最近,你是否收到过这样一条短信?
“您的DBS/UOB信用卡积分将于今日24:00失效,请立即点击链接兑换礼品:https://www.google.com/search?q=https://uob-rewards-sg.top”
如果你收到了,请千万停下准备点击的手!
2026年以来,新加坡信用卡钓鱼骗局呈现高发态势,其中冒充DBS(星展银行)、UOB(大华银行)发送“信用卡积分即将过期”的诈骗短信,成为骗子最常用的套路之一。
据新加坡警方与金融管理局(MAS)联合通报,仅2026年1-3月,就有超过70起冒充两大银行的钓鱼诈骗案件,受害者累计损失超48万新元!其中多数人因轻信“积分清零”的紧急提示,点击虚假链接泄露个人信息,最终导致信用卡被盗刷、账户资金被转移。
这不仅仅是一封短信,这是一场针对你网银权限的精准围猎。本文将全程拆解该骗局的完整套路,教你快速识别、果断应对,守住自己的“钱袋子”。
防骗核心总览:30秒掌握生存法则
|
防御维度 |
骗子套路 / 核心风险 |
官方安全红线 (2026 最新标准) |
核心行动建议 |
|
1. 识破诱饵 |
冒充 DBS/UOB 发送“积分清零”、“现金返还”或“账户冻结”短信 |
禁止外链:银行发出的所有通知短信绝对不会包含任何可点击的链接或二维码 |
不点链接:看到 http 链接直接删除,哪怕它显示在银行官方对话框内 |
|
2. 域名验证 |
注册极似官网的网址,如 dbs-points.com 或 u0b.com.sg |
唯一域名:必须以 dbs.com.sg 或 uob.com.sg 结尾,注意 .com 与 .sg 之间必须是点号 |
只用 App:拒绝通过浏览器登录。办理积分业务仅限使用官方 digibank 或 TMRW App |
|
3. 守住底线 |
在钓鱼网页诱导你输入信用卡卡号、CVV (安全码) 和 OTP (动态验证码) |
绝不索要:银行及官方客服在任何情况下都绝不会要求你提供 OTP 码或信用卡 CVV 码 |
一票否决:只要网页要求输入 OTP 或 CVV,100% 是诈骗,请立即关闭页面并清理浏览器缓存 |
|
4. 紧急补救 |
骗子获取信息后会迅速换绑你的移动支付或将资金转入境外加密货币账户 |
黄金止付:银行已上线 Kill Switch (紧急止付) 功能,可瞬间切断所有电子支付权限 |
10分止损:发现中招立即拨打反诈专线并前往柜台开启 Money Lock (资金锁) 物理隔离资产 |
🚨 紧急防骗自查表:收到积分过期短信怎么办?
如果你现在正盯着一条 DBS 或 UOB 的“积分过期”短信,请立刻对照以下 3 条保命红线:
-
看发件人没用! 骗子能伪造发件人名字,让假短信直接出现在你真实的银行短信列表里。
-
带有任何链接 = 100% 诈骗! 2026 年新加坡金管局 (MAS) 铁规:银行绝对不会在短信里发任何可点击的网页链接。
-
要求输入 OTP/CVV = 正在盗刷! 银行兑换积分只需登录官方 App。只要网页叫你输入收到的 OTP 或卡背面的 3 位数 CVV,骗子正在后台绑定你的 Apple Pay!
🆘 已经点进去并输入了密码? 立刻挂断任何自称客服的电话,拨打银行反诈专线(DBS: 1800-339-6963 / UOB: 6255 0160)或在 App 内启动 Kill Switch (一键止付),并立刻拨打 999 报警!
