自臺灣疫情升至三級警戒以來,不只是網路個資詐騙事件呈現倍增趨勢,各大電信業者推動的線上申辦業務,竟也成為不肖份子申辦人頭門號的捷徑。刑事警察局在7月23日宣布偵破一起網路犯罪事件,逮捕9名嫌犯,其手法是利用民眾對於網路詐騙缺乏資安意識,以及各家電信業者線上門號申辦業務身分審查機制的不足,之後再藉由小額付款買點數轉售牟利,目前有160人受害,並有單一受害者損失48萬元的情形。

嫌犯採用網路釣魚手法,騙取民眾證件

根據刑事警察局的調查,這些嫌犯先取得了被害人的銀行帳號、身分證等識別資料,再利用這些個人身分文件,到其他電信業者線上門號申辦服務,而對於這樣的身分冒用行為,電信業者並沒有發現異狀,僅審查身分證號與換發日期即通過認證,之後便寄發SIM卡,透過物流業者讓申請者至指定超商取件。

接下來,這些犯案者便可透過取得的冒用電信門號,利用電信小額付費機制,購買Google Play、Apple App Store等虛擬點數,再轉售予不知情民眾以牟利變現。

警方之所以偵辦這起案件,是因為在2020年6月接獲報案,有民眾表示銀行存款遭不明扣款購買遊戲點數,事後發現,原來是證件遭他人偽造申辦人頭門號,因此電信偵查大隊與新竹市警察局第一分局共組專案小組,循線擴大追查。而這項調查結果顯示,被害人數超過160人,並造成200多萬元的財物損失,而警方也查獲張姓主嫌、許姓遊戲點數商共9人。

其實,這起事件在不少環節上,都有值得重視的資安議題,包括嫌犯如何取得民眾證件,以及電信線上門號申辦漏洞是否普遍情形等。為此,我們聯繫到刑事警察局電信偵察大隊隊長莊明雄,想進一步了解細節。

他表示,坊間有很多釣魚網站,包括假投資網站、求職或中獎網站,假借各種名義騙取民眾提供雙證件與銀行帳號的照片,例如,中獎需要核對身分與匯款帳戶等才能兌獎,因此騙取到民眾拍攝的彩色證件照片畫面。

莊明雄並指出,自從疫情開始,特別是最近三級警戒後,他們發現釣魚網站有倍增的跡象。

對於普遍民眾而言,因資安意識不足而誤信釣魚網站,而且在提供敏感個人資訊與證件時,沒有再三確認對方身分,是這起事件最初的問題。

當然,民眾還要注意的面向很多。例如,有人會拍攝證件並上傳雲端硬碟,過去警方曾偵破民眾Google帳戶密碼設定得不夠安全,而被嘗試破解成功的事件,導致雲端硬碟被看光光,自己拍攝的證件照片也會被他人取得;此外,臺灣有很多業務需要雙證件臨櫃辦理,但為了大家方便,也出現代辦業者提供服務,造成更多證件資訊外流的風險。

【臺灣電信業線上申辦身分查核不足成破口,小額付款加自動扣繳成冒用盜取民眾存款工具】疫情期間民眾遭詐騙個資上傳電信平臺申辦門號,利用小額付款加自動扣繳直接盜取民眾銀行存款
刑事警察局電信偵查大隊第一隊與新竹市警察局第一分局,在7月16日宣布查獲9名嫌犯,以及手機、SIM卡及雲端硬碟資料(民眾雙證件及金融帳戶影本)等電磁紀錄,指出張姓主嫌取得被害人銀行帳號、身分證等證件,然後以偽造證件上傳各電信業者線上門市,值得注意的是,由於業者僅審查身分證號及換發日期,致犯嫌順利通過認證,之後,冒名的嫌犯到指定超商取件獲得SIM卡,再透過電信小額付費詐買GooglePlay、AppleStore虛擬點數,並轉售予不知情民眾牟利變現。

線上申辦身分查核程序有機可乘,若交由超商取件也有瑕疵

關於這次線上申辦門號漏洞的情形,莊明雄表示,從這次嫌犯的申辦結果來看,各大電信業者都存在這樣的情形,在線上申請的身分審核時,只檢查身分證號與換發日期,使得嫌犯持假冒身分證件上傳,就能冒名並取得SIM卡。

