踏入2026年,香港銀行體系因為利率週期轉向,存款爭奪戰愈見激烈,但同時數字欺詐案件亦以倍數遞增。金融管理局(HKMA)在2025年底修訂《打擊洗錢及恐怖分子資金籌集指引》,將銀行的即時交易監控責任推上一個新台階,直接引發更多戶口遭凍結的個案。不論是持有傳統銀行戶口,抑或選用虛擬銀行服務,只要是合理懷疑涉及「未經授權交易」或「潛在洗錢活動」,銀行都會在數分鐘內鎖定戶口,不作預先通知。對於海外申請人和居港人士而言,冒簽開戶、釣魚網站套取一次性密碼、假冒銀行App攔截短訊的手法,在2026年已經高度職業化,不再停留在垃圾電郵階段。這篇指南將從戶口凍結成因、身份盜用、網絡攻擊三條主線,對照滙豐、中銀、恒生三間發鈔行與ZA Bank、WeLab Bank、Mox、Livi四間持牌虛擬銀行的防詐部署,並引用最新的監管文件,讓讀者清楚知道一旦出事該如何自保。
戶口凍結:監控邏輯與帳戶狀態觸發點
可疑交易觸發機制—傳統行的分層預警
滙豐香港由2025年4月起,將「商業及個人綜合理財戶口」的可疑交易篩查模型,對接至HKMA的「反訛騙及反洗錢中央數據庫」,任何單筆超過港幣50,000元或當日累計150,000元的轉帳,若收款戶口過去90日內曾經被標記為詐騙相關,系統便會直接暫停交易,並以短訊要求戶口持有人致電反詐騙熱線核實身份。中銀香港在「智盈理財」及「中銀理財」級別的處理更為嚴格:只要戶口在72小時內出現三次跨銀行轉帳至非同名戶口,即使每筆金額低至港幣8,000元,中銀的後颱風險引擎都會自動將戶口設為「只入不出」,持卡人必須親身到分行出示住址證明及身份證正本方能解鎖。恒生銀行的「優進理財」戶口(最低每日平均結餘要求為港幣200,000元,否則收取月費300元)則對網上銀行海外登入特別敏感,凡由非香港IP地址發起的大額轉帳,恒生會額外要求透過「恒生語音認證」或視像會議完成授權,三日內未能完成者戶口會被暫時凍結。
虛擬銀行的AI攔截與即時通報
四間持牌虛擬銀行在可疑交易攔截上,做法更偏向全自動化。ZA Bank在2025年9月更新其手機App後,每一筆轉帳前都會進行「收款人風險評分」,如果偵測到收款戶口名稱與戶口號碼不匹配,或收款銀行代碼屬於經常被舉報之虛擬銀行同業,App會直接中止交易並彈出警句,不允許強行完成。WeLab Bank則會在轉帳確認頁面強制顯示「收款人姓名全稱」,要求用戶逐字核對,若姓名曾被舉報,系統將凍結該筆轉帳24小時,期間客戶必須透過App內的「安全中心」提交交易原因。Mox Bank自2026年1月起,新增「異地刷卡同步確認」功能,凡Mox Card在距離手機定位超過200公里的地方進行實體卡交易,Mox會先行凍結該張卡,再推送通知要求用戶在30秒內解鎖,否則永久鎖卡並自動重發。Livi Bank的處理則與中銀相似,任何與未曾交易過的新收款人之間首筆轉帳上限被鎖定在港幣10,000元,要提升限額必須完成額外面容辨識及上載身份證。
因最低結餘或長期不動而被行政凍結
除了可疑交易,純粹因為戶口結餘低於銀行要求或長時間未有進出紀錄,也可以令戶口落入凍結狀態。滙豐「明智理財」戶口若連續六個月的平均結餘低於港幣5,000元,銀行會先收取每月60元的低結餘服務費,到戶口結餘變為零並維持超過12個月,系統便會自動將戶口轉為「不動戶」,所有電子渠道即時停用,必須親身到分行遞交身份證明文件才能重新啟動。中銀香港的港幣儲蓄戶口最低結餘要求為港幣1,000元,若三年內無任何交易,會被歸類為「靜止戶口」,同樣需要到分行辦理解凍。恒生要求較高,一般港幣儲蓄戶口若結餘低於港幣3,000元且24個月無進支,就會被設定為不動戶。虛擬銀行因沒有最低結餘收費,ZA、WeLab、Mox、Livi均不設長期不動戶的行政凍結,但會根據HKMA要求,每兩年向客戶發出一次電郵核實聯絡資料,若連續兩次沒有回應,銀行會暫停該戶口的轉出功能直至客戶完成身份重新驗證。
冒簽開戶與身份盜用:傳統與虛擬銀行的防線對照