骗局核心套路:3步诱导,步步陷阱
骗子精准抓住了持卡人“怕积分浪费”的心理,结合高度仿真的界面和心理话术,让受害者步步沦陷:
1. 伪造官方短信:制造紧急焦虑(心理博弈)
骗子利用伪基站或恶意软件伪造银行发送者 ID(Sender ID),让短信直接出现在你手机里真实的银行通知列表(SMS Thread)中。
-
详细示例(多种常见话术):
-
话术 A(直接利益诱导):[DBS通知] “尊敬的 [您的姓名],您的账户积分 (8,420 pts) 将于今日 23:59 全部清零。请立即点击 dbs-points-rewards.com 兑换价值 S$200 的现金礼券或 Apple 产品。”
-
话术 B(高额现金返还): [UOB Rewards] “您的信用卡积分已满 5,000 点,可激活 S$150 现金返还至账户。请在失效前访问 uob-cash-back.net 领取。”
-
话术 C(账户安全恐吓):[DBS] “检测到您的积分账户存在异常登录,为保护资产安全,积分已被临时冻结。请点击 dbs-verify-id.cc 完成身份认证并恢复积分。”
-
话术 D(限时抢兑):[UOB] “最后机会!您的积分即将过期。现有 50 份 Dyson 吸尘器开放 1:1 积分抢兑。点击 uob-limited-offer.com 立即抢购。”
-
2026 最新变体:
-
精准打击:骗子通过非法泄露的数据库获取你的部分信息,短信中可能包含你的真实姓名或信用卡后四位。
-
双重诱导:短信中甚至会提供一个虚假的“防诈热线”,引导你打给假客服,进一步加深信任。
-
核心逻辑:营造“倒计时”的急迫感,利用“白白损失”的厌恶心理诱导你瞬间丧失理智判断。
2. 仿真钓鱼链接:仿冒官方界面(技术欺诈)
当你点击链接后,进入的绝非银行官网,而是一个由骗子控制的“克隆镜像”网站。
-
域名障眼法对比:
-
官方:dbs.com.sg 或 uob.com.sg
-
钓鱼:dbs-credit.com、uob-verify.net、dbs0nline.com.sg (用数字0代替字母O)
-
技术解析:
-
动态加载:页面不再是静态图片,而是动态抓取官方实时数据(如汇率、股市图表),让受害者彻底放下戒备。
-
环境模拟:网站会模拟官方 App 的登录流程,甚至带有“正在连接安全服务器”的加载动画和“剩余 60 秒”的 OTP 验证码输入框。
-
后果:一旦你在此输入账号密码,骗子就在后台实时同步登录你的真实网银。
3. 窃取敏感信息:盗刷资金与转移(收网获利)
这是骗局的最后一步,也是对资金造成实质毁灭的时刻。
-
收网过程:
-
获取核心密码:骗子在后台获取你填写的 CVV(安全码) 和 OTP(动态验证码)。
-
瞬间变现:骗子立即在后台将你的信用卡绑定至 Apple Pay 或 Google Pay 钱包,通过 NFC 在奢侈品店进行大额消费。
-
-
资金逃逸链:
-
加密货币洗钱:资金被快速转入 Bybit、Binance 等境外交易所购买加密货币。
-
网络密码器攻陷:诱导你激活虚假的 Digital Token,从而彻底绕过银行的所有安全防火墙。
-
-
严重后果:仅 2026 年 1 月中旬以来,此类骗局已造成受害者损失金额从几千到几万新元不等,累计总额已超 48.4 万新元。
2026 变种高能预警:“披着 Google 外衣”的毒链接
很多受害者说:“我知道不能点乱码链接,但这条短信里的链接是 https://www.google.com/... 开头的啊!Google 也是假的吗?”
这就是 2026 年骗子最狡猾的套路:Google 重定向 (Open Redirect) 漏洞。
-
套路拆解: 短信里的链接类似于
https://www.google.com/search?q=https://uob-rewards-sg.top。 -
视觉欺骗: 你的肉眼和手机的安全拦截系统,第一眼看到的都是绝对安全的
google.com。所以这条短信能轻易绕过新加坡电信商(Telco)的防诈骗过滤器,直接抵达你的收件箱。 -
致命跳转: 当你点击这个看似安全的 Google 链接后,Google 的搜索机制会自动将你瞬间跳转(Redirect)到后面的真实毒网址
uob-rewards-sg.top。
💡 防火墙法则: 永远不要只看链接的前半段!只要短信里出现了带有 http 或 www 的网址,管它是 Google、Facebook 还是 bit.ly 伪装的,在新加坡,银行发来的带链接短信,100% 都是诈骗!
