2013年9月9日 星期一

刑事局:23%詐欺事件起於個資外洩

刑事局:23%詐欺事件起於個資外洩

根據165防詐騙統計,2013年上半年,光是個資外洩所產生的假冒機構詐財事件,占所有詐欺事件5分之1 

根據刑事局165防詐騙統計,在2013年上半年所有詐欺數據,光是B2C和C2C個資外洩所產生假冒機構的詐財事件,就占了全體詐欺案件中的23%。刑事警察局科技犯罪防制中心組長莊明雄表示,從這些統計數據來看,臺灣許多具有客戶規模的中小型電子商務業者,其所掌握的客戶個人資料,已經成為駭客覬覦的對象。

許多中小型電子商務業者為了吸引客戶上門,最常使用的方式就是在入口網站購買網路廣告,吸引消費者點選。但莊明雄認為,這些業者為了盡快讓電子商務服務上線,往往使用現有的套裝架站軟體建置,但又缺乏足夠的資安防護能力,一旦發生駭客利用該套裝軟體的漏洞發動攻擊,業者幾乎難以倖免。


莊明雄進一步分析臺灣各種規模電子商務業者營運網站的差異,其中的小型業者仍透過電子郵件的方式進行網路交易,為了節省成本,包括軟體和硬體都自行維護,但資安防護措施最多只有防毒軟體而已,一旦發生個資外洩事件,這些小型電子商務業者也只能消極地要求消費者掃毒和更換密碼而已。

目前駭客都是利用木馬程式,取得小型電子商務業者使用者的帳號及密碼,莊明雄說,一旦發生個資外洩事件,該起個資被駭客多次利用的時間最少半年,有時候甚至高達一年。

由於駭客針對這些小型電子商務業者的入侵方式,大都利用網路釣魚手法植入木馬程式後,再破解電子商務業者的密碼並取得管理者的權限後,要進一步利用相關客戶個資,就如同探囊取物般的容易。

莊明雄分析近幾年駭客的攻擊手法,在2010年主要的方式是在正常網頁的某個頁面,例如廣告的位置,放入假網頁連結,並騙取民眾點擊假網頁連結後,取得該使用者輸入的帳號密碼;到2011年則是偽造一個仿真度極高的假網頁,來騙取使用者的帳號密碼後,再轉址到真實的網站,讓使用者順利登入而不會察覺有異;2012年則開始利用各種社交網站,包括臉書和Line等,騙取使用者同意使用電話認證並藉此透過小額付費方式詐財。

但到了2013年,莊明雄發現,駭客的手法又回到C2C電子商務業者的網站使用行為,利用問與答的欄位,植入惡意連結後並吸引使用者點選,藉此竊取大型賣家的帳號、密碼,可以登入該賣家的網路賣場並取得相關的交易個資,最後將這些個資提供給詐騙集團,進行ATM解除分期付款的詐欺事件。這類手法中,最常見的方式就是利用境外(例如中國)撥打有臺灣+886國碼的電話,藉此偽裝成臺灣的網路賣家,或者是假冒銀行客服人員的名義撥打電話詐騙。

轉載自《iThome》