026-4-19 21:34 編輯


中央呢方面有眼光係真，但就一言難盡
不過依家比想當年就真係處理得好左好多，比以前人性化好多，唔會好似初初咁一刀切send 個email 都難

---

作者: SLDPK    時間: 2026-4-19 21:33

本帖最後由 SLDPK 於 2026-4-19 21:38 編輯


你睇清楚呢個帖我第一句點復先啦
一見到有人揭你主子都有造假就..........
繼續"加油"盲信啦

---

作者: SLDPK    時間: 2026-4-19 21:51

有點對點加密就可安枕無憂？

滲透機制：直接注入腳本攔截 API 流量
資安研究人員指出，這些惡意擴充功能透過將執行腳本注入平台的網頁，全面覆蓋瀏覽器的原生功能。此舉允許程式攔截用戶與網站之間的所有網路流量，進而解析 API 封包，精準擷取用戶輸入的指令、時間戳記、對話 ID 以及會話中繼資料。所有被竊取的資料會被壓縮並傳送至駭客的伺服器。

加油呀

---

作者: freefdhk    時間: 2026-4-19 22:48




    香港對銀行保安漏洞太多免責，唔似外國咁銀行食晒，
最近果單似係 電話中招被控制，控制佢部機 自動將 Touch ID / FaceID 驗證為有效
Login 銀行驗證，模擬埋個生物驗證、發送訊號、讀取認證。

所以 Android Phone 都幾危下，但如果 iOS 都有問題可能用銀行部機要開那個 封鎖模式。

---

作者: evantkh    時間: 2026-4-19 22:55

本帖最後由 evantkh 於 2026-4-20 11:01 編輯


雖然出面可能推廣手機銀行方便，但我覺得實際效果可能一邊節省硬件成本一邊更大責任傾向客戶。舊時如果你覺得手機同電腦唔安全，可以用實體token對沖就得，但現在客戶就有額外保安負擔。

---

作者: SLDPK    時間: 2026-4-19 23:00

本帖最後由 SLDPK 於 2026-4-19 23:06 編輯


我之前講FBI提取到singnal點對點加密訊息就係ios既 bugs
我成日見到有留言話有點對點加密/有個乜就安全無有怕
所以先點解會講忍唔住笑
https://www.hkepc.com/forum/redi ... 59&pid=42954368

---

作者: Miipp    時間: 2026-4-19 23:01



「最邊個單」即係邊單

未聽過喎

---

作者: SLDPK    時間: 2026-4-19 23:03




針無兩頭利，有好有唔好
資本主義經濟就係咁

---

作者: evantkh    時間: 2026-4-19 23:35



另一個極端都有。
某銀行信用卡行動態CVV，碌卡前要先過SMS OTP入去查最新CVV再碌卡。
以前碌卡時要再過第二次SMS OTP，後來手機app認證政策後第二次SMS OTP變左係手機app入實體保安編碼器嘅驗證碼。

---

作者: evantkh    時間: 2026-4-19 23:38



可能係講緊哩單：
https://www.stheadline.com/voice ... D%E7%B2%BE%E6%BA%96

---

作者: Miipp    時間: 2026-4-19 23:48



呢單話係大貓喎
   
就算 hack 到入手機，就大貓登入都 hack 到？無詳細調查結果，只聽案件單方面敍述帶唔出有乜有用訊息，事煮講的野有幾多真假有乜隱瞞都無人知，實際係乜問題亦未確認到，讀新聞的已經照單全收

---

作者: evantkh    時間: 2026-4-19 23:52



不論個別事件結果如何，手機安全風險仍值得留意。

---

作者: mxmxm    時間: 2026-4-20 12:17

如果大膽假設，如果這單轉賬是直接在銀行伺服器生成轉賬指示，完全唔關事主手機事，咁會如何？調查吓成個指示嘅發送流程，睇吓係唔係真係去返事主嘅手機，同埋事主手機那邊調查返有無發出過這個轉賬指示

---

作者: evantkh    時間: 2026-4-20 12:35

本帖最後由 evantkh 於 2026-4-20 12:36 編輯


咁理論上會冇登入記錄同客戶token嘅驗證記錄。
有銀行係可以導出網銀登入同IP地址記錄。

---

作者: mxmxm    時間: 2026-4-20 13:44

唔知銀行有分幾多個伺服器去配合登入認證，轉帳指示認證，編碼器認證，成組指示嘅紀錄。
這幾十萬轉賬可能只係測試盜取能力，真正運作是30分鐘內調動10萬個帳戶轉走1000億，銀行真係要食咗條數？還是當香港政府印了這條數出來或者當世上生成多了1000億出來就算

---

作者: SLDPK    時間: 2026-4-20 14:02




諗下就算啦
如果真係發生，到時真係好似侵侵咁話隨時變返翻去石器時代都似(係全世界，係全世界，係全世界)重要既野要講3次
到時大家都唔會好過

---

作者: mxmxm    時間: 2026-4-20 15:15

回覆 71# SLDPK


    咁又真呀,  都係管好自己果幾千銀就算了

---

作者: javacomhk    時間: 2026-4-20 20:02

本帖最後由 javacomhk 於 2026-4-20 12:06 編輯

唔係間間銀行提高轉帳限額都要2次驗證架！例如匯X恒x銀行，響手機銀行提高非登記人轉脹限額只要入身份證號碼。
中銀就要入多次密碼

---

作者: KING008    時間: 2026-4-20 20:44


啊樓主,
咁多個post,
你都冇講VPN 邊到出事???