4个关键识别点,一眼识破钓鱼骗局(2026必看)
无论骗子手法如何翻新,只要守住以下四个红线准则,就能确保账户安全:
1. 看短信来源:官方银行绝不发送“可点击外链”
这是最核心的判断标准。DBS 和 UOB 已正式声明:银行绝不会在发送的短信或邮件中附带任何可点击的链接。
-
❌ 诈骗短信示例:“积分即将过期,请点击 http://bit.ly/dbs-rewards 立即兑换。”
-
✅ 官方短信示例:“您的积分即将过期,请登录您的 DBS digibank App 或访问官方网站 dbs.com.sg 手动查询兑换。”
-
⚠️提醒:凡是带链接(包括短链接、二维码)的积分通知,100% 是诈骗。
2. 看域名细节:识破“李鬼”网站的小破绽
骗子会注册与银行域名极其相似的网址,如果不仔细观察非常容易混淆。
-
✅官方唯一指定域名:
-
DBS: dbs.com.sg
-
UOB: uob.com.sg
-
❌ 常见钓鱼域名拆解:
-
添加后缀:dbs-exchange.com、uob-verify.net、uob-reward.cc
-
字母替换:dbssbank.com(多了一个s)、u0b.com.sg(数字0代替字母o)
-
乱码组合:carousell.mamba-data.cfd/dbsnew
-
🔔识别技巧:官方域名简洁、易读。如果链接看起来像一串乱码,或者结尾不是 .com.sg,请立即关闭。
3. 看兑换福利:警惕“不合常理”的高额诱饵
骗子通常会开出让人难以拒绝的条件,利用贪婪心理诱导受害者操作。
-
❌ 诈骗福利示例:“500积分兑换 S$1000 现金”、“1000积分免费抢兑 iPhone 17 Pro”。
-
✅ 真实银行规则:积分通常只能兑换:指定实物礼品、航空里程、消费抵扣券。银行绝对不支持“积分直接兑换现金”,也不会提供远超市场价值的兑换比例。
-
🔔提醒:只要看到“积分换现金”或“天价礼品”,必是诱饵。
4. 看信息要求:索要 OTP/CVV 码必是诈骗
这是最后一道防线,也是最重要的支付密码。
-
红线警示:信用卡背面的 CVV(三位安全码) 和手机收到的 OTP(动态验证码) 是最高级别的支付许可。
-
官方提示:在进行积分兑换时,银行只需你登录 App 即可操作,绝对不会要求你在外部网页填写 CVV 码或 OTP 验证码。
-
一票否决:只要任何网页要求你输入这两种信息,无论理由多充分(如“验证身份”、“完成兑换”),请立即断开连接并拉黑号码。
正确应对方案:收到可疑短信,这么做才对!
如果不小心收到可疑短信,请根据你的具体状态采取以下分级行动:
1. 立即止损:不点击、不填写、不回复(防范阶段)
如果你刚刚收到短信,尚未进行任何操作:
-
第一准则:立即删除短信,绝不点击其中的任何链接或扫描二维码。
-
拒绝互动:不要尝试回复短信(即使是回复“UNSUBSCRIBE”或“STOP”),这会向骗子确认你的号码处于活跃状态。
-
屏蔽拉黑:将该发送者号码加入手机黑名单,减少后续骚扰。
2. 官方核实:通过正规渠道确认积分(确认阶段)
如果你担心积分真的过期,请务必仅使用以下两种路径:
|
核实路径 |
正确操作方式 |
|
官方 App |
DBS/POSB (digibank): 登录 App -> 点击底部 "More" -> 选择 "Rewards" -> 查看 "Points Expiry"。 UOB (TMRW): 登录 App -> 点击 "Rewards+" -> 选择 "UNI$" -> 点击 "Expiry" 查看明细。 |
