【求職騙局】見工被盜資料偷錢！HR誘裝手機程式 IT專家揭3大危險徵兆

近年科技詐騙層出不窮，從釣魚連結、假冒客服要求遠端操作，到以借貸名義套取資料，騙徒的手法愈來愈多樣。如今他們甚至鎖定求職者，以招聘為名進行新一輪攻勢。最近有香港市民就在網上分享自己的親身經歷——在求職過程中險些被假冒的人力資源職員要求安裝惡意手機應用程式。幸而他及時起疑，才成功避過損失。

打工仔熱話速遞：日本職場用假名│企業推「禁止加班」│郵件往來一次主義

以招聘為餌　假「HR」誘導下載可疑App

事主表示，自己透過網上平台應徵一份與香港迪士尼樂園相關的工作，隨即收到一名自稱「公司人事部代表」的訊息。該名人士透過 WhatsApp 聯絡他，聲稱要安排面試及上班前的報更細節。對話初時看似正常，對方語氣專業，甚至主動詢問他是否使用 Microsoft Teams，以方便傳送「排更」時間表。 然而，對方隨後傳來一個副檔名為「.apk」的安裝檔，並聲稱那是公司內部專用報更程式，要求他在手機上安裝。事主立刻覺得可疑，因為自己早已下載官方版本的 Microsoft Teams，根本不需要額外安裝。對方解釋稱：「這是內部版本，跟 Play 商店的不一樣，要用這個。」 這番說詞非但沒有消除疑慮，反而讓事主更覺不安。他心想：「正常公司怎會叫人先安裝 APK？連正式面試都未開始！」最終他選擇拒絕安裝，結束對話，也因此逃過一場詐騙風波。

網絡高手解碼：三招偷資料、偷錢、偷控制權

故事曝光後，引來不少網民討論。有熟悉網絡安全的用戶決定深入調查，嘗試在沙盒環境下分析該 APK 檔案。結果發現這個看似普通的「報更 App」，其實內藏多重惡意模組，足以讓騙徒操控手機、竊取私密資料或金錢。 根據分析結果，這類假應用主要透過以下三種方式行騙：

竊取加密貨幣錢包資料
應用程式中植入多個與「crypto wallet」有關的模組，用戶若曾安裝虛擬貨幣錢包，登入資料可能會被竊取。當用戶未來進行轉帳時，Apps 甚至會偽裝轉帳地址，將資金轉入騙徒的錢包。

竊取手機權限與個人資料
該 APK 一旦被安裝，會要求大量敏感權限，包括讀取簡訊、定位追蹤、錄音及螢幕錄影功能。用戶的打字內容（如帳號、密碼）會被同步傳送至伺服器，令私人資料完全曝光。這些資料可被利用進行身份盜用或進一步詐騙。

遠端控制與帳戶操作
為了長期監控，騙徒還會利用惡意代碼建立後門程式，使手機變成「被控制裝置」。他們得以遠端開啟應用、查看相簿、甚至登入銀行 App。若配合社交工程手法，便能在數分鐘內完成提款或轉帳。

一名網安分析人士形容，這些看似不起眼的檔案其實功能極強，一旦安裝，使用者手機形同「被劫機」，要完全清除惡意代碼相當困難。「有些程式會自動隱藏圖示、關閉安全警告，甚至模仿合法 App 的圖標，非常具欺騙性。」

網民熱議：漏洞明顯但陷阱太真

事件傳開後，不少網民都批評該騙案「粗糙但危險」。有人留言指，「第二句開始就怪怪的，未見人工、未簽合同就要裝App？」、「如果真係迪士尼請人，點會要報更App？返工地點咪就係樂園囉！」

另一批網友則提醒，大型企業確實可能有自己內部系統或專屬應用，但絕不會以 WhatsApp 形式傳送安裝檔，更不會要求求職者下載非官方來源的軟件。他們指出：「正常做法係透過公司官方電郵或企業平台登入，唔會咁樣send個 APK 比你。」

不少網民亦補充，若招聘過程中對方未曾要求提交正式履歷、未提供公司域名電郵、或要求以個人通訊軟件進行操作，都屬於高風險訊號，應立即停止互動。

APK檔案潛藏風險　惡意軟件可奪裝置控制權

從資訊保安角度來看，所謂 APK（Android Package Kit）是 Android 系統安裝應用程式的基本格式。只要手機允許「未知來源安裝」，任何人都能把外部程式載入裝置中。然而這正是風險所在——因為 APK 並無官方審核機制，駭客可輕易在其中內嵌惡意代碼。