傳統銀行親身開戶的偽造文件風險
滙豐、中銀和恒生目前仍然要求非香港居民,尤其是持護照開戶的海外人士,親身到香港分行辦理手續,並出示三個月內的住址證明原件及入境標籤。滙豐會在櫃檯拍攝開戶人的照片,並將之與護照晶片內的數碼相片即時比對,中銀則會要求客戶在分行職員見證下簽署多份樣本,再由後台與護照上的簽名進行人手校驗。然而,2025年曾出現多宗利用精巧偽造護照及虛假內地住址證明的冒簽開戶案件,騙徒成功在恒生開設戶口用作收取騙款。恒生因此在2025年11月起,要求所有非香港身份證開戶的申請人,必須同時提供香港入境處發出的「入境記錄證明」正本,銀行會即場核對該證明的防偽特徵,包括紫外光下可見的入境處徽號,增加冒簽難度。
虛擬銀行遠程開戶的安全措施
四間虛擬銀行全部只接受持有香港永久性居民身份證的申請人開戶,並不開放予海外人士。ZA Bank會要求申請人拍攝身份證正背面,並進行實時面容掃描,系統會以「活體檢測」防止以照片或預錄影片冒充。WeLab Bank則加入「微表情分析」,要求申請人在鏡頭前讀出一組隨機數字,系統分析嘴唇動作與聲音是否一致。Mox在開戶時,除了標準的身份證及面容辨識,還要求申請人使用同一部手機插入自己名下的香港電訊商SIM卡,銀行會向該SIM卡發送一次性驗證碼,確保申請人並非使用境外號碼或虛擬號碼開戶。Livi的開戶程序與中銀香港共用後台審核,因此其面部辨識模型與中銀一致,再用中銀的「生物特徵數據庫」作比對。2025年9月HKMA的《虛擬銀行的授權指引》補充文件(編號:B1/15C)明確要求,所有虛擬銀行必須在開戶後30日內,向申請人登記的香港地址寄出實體驗證信,信內包含一個二維碼,申請人要用手機App掃描該二維碼才能解鎖完整銀行服務,無法收到信件者戶口會被降級為「只準收款不準轉出」。
海外人士開戶限制被利用的陷阱
雖然虛擬銀行暫不服務非港人,但傳統銀行對海外人士開戶的高門檻反而催生了「代辦開戶」騙局。有騙徒在社交平台聲稱可以替無法親身來港的內地或海外客戶,透過「特殊渠道」在中銀或滙豐開設戶口,每宗收費港幣3,000至8,000元。實際上騙徒會向受害人索取護照副本及簽名樣式,然後偽造授權書及香港住址證明,再以受害人名義購買巨額保單或申請高息定期存款,從中賺取佣金;當受害人發現戶口被捆綁,騙徒早已不知所終。香港警方反詐騙協調中心在2025年12月的記者會指出,全年接獲此類「代辦開戶」騙案舉報共347宗,涉款總額超過港幣2.1億元。因此中心再次提醒,香港所有零售銀行均不接受第三方代辦開戶,必須親身面見。
釣魚網站與社交工程:由短訊到虛假App
假冒銀行短訊及電郵的辨別特徵
2026年初最常見的釣魚攻擊,依然是偽冒銀行發出的短訊,內容多為「你的網上銀行戶口將被凍結,請即點擊連結驗證」。滙豐、中銀及恒生已統一規定,所有由銀行發出的短訊,寄件者名稱必須顯示為已登記的發送人名稱(例如「HSBC」、「BOC」、「HASE」),而絕不會使用一般手機號碼。三間銀行亦重申,短訊內絕不會附上直接登入網上銀行的連結,客戶須自行在瀏覽器輸入官方網址登入。ZA Bank、Mox等虛擬銀行更進一步,直接在短訊內加入客戶自行設定的「安全短訊代號」,例如用戶在開戶時設定一個自訂詞組,銀行所有短訊都會包含該詞組,沒有代號的短訊即屬偽冒。
官方登入網域核對清單
以下是各銀行截至2026年1月的最新官方網域,任何與之不符的網址均為假冒:
- 滙豐:www.hsbc.com.hk
- 中銀香港:www.bochk.com
- 恒生銀行:www.hangseng.com
- ZA Bank:www.za.group(客戶登入經由 mobile.za.group)
- WeLab Bank:www.welab.bank
- Mox Bank:www.mox.com
- Livi Bank:www.livi.hk