|
银行官热线 |
DBS: 1800 111 1111 / UOB: 1800 222 2121。请手动拨号,切勿回拨短信中的号码。 |
注:如果 App 显示积分为 0 或并未过期,则该短信 100% 为诈骗。
3. 紧急处理:若已泄露敏感信息(补救阶段)
如果你已点击链接并录入了卡号、CVV 或 OTP,请火速执行3步急救:
-
一键冻结:立即通过官方 App 的“临时锁卡”功能冻结受影响的信用卡,或拨打银行紧急挂失专线。
-
切断权限:登录网银修改登录密码,并确认是否有未授权的 Digital Token 被激活。在 App 中暂时关闭“境外支付”和“NFC/接触式支付”功能。
-
留证索赔:截图保存钓鱼页面、短信以及不明扣款记录。若发生盗刷,立即向银行申请拒付并获取交易流水。
4. 及时举报:助力打击诈骗,保护他人(打击阶段)
-
匿名举报:登录 Scam.SG 官网提交诈骗信息,帮助警方封禁钓鱼域名。
-
官方报案:若有资金损失,请拨打新加坡反诈骗热线 1799(24小时)或报警电话 999。你也可以通过新加坡警察部队官网进行在线报案。
2026 高频钓鱼域名黑名单:识破“李鬼”的假面具
骗子会不断更换域名,但其伪装逻辑万变不离其宗。以下是近期警方与银行联合发布的黑名单及防范解析:
1. 域名真假对照表(一眼看清核心破绽)
|
银行机构 |
✅ 官方安全域名 |
❌ 近期高频钓鱼域名示例 |
破绽解析 |
|
DBS (星展银行) |
dbssbank.com |
增加冗余字母(多了一个 's') |
|
|
dbs-online-sg.com |
使用短横线组合无关单词 |
||
|
dbs0nline.com.sg |
数字 '0' 代替字母 'O' |
||
|
dbs-points-rewards.net |
后缀改为非新加坡官方的 .net |
||
|
UOB (大华银行) |
uob积分.com |
使用中文关键词诱导 |
|
|
u0b.com.sg |
数字 '0' 代替字母 'O' |
||
|
uob-verify.cc |
使用廉价或非常见后缀(.cc) |
||
|
uob-reward-activation.org |
伪装成公益或组织后缀(.org) |
2. 骗子常用的三类域名伪装手法
-
“长尾词”诱饵法:在官网名称后添加 rewards、verify、exchange、points 等词汇。例如:dbs-points-redeem.com。
-
真相: 银行官网功能页面通常是 dbs.com.sg/rewards 这种形式,而不是重新注册一个新网址。
-
“视觉欺骗”法:利用字符的极高相似度进行肉眼欺骗。
-
示例:uob.com.sg 变成 uob.com-sg.site。注意,.com.sg 必须是连在一起的后缀,任何将其拆开的行为都是诈骗。
-
“乱码/非法”跳转法:通过第三方短链接或含有乱码的子目录隐藏真实地址。
-
黑名单实例:carousell.mamba-data.cfd/dbsnew。这类域名通常由一大串无意义字符组成。
3. 防范建议
-
不看域名看 App:无论域名看起来多真实,只要其中有链接,就不要点。直接手动打开手机里的银行 App。
-
收藏夹大法:将真正的银行官网加入浏览器收藏夹。需要办理业务时,仅通过收藏夹进入,不通过短信链接进入。
2026 防诈补充提醒:这些致命误区一定要避开!