在此同時,由於手機門號已成為民眾身分識別重要條件之一,關於這類線上申辦門號的漏洞,值得國內重視。

舉例來說,近年國際發生許多SIM卡劫持事件,有不肖份子假冒用戶名義,向電信公司謊稱SIM卡遺失,因此對方可先購買空白SIM卡方式,再透過電話與電信業者客服核對身分後,就能將原用戶的電話號碼,轉換至不肖分子持有的空白SIM卡。當時,我們曾詢問資安專家為何臺灣不常見到這類事件,他們表示,主要是臺灣SIM卡遺失,通常會本人持雙證件至電信門市辦理。

若真如此,按理來說,這次事件應該很難發生。莊明雄表示,疫情升溫,現在電信業者也順應潮流,加大推動線上申辦的力道,並給予比臨櫃辦理更優惠的方案,而發生了這樣的事件,也等於是因為疫情而帶來另一種資安衝擊。

不過,本次事件還有一個更關鍵的部分,值得關注,那就是:電信繳款的銀行帳戶自動扣繳申請。莊明雄表示,有一受害人因存款較多,直到被扣款達48萬元,才發現自己的銀行帳戶,出現非自己所用電信公司的扣款活動。

畢竟人頭帳戶與利用小額付款機制的狀況早有不少,但這次嫌犯還會騙取銀行帳戶,並利用電信業者提供的線上申辦自動扣繳,相當少見。

電信繳費設定自動扣款真有如此容易?若是經由傳統的紙本申請,通常銀行收到顧客在電信業的委託,應該是要核對客戶印鑑;但如果是線上立即申請,在電信業與金融業者之間的線上審查,似乎仍不夠嚴謹。而在本起存款盜領事件裡面,是否因為這些業者的身分認證機制相對簡易,又彼此互信,才使得嫌犯有機可乘,單一受害者的金額也較大,相關細節有待釐清。

不僅如此,這次事件還有其他環節同樣出現身分驗證問題。例如,透過物流管道進行的顧客身分驗證,也可能有資安破口,莊明雄表示,這次嫌犯使用超商取件方式,領取手機門號SIM卡,但超商店員在進行交貨時,可能只是稍微看一眼對方的證件(或者沒看),就完成確認,這是另一破口。

以往有品牌授權業者採行的作法,是要求配合的物流公司人員,宅配到府時必須檢查收件人雙證件,才能讓消費者領取SIM卡並繳交申請書寄回,而現在的各大電信業者提供了超商取貨的身分驗證方式,看似方便,但過程中能否落實相關的要求,可能會是問題——我們無法要求工作任務繁多的超商店員,都能做到詳細的查核。

對於這次電信業在線上申辦方面的漏洞,莊明雄認為,目前電信業尚未提出很好的因應方式,至於民眾受到的損失,他表示會由電信業者吸收。但是,這已產生更多的金融秩序干擾,以及耗費社會成本。

因此警方也提醒,電信門號已具備類實名角色,電信業者審查機制若出現漏洞,易遭人利用施行詐騙,同時也呼籲民眾,勿聽信來路不明的假求職、假中獎等情節,更不可擅自將個人證件、銀行存摺提供給第三人,避免銀行帳號遭盜用,以及善用165管道查證。

無論如何,利用電信小額付費機制的詐騙手法,多年以來一直都存在,這次事件卻出現大規模受害者,讓人意外,但也突顯出幾個資安議題,像是前面提到的線上申辦的身分查核漏洞,線上申辦自動扣繳的審查機制,以及遠距領取手機門號SIM卡的過程,可能都需要更嚴謹的作法或配套來因應。

同時,還有配套的權限差異議題,例如,有金融業的作法,在線上申辦數位帳戶的權限上,資金只進不出,或僅限定本人帳戶轉帳,有別於臨櫃申辦銀行帳戶的權限,對於線上申辦的權限是否需限縮,這些也都值得相關單位與各界重視。


熱門新聞

Advertisement