根據國際防毒軟件公司 Kaspersky 的資料，部分 APK 可感染手機、竊取機密、安裝勒索程式，甚至奪取 root 權限。黑客一旦取得這種權限，就能控制手機所有操作，例如竊取密碼、擅自開啟相機或截取銀行登入畫面。

對一般用戶而言，後果不只是金錢損失——被竊取的個人身份、聯絡人資料與位置數據，可能被用於詐騙、販賣或勒索。專家強調，惡意 APK 看起來往往與常見 App 無異，但其實背後連接的是犯罪伺服器。安全建議包括：

• 僅從 Google Play 商店或品牌官網下載應用程式。
• 關閉「允許安裝未知來源」設定。
• 安裝可信的防毒軟件並定期掃描手機。
• 對於陌生人傳送的連結、壓縮檔或 APK，務必拒絕。

偽裝專業手法愈逼真　求職族需多重驗證

近年香港求職市場競爭激烈，騙徒正利用求職者焦慮心理，透過戶口認證、面試邀請、甚至「入職前訓練」為名，套取資料。據警方網絡安全部門統計，2025 年首三季涉及「假招聘」的詐騙案件增幅達三成，損失金額由幾百至數十萬港元不等。

一些常見詐騙模式包括：

• 假冒知名企業或外包公司，以真實職稱誘導應徵；
• 要求下載「內部通訊軟件」以報更或核對資料；
• 提供「員工專屬 App」並要求授權權限；
• 通過即時通訊軟件安排「線上面試」，要求提供身份證或銀行資料。

警方提醒，如對招聘過程中任何環節感可疑，可即時上網搜索公司招聘官網或致電官方查詢，切勿貿然安裝程式或傳送文件。同時，所有有關職位面試的正式通知，理應由公司域名電郵發出，而非由 Gmail、Outlook 或 WhatsApp 個帳戶傳送。

網絡安全專家建議：建立「三重確認」習慣

為防止此類事件重演，專家建議求職者建立「三重確認」原則：

1.確認來源真實

檢查寄件人電郵地址、公司網站域名，是否與招聘公告一致；避免與只提供個人通訊工具的招聘者互動。

2.確認資訊邏輯

面試通知、報更、培訓等內容是否合理？例如未見面就談排期、未入職就要求授權，這些都是警號。

3.確認行動安全
一律拒絕安裝未經驗證的應用程式，對要求掃描 QR Code、下載 APK 或登入不明連結的情況要特別小心。

此外，對於不熟悉數位安全的求職者，應學習基本風險辨識方法，如檢查網站是否為「https://」、查看應用是否有官方開發者認證等。只要多一道懷疑與驗證程序，就可能避免一場重大損失。

求職本是人生向前的一步，但在虛擬世界裡，一個不慎就可能變成被竊取的目標。外表專業、內容合理的招聘訊息，也可能隱藏陷阱。面對任何要求安裝 APK 或輸入個資的邀請，記得停一停、想一想——真正的機會不會要求你拿風險換取。

請人！請人！請人！

🔗職位空缺傳送門🔗

▶【政府/公共機構】工作機會

▶【月薪$25,000+】工作機會

▶【兼職Part Time】工作機會

延伸閱讀：【見工奇聞】求職變傳銷大會？荃灣公司疑借請人為名推銷課程 苦主急中生智靠一招脫身

 

延伸閱讀：【求職陷阱】企業推「無薪試工」臨完結即炒人！畢業生慘變免費勞工！

延伸閱讀：【職場管理】放工還WhatsApp下屬？專家警告：24小時on call文化正在摧殘香港打工仔

請人！請人！請人！

🔗職位空缺傳送門🔗

▶【銀行/金融】工作機會

▶【滙豐銀行HSBC】工作機會

▶【交通銀行】工作機會

▶【中國銀行】工作機會

▶【渣打銀行】工作機會

---

最新專訪片︰

【職業背後】26歲突告別摯親後 棄家族生意成殯儀策劃員 決心用香燭燃亮每位家屬前路

⏩⏩  需要請人？立即刊登招聘廣告！  ⏪⏪