很多受害者之所以中招,是因为陷入了一些看似合理的逻辑误区。请对照以下内容,检查你的防御认知:
误区一:“短信显示在银行官方对话框里,就一定是真的”
-
错误认知:以为手机自动分类到“DBS”或“UOB”联系人下的短信就具有官方背书。
-
事实真相:骗子使用 SMS 嗅探/伪基站技术,可以强行覆盖合法的 Sender ID。只要短信内含有可点击链接,无论它出现在哪个对话框,都必须视为诈骗。
-
识别核心:不看“发件人姓名”,只看“短信内容是否包含外链”。
误区二:“我只要没点击链接,我就完全没风险”
-
错误认知:认为只要不点开链接,对方就拿我没办法。
-
事实真相:如果你收到包含真实姓名或卡号尾号的精准钓鱼短信,说明你的隐私已经泄露。
-
防御建议:
- 立即检查银行账户是否有小额不明扣款。
-
登录 App 开启交易推送提醒,并将通知阈值设为最低(如 S$1 起即通知)。
-
密切监控账户动态,一旦发现异常立即锁卡。
误区三:“我手机装了最新的杀毒软件,能拦截钓鱼网站”
-
错误认知:迷信杀毒软件的网页拦截功能。
-
事实真相:2026 年的钓鱼页面采用模块化动态生成,本身不含任何病毒脚本,只是一个纯粹的“信息收集表”。杀毒软件很难仅凭页面内容判定其为恶意。
-
防御建议:
-
警惕心才是最强的杀毒软件。
-
牢记“三不原则”:不点击可疑链接、不透露验证码、不进行非官方转账。
-
补救指南:如果不慎中招怎么办?(黄金10分钟)
如果你已经点击了链接并输入了敏感信息,不要慌张,接下来的“黄金10分钟”决定了你的资金能否被追回。请立即按以下步骤操作:
1. 启动银行“紧急止付”开关 (Kill Switch)
这是最快阻断骗子操作的方式,能瞬间封锁所有电子转账渠道。
-
DBS/POSB:拨打 1800-339-6963。听到提示后立即按“1”举报诈骗。
-
UOB:拨打 6255 0160。选择“报告诈骗/紧急挂失”选项。
-
OCBC:拨打 1800-363-3333。寻找“Emergency Button”或“报告诈骗”提示音。
-
App 快捷锁定:
- 登录官方 App 搜索 “Kill Switch” 或 “Emergency Stop”。
-
开启后,你的网银、PayNow、PayLah! 以及实体卡交易将全部被即刻冻结。
2. 移除异常绑定的支付设备与卡片
骗子得手后的第一件事通常是“换绑”。请检查以下项目:
-
移动钱包:检查 Apple Pay / Google Pay / Samsung Pay 是否被绑定了陌生设备,发现即刻移除。
-
转账限额:确认网银的每日转账限额是否被骗子恶意调高。
-
PayNow 关联:检查你的 NRIC 或手机号是否被关联到了陌生的银行账户。
3. 联系官方反诈骗中心 (Anti-Scam Centre)
-
警方热线:拨打 1800-722-6688。
-
在线报案:访问 www.police.gov.sg/iwitness 或通过 ScamShield 提交报告。
-
留存证据:务必截屏保存:诈骗短信、点击的网址链接、通话记录、虚假客服的 WhatsApp 头像及对话。
4. 启用“资金锁” (Money Lock) 长期防护
为了防止“终身积蓄一朝清空”,新加坡政府与各大银行已推出 Money Lock 功能。
-
核心机制:你可以将账户中的一部分存款(如退休金、首付款)存入“锁”中。这部分钱无法通过任何电子渠道(网银、PayNow、FAST)转出。
-
安全逻辑:即使骗子盗取了你的登录信息和 OTP,他们也拿不走被锁住的钱。
-
如何解锁:你必须本人持身份证件亲自前往银行柜台或通过特定的 ATM 验证才能动用这笔钱。
-
强烈建议:每个持卡人都应立即将存款的 70%-80% 存入 Money Lock。
⚖️ 终极拷问:如果不幸被盗刷,这笔钱到底谁来赔?
面对动辄几万新币的损失,受害者最关心的问题是:银行会免责吗?
在 2026 年,新加坡金融管理局 (MAS) 已经全面推行了 共享责任框架 (Shared Responsibility Framework, SRF)。这意味着,被盗刷的损失不再是银行或消费者单方面承担,而是要看“谁犯了错”:
-
情况 A:银行全责(你不用赔)
-
如果你没有点击链接,没有泄露 OTP 验证码,信用卡还在你钱包里,却突然发生海外盗刷。这属于银行系统防线失守,银行必须全额赔付。
-
-
情况 B:电信商/银行连带责任(全额或部分免责)
-
如果银行未能向你发送交易警报(Notification),或者电信商未能拦截带有伪造官方 Sender ID(如强行显示为 DBS)且带有链接的恶意短信,根据 SRF 框架,金融机构和电信公司存在疏忽,你大概率能获得全额补偿。
-
-
情况 C:消费者全责(最惨烈的结局)
-
如果骗子向你索要了 OTP(动态验证码)或 Digital Token 的授权,而你亲自在手机上输入并提交了它(比如骗子在后台绑定你的 Apple Pay,你把绑定验证码给了他)。
-
残酷真相: 在新加坡现行法律下,主动交出 OTP 被视为“严重疏忽 (Gross Negligence)”。一旦发生这种情况,银行通常不承担赔偿责任,这笔几万新元的卡债,将由你个人全额承担!
