https://www.ithome.com.tw/news/145976
電信線上申辦簡易遭網路犯罪利用,自動扣繳直接盜取民眾存款,警方表示多達
160人受害
疫情期間,有不肖分子詐騙民眾個資上傳電信平臺申辦手機門號,利用小額付款
並線上辦理自動扣繳盜取民眾銀行存款,刑事警察局在7月中旬公告偵破此案。
值得我們關切的是,電信門號已具備類實名角色,若電信平臺提供的線上申辦與
自動扣款服務的審查出現漏洞,值得相關單位與各界重視。
文/羅正漢 | 2021-08-02發表
https://imgur.com/591dnc6
自臺灣疫情升至三級警戒以來,不只是網路個資詐騙事件呈現倍增趨勢,各大電
信業者推動的線上申辦業務,竟也成為不肖份子申辦人頭門號的捷徑。刑事警察
局在7月23日宣布偵破一起網路犯罪事件,逮捕9名嫌犯,其手法是利用民眾對於
網路詐騙缺乏資安意識,以及各家電信業者線上門號申辦業務身分審查機制的不
足,之後再藉由小額付款買點數轉售牟利,目前有160人受害,並有單一受害者
損失48萬元的情形。
嫌犯採用網路釣魚手法,騙取民眾證件
根據刑事警察局的調查,這些嫌犯先取得了被害人的銀行帳號、身分證等識別資
料,再利用這些個人身分文件,到其他電信業者線上門號申辦服務,而對於這樣
的身分冒用行為,電信業者並沒有發現異狀,僅審查身分證號與換發日期即通過
認證,之後便寄發SIM卡,透過物流業者讓申請者至指定超商取件。
接下來,這些犯案者便可透過取得的冒用電信門號,利用電信小額付費機制,購
買Google Play、Apple App Store等虛擬點數,再轉售予不知情民眾以牟利變現
。
警方之所以偵辦這起案件,是因為在2020年6月接獲報案,有民眾表示銀行存款
遭不明扣款購買遊戲點數,事後發現,原來是證件遭他人偽造申辦人頭門號,因
此電信偵查大隊與新竹市警察局第一分局共組專案小組,循線擴大追查。而這項
調查結果顯示,被害人數超過160人,並造成200多萬元的財物損失,而警方也查
獲張姓主嫌、許姓遊戲點數商共9人。
其實,這起事件在不少環節上,都有值得重視的資安議題,包括嫌犯如何取得民
眾證件,以及電信線上門號申辦漏洞是否普遍情形等。為此,我們聯繫到刑事警
察局電信偵察大隊隊長莊明雄,想進一步了解細節。
他表示,坊間有很多釣魚網站,包括假投資網站、求職或中獎網站,假借各種名
義騙取民眾提供雙證件與銀行帳號的照片,例如,中獎需要核對身分與匯款帳戶
等才能兌獎,因此騙取到民眾拍攝的彩色證件照片畫面。
莊明雄並指出,自從疫情開始,特別是最近三級警戒後,他們發現釣魚網站有倍
增的跡象。
對於普遍民眾而言,因資安意識不足而誤信釣魚網站,而且在提供敏感個人資訊
與證件時,沒有再三確認對方身分,是這起事件最初的問題。
當然,民眾還要注意的面向很多。例如,有人會拍攝證件並上傳雲端硬碟,過去
警方曾偵破民眾Google帳戶密碼設定得不夠安全,而被嘗試破解成功的事件,導
致雲端硬碟被看光光,自己拍攝的證件照片也會被他人取得;此外,臺灣有很多
業務需要雙證件臨櫃辦理,但為了大家方便,也出現代辦業者提供服務,造成更
多證件資訊外流的風險。
https://imgur.com/Lt4W8O1
刑事警察局電信偵查大隊第一隊與新竹市警察局第一分局,在7月16日宣布
查獲9名嫌犯,以及手機、SIM卡及雲端硬碟資料(民眾雙證件及金融帳戶影本)
等電磁紀錄,指出張姓主嫌取得被害人銀行帳號、身分證等證件,然後以偽造證
件上傳各電信業者線上門市,值得注意的是,由於業者僅審查身分證號及換發日
期,致犯嫌順利通過認證,之後,冒名的嫌犯到指定超商取件獲得SIM卡,再透
過電信小額付費詐買GooglePlay、AppleStore虛擬點數,並轉售予不知情民眾牟
利變現。
線上申辦身分查核程序有機可乘,若交由超商取件也有瑕疵
關於這次線上申辦門號漏洞的情形,莊明雄表示,從這次嫌犯的申辦結果來看,