讀者務必留意,騙徒經常註冊與上述網域極相似的網址,例如「hangseng-secure.com」或「bochk-verify.com」,並製作一模一樣的登入版面,一經輸入用戶名稱和密碼,騙徒便會即時在另一裝置登入真銀行系統,再誘騙用戶提供一次性密碼以完成盜轉。
虛假銀行App及釣魚Wi-Fi
相比傳統銀行,虛擬銀行因全手機操作,更容易成為偽冒App的目標。Mox Bank曾在2025年中發現一個在非官方應用商店上架的假冒Mox App,圖標與官方近乎一樣,但安裝後會要求取得手機的短訊權限,從而攔截銀行發出的雙重認證碼。ZA Bank和WeLab Bank則經常提醒客戶,銀行App只可在Apple App Store及Google Play下載,並須核對開發者名稱是否「ZA Bank Limited」、「WeLab Bank Limited」等全名。另外,公眾場所的免費Wi-Fi亦是攔截銀行通訊的高危點。恒生銀行自2025年第四季起,在手機App內加入「網絡安全檢測」功能,當用戶連接的Wi-Fi網絡加密強度不足或被識別為公共釣魚熱點,App會彈出警告,並建議轉用流動數據。
HKMA監管重點與消費者保障機制
2024年《打擊洗錢及恐怖分子資金籌集指引》修訂
HKMA在2024年6月頒布的修訂版《打擊洗錢及恐怖分子資金籌集指引》(修訂編號:AML/REV/2024/2),明確要求所有認可機構必須在2025年12月31日前,將「實時詐騙偵測系統」的攔截率提高至不低於95%,並須每季進行一次滲透測試。該指引同時強制銀行若因詐騙懷疑而凍結客戶戶口,必須在凍結後兩小時內透過至少兩個獨立通訊渠道(例如短訊加電郵)通知客戶,並在通知內提供銀行的指定反詐騙聯絡方法。有關指引全文可於HKMA網站「Regulatory Handbook」內查閱。
雙重認證、轉賬限額與冷靜期
按HKMA規定,所有零售銀行由2025年1月起,預設為客戶啟用雙重認證(2FA),並針對未曾接收過轉賬的新收款人,設置24小時小額轉帳冷靜期。滙豐的設定為:新加入的收款人首24小時內,轉帳總額上限港幣10,000元;中銀和恒生則設為港幣20,000元,但客戶可以透過分行或視像認證預先提升限額。虛擬銀行方面,Mox和WeLab則採取更嚴格的72小時冷靜期,期間無法向新收款人轉帳任何金額,直至客戶透過App內的「安全學習模式」完成對新收款人的多重驗證。Livi則直接禁止轉帳給未有香港身份證登記的收款戶口,作為最嚴厲的一刀切防線。
詐騙投訴及賠償處理時效
HKMA內部指引要求銀行在收到客戶詐騙投訴後,必須於七個工作天內完成初步調查並向客戶交代是否啟動賠償程序。若證實因銀行系統漏洞導致客戶損失,銀行須在21日內作出全數賠償;若涉及客戶疏忽(例如自行洩露密碼),銀行則需提供詳細證據,並在45日內完成最終仲裁。2025年全年,HKMA一共接獲銀行客戶詐騙相關投訴1,872宗,其中1,203宗最終獲得全數或部分賠償,平均處理時間為32日。這一數據反映出監管機構對銀行的壓力正在加大,亦因此令銀行寧願「先凍結、後核查」,以減少潛在賠償責任。
防詐自保的具體部署
與其等到戶口被凍結或存款被轉走才補救,不如預先完成以下五項實際行動。第一,在手機啟用銀行App的雙重認證之餘,切勿使用短訊轉發功能,所有一次性密碼應直接在App內輸入,不要複製或告知任何人。第二,於滙豐、中銀或恒生的網上銀行內設定「可信任收款人名單」,並將名單外的轉帳限額設為港幣0元,需要轉帳時才手動提升,完成後立即降回零。第三,每隔30日登入ZA / WeLab / Mox / Livi的App內檢查「登入裝置記錄」,如發現不明裝置應即時移除並更改密碼。第四,不要在任何經電郵或短訊收到的網站輸入銀行登入資料,正確做法是每次都手動輸入官方網域,並檢查瀏覽器鎖頭圖標是否顯示銀行名稱的延伸驗證證書(EV SSL)。第五,海外申請人若計劃親身來港開戶,務必直接經銀行官網預約分行,不接受任何中介代辦,開戶時亦應要求銀行提供附有照片的開戶確認書,以便日後出現爭議時作為憑證。