-
防守底线: 你的密码、CVV 和 OTP,就是你个人财产的“生死线”。无论对方在电话里说得多么危言耸听,任何人索要 OTP,立刻挂断!
信用卡被盗刷的指南,可以点击这里查看
结语:资产安全自查清单
|
检查维度 |
核心安全准则 |
推荐操作频率 |
|
日常准则 |
看域名、拒外链、保密OTP |
实时 (每当收到短信) |
|
资产隔离 |
锁资金:善用 Money Lock 存入 70%-80% 储蓄 |
长期生效 |
|
设备清理 |
清关联:移除 App 内不再使用的旧手机授权 |
每月一次 |
|
风险管控 |
降限额:平时将转账限额保持在低水平 |
每月一次 |
|
系统防御 |
升软件:确保手机系统与银行 App 处于最新版本 |
及时更新 |
建议:建议你现在就检查银行 App 的 Money Lock 功能。花 1 分钟设置,胜过被骗后 100 小时的追诉。
👮警示:新加坡网络安全局调查员指出,大量受害者在被盗刷后仍坚称自己“在银行官网上操作过”,殊不知自己从未真正进入过官方 App。骗子的界面模拟度已达 99% 以上。
💡 总结:不点链接、不给验证码、只用官方App。守住底线,骗子就无缝可钻!
常见问题解答(FAQ)
Q1: 为什么诈骗短信会出现在我手机里真实的银行短信列表(Thread)中?
A: 骗子利用了“发件人 ID 欺骗”(Sender ID Spoofing)技术。手机系统会根据发件人名称(如 "DBS")自动归类,骗子只要伪造相同的名称,就能“钻”进你的官方对话框。因此,对话框的真实性不代表内容的真实性。
Q2: 我只是点开了链接,但什么都没填,钱会被转走吗?
A: 通常情况下,单纯点击链接不会导致资金被转走。但你的 IP 地址、手机型号等信息可能会被记录。关键红线是:只要你没有输入卡号、CVV 和 OTP,你的账户暂时是安全的。建议立即关闭页面并清除浏览器缓存。
Q3: 为什么我收到的短信里有我的真实姓名,这代表是银行发的吗?
A: 不一定。由于互联网数据泄露,骗子可能通过非法渠道购买了包含姓名、手机号甚至部分卡号的数据库。他们通过“精准投放”来降低你的戒备心。
Q4: 如果我已经被骗了,银行会赔偿我的损失吗?
A: 这取决于调查结果。根据新加坡金融管理局(MAS)的《分摊亏损框架》(SRF),如果用户在处理 OTP 等关键环节存在严重疏忽(如主动泄露验证码),用户可能需要承担大部分甚至全部损失。因此,预防远比追讨重要。
Q5: 只有积分兑换一种套路吗?
A: 不是。骗子会不断更换诱饵,包括:账户异常冻结需认证、高额退税领取、或者“检测到异常大额消费需撤销”。万变不离其宗: 凡是带外链要求输入敏感信息的,皆为诈骗。
Q6: 收到银行带有链接的短信是真的吗?
A:绝对是假的。自 2024 年起,新加坡 MAS 规定所有零售银行发送给客户的短信和邮件中,一律不得包含任何可点击的链接。
Q7: 点击了诈骗短信的链接但没填信息会怎样?
A: 通常不会直接导致资金损失,但骗子可能会记录你的 IP 地址并确认你的手机号处于活跃状态。建议立即关闭页面、清除浏览器缓存,并持续监控银行账户的未出账单记录。
Q8: 信用卡被绑定到骗子的 Apple Pay 怎么办?
A: 如果你不小心泄露了绑定 OTP,骗子可以使用面部解锁无限次盗刷且无需再次验证。请在黄金 10 分钟内拨打银行反诈专线或启用 App 内的 Kill Switch 紧急冻结所有卡片功能。