各大電信業者都存在這樣的情形,在線上申請的身分審核時,只檢查身分證號與
換發日期,使得嫌犯持假冒身分證件上傳,就能冒名並取得SIM卡。
在此同時,由於手機門號已成為民眾身分識別重要條件之一,關於這類線上申辦
門號的漏洞,值得國內重視。
舉例來說,近年國際發生許多SIM卡劫持事件,有不肖份子假冒用戶名義,向電
信公司謊稱SIM卡遺失,因此對方可先購買空白SIM卡方式,再透過電話與電信業
者客服核對身分後,就能將原用戶的電話號碼,轉換至不肖分子持有的空白SIM
卡。當時,我們曾詢問資安專家為何臺灣不常見到這類事件,他們表示,主要是
臺灣SIM卡遺失,通常會本人持雙證件至電信門市辦理。
若真如此,按理來說,這次事件應該很難發生。莊明雄表示,疫情升溫,現在電
信業者也順應潮流,加大推動線上申辦的力道,並給予比臨櫃辦理更優惠的方案
,而發生了這樣的事件,也等於是因為疫情而帶來另一種資安衝擊。
不過,本次事件還有一個更關鍵的部分,值得關注,那就是:電信業的銀行帳戶
自動扣繳。莊明雄表示,有一受害人因存款較多,直到被扣款達48萬元,才發現
自己的銀行帳戶,出現非自己所用電信公司的扣款活動。
畢竟人頭帳戶與利用小額付款機制早有不少,但這次嫌犯還會騙取銀行帳戶,並
利用電信業者提供的線上申辦自動扣繳,相當少見。
電信繳費設定自動扣款真有如此容易?若是經由傳統的紙本申請,通常銀行收到
顧客在電信業的委託,應該是要核對客戶印鑑;但如果是線上立即申請,在電信
業與金融業者之間的線上審查,似乎仍不夠嚴謹。而在本起存款盜領事件裡面,
是否因為這些業者的身分認證機制相對簡易,又彼此互信,才使得嫌犯有機可乘
,單一受害者的金額也較大,相關細節有待釐清。
不僅如此,這次事件還有其他環節同樣出現身分驗證問題。例如,透過物流管道
進行的顧客身分驗證,也可能有資安破口,莊明雄表示,這次嫌犯使用超商取件
方式,領取手機門號SIM卡,但超商店員在進行交貨時,可能只是稍微看一眼對
方的證件(或者沒看),就完成確認,這是另一破口。
以往有業者採行的作法,是要求配合的物流公司人員,宅配到府時必須檢查收件
人雙證件,才能讓消費者領取SIM卡並繳交申請書寄回,而現在的電信業者提供
了超商取貨的身分驗證方式,看似方便,但過程中能否落實相關的要求,可能會
是問題——我們無法要求工作任務繁多的超商店員,都能做到詳細的查核。
對於這次電信業在線上申辦方面的漏洞,莊明雄認為,目前電信業尚未提出很好
的因應方式,至於民眾受到的損失,他表示會由電信業者吸收。但是,這已產生
更多的金融秩序干擾,以及耗費社會成本。
因此警方也提醒,電信門號已具備類實名角色,電信業者審查機制若出現漏洞,
易遭人利用施行詐騙,同時也呼籲民眾,勿聽信來路不明的假求職、假中獎等情
節,更不可擅自將個人證件、銀行存摺提供給第三人,避免銀行帳號遭盜用,以
及善用165管道查證。
無論如何,利用電信小額付費機制的詐騙手法,多年以來一直都存在,這次事件
卻出現大規模受害者,讓人意外,但也突顯出幾個資安議題,像是前面提到的線
上申辦的身分查核漏洞,線上申辦自動扣繳的審查機制,以及遠距領取手機門號
SIM卡的過程,可能都需要更嚴謹的作法或配套來因應。
同時,還有配套的權限差異議題,例如,有金融業的作法,在線上申辦數位帳戶
的權限上,資金只進不出,或僅限定本人帳戶轉帳,有別於臨櫃申辦銀行帳戶的
權限,對於線上申辦的權限是否需限縮,這些也都值得相關單位與各界重視。
-
以後會不會線上申辦門號需要視訊錄影或自然人憑證..
如果採自然人憑證我是樂觀其成,
畢竟現在電信門號也等於另一個網路身份認證機制,
不嚴格查驗說不過去。
而且黑市交易方式基本上也和銀行人頭帳戶買賣沒兩樣。
這種情形下還用超商交貨SIM卡的公司心臟真的很大
但基本還是要自己有警覺,不要看到中獎或投資賺錢就沖昏頭,
自己傻傻把證件交出去。
重要資料最好也不要擺在雲端,至少至少兩步驟驗證一定要開。