---

作者: t101    時間: 2026-4-20 22:24

兩個情況，vpn下
用web，係有可能的，簡單就DNS hack，去假網站
但用手機APP，基本上機會非常微，可以被hack

---

作者: 3q-epc    時間: 2026-4-21 06:52



銀行唔係篤手指, 唔可能轉走. 都係要每日埋數, 對arm 唔arm 夠唔夠. 所以先會有銀行隔夜同業拆息.
轉走1000億, 如果只係銀行自己內部, 只要自己fix 番就OK

另外, 銀行俾人hack 轉走, 係有試過. 孟加拉央行被hacker 轉幾億. 最後係因為其中一單串錯收款人名, 另一邊銀行核對, 事件先敗露. 哩次係追得番.

---

作者: 3q-epc    時間: 2026-4-21 06:59



DNS 無用. 因為有SSL cert.
除非你hack既係domain name server.
如果你hack既係DNS, 手機app一樣會中招. app 底層一樣係用hostname, 而唔係ip 去connect

---

作者: evantkh    時間: 2026-4-21 08:03



對，握手過程要跟埋SSL Cert對名。強行改路由（不論MITM或錯cert）一係會錯cert一係attacker仍然攞住啲encrypted data開唔到，除非client device或sodtware本有有問題（例如冇100% TLS、冇檢查hostname對唔對、冇檢查CA chain等），或者個encryption protocol本身有問題或已被破解。

---

作者: t101    時間: 2026-4-21 11:42

本帖最後由 t101 於 2026-4-21 11:51 編輯


唔一定。好多人如果用web browser，可以redirect，然後到一個有cert的假網站，一般用家係唔會為意的，尤其強無加https。
browser通常自動加https上去，但unreachable，會fallback去http，呢個情況下，有機會中招的。

用手機app就唔怕，因為寫得好的app，第一件事就係互認證相對方是否valid的一方，就算IP係一樣，app都會先驗證對方server是否真嘢。呢點已經好唔同。


。。。
這套攻擊路徑在技術上是可行且常見的，通常被歸類為「中間人攻擊 (MITM)」或「DNS 劫持」的一種形式。

以下是該攻擊流程的技術分析與難點：
DNS 劫持 (Hack DNS)： 攻擊者透過竄改公共 DNS 伺服器、攻擊寬頻路由器或修改受害者的 hosts 檔案，將原本應指向合法網站（如 bank.com）的請求解析到攻擊者的 IP 位址。
HTTP 重新導向 (HTTP Redirect)：
場景 A (純 HTTP)： 若使用者存取的是不加密的 http:// 網站，攻擊者可輕易透過 301/302 重新導向 將流量轉至另一個網址。
場景 B (HTTPS 與 HSTS)： 如果目標網站強制使用 HTTPS (HSTS)，瀏覽器在連線前會先檢查證書。若攻擊者無法提供與原網域名稱相符且受信任的 SSL 證書，瀏覽器會彈出安全警告，阻止重新導向。
假網站與 SSL 證書： 攻擊者會為自己的惡意網域（例如 bank-security.com）申請合法的 SSL 證書。當使用者被引誘至此網站時，瀏覽器會顯示「綠色鎖頭」或「連線安全」標誌，這常被用來誤導使用者降低戒心

---

作者: evantkh    時間: 2026-4-21 12:28

本帖最後由 evantkh 於 2026-4-21 12:41 編輯


所以真正的技術用戶係需要同時檢查HTTPS證書同實際網址是否真實，但一般教育就好難講咁多細節。

相反，app的話你唔知係咪全部軟件都識檢查證書hostname夾唔夾，可能夾第二個domain嘅valid cert跟住app冇對個hostname同對象夾唔夾都一樣衰。

---

作者: Miipp    時間: 2026-4-21 13:07



樓煮潛左水，講唔出 vpn 被 hack 點引致戶口被轉走錢

---

作者: VPN-Guru    時間: 2026-4-21 13:13

回覆 81# Miipp

網上銀行有多重的保安的， 絕對安全的

光就是  Token 這一關都過不了啦

不可能【用VPN 比人 hack 偷偷轉錢】  Token 怎麽樣 Hack 哦， 數碼鑰匙， 只有我自己才有的， 沒辦法 Copy 的 哦。

---

作者: evantkh    時間: 2026-4-21 13:18




我就覺得係要諗埋如果你部機真係被人hack左，你有甚麼風險措施限制個損失

---

作者: Miipp    時間: 2026-4-21 14:02


  
呢個帖係講 vpn 被 hack

---

作者: freefdhk    時間: 2026-4-21 14:04




    最怕係個 銀行 apps 沒驗證 dns record 是否受污染。
銀行有沒對 提高轉帳額做把關，現在那些偷偷提高限額換 編碼器綁定 換手機登記號碼
可能都輕鬆幾步完成。

---

作者: freefdhk    時間: 2026-4-21 14:09




  假設 VPN 去了假網站、記錄晒所有封包數據，
甚至像ESET 防毒轉件 代簽埋對方的 Cert ，基本上什麼都被看透。

---

作者: Miipp    時間: 2026-4-21 14:24



講緊乜

vpn 同去假網站係 2 個情景，已經唔係單單 vpn 保安問題

封包被監控咁點樣
用家同銀行之間通訊有加密
再者，如何操作轉脹去第三方戶口
唔係講幾句就做到

---

作者: jk1399    時間: 2026-5-9 02:31




AI 都唔知呢個POST UP乜....

總結：帖好長但好多重覆討論，技術用戶多數認為「VPN hack偷轉銀行錢」難度極高，重點係保護自己手機 + 用實體Token + 低轉帳限額 + 定期存款。樓主之後好少回覆。