https://www.ithome.com.tw/news/145976
电信线上申办简易遭网络犯罪利用,自动扣缴直接盗取民众存款,警方表示多达
160人受害
疫情期间,有不肖分子诈骗民众个资上传电信平台申办手机门号,利用小额付款
并线上办理自动扣缴盗取民众银行存款,刑事警察局在7月中旬公告侦破此案。
值得我们关切的是,电信门号已具备类实名角色,若电信平台提供的线上申办与
自动扣款服务的审查出现漏洞,值得相关单位与各界重视。
文/罗正汉 | 2021-08-02发表
https://imgur.com/591dnc6
自台湾疫情升至三级警戒以来,不只是网络个资诈骗事件呈现倍增趋势,各大电
信业者推动的线上申办业务,竟也成为不肖份子申办人头门号的捷径。刑事警察
局在7月23日宣布侦破一起网络犯罪事件,逮捕9名嫌犯,其手法是利用民众对于
网络诈骗缺乏资安意识,以及各家电信业者线上门号申办业务身分审查机制的不
足,之后再借由小额付款买点数转售牟利,目前有160人受害,并有单一受害者
损失48万元的情形。
嫌犯采用网络钓鱼手法,骗取民众证件
根据刑事警察局的调查,这些嫌犯先取得了被害人的银行帐号、身分证等识别资
料,再利用这些个人身分文件,到其他电信业者线上门号申办服务,而对于这样
的身分冒用行为,电信业者并没有发现异状,仅审查身分证号与换发日期即通过
认证,之后便寄发SIM卡,透过物流业者让申请者至指定超商取件。
接下来,这些犯案者便可透过取得的冒用电信门号,利用电信小额付费机制,购
买Google Play、Apple App Store等虚拟点数,再转售予不知情民众以牟利变现
。
警方之所以侦办这起案件,是因为在2020年6月接获报案,有民众表示银行存款
遭不明扣款购买游戏点数,事后发现,原来是证件遭他人伪造申办人头门号,因
此电信侦查大队与新竹市警察局第一分局共组专案小组,循线扩大追查。而这项
调查结果显示,被害人数超过160人,并造成200多万元的财物损失,而警方也查
获张姓主嫌、许姓游戏点数商共9人。
其实,这起事件在不少环节上,都有值得重视的资安议题,包括嫌犯如何取得民
众证件,以及电信线上门号申办漏洞是否普遍情形等。为此,我们联系到刑事警
察局电信侦察大队队长庄明雄,想进一步了解细节。
他表示,坊间有很多钓鱼网站,包括假投资网站、求职或中奖网站,假借各种名
义骗取民众提供双证件与银行帐号的照片,例如,中奖需要核对身分与汇款帐户
等才能兑奖,因此骗取到民众拍摄的彩色证件照片画面。
庄明雄并指出,自从疫情开始,特别是最近三级警戒后,他们发现钓鱼网站有倍
增的迹象。
对于普遍民众而言,因资安意识不足而误信钓鱼网站,而且在提供敏感个人资讯
与证件时,没有再三确认对方身分,是这起事件最初的问题。
当然,民众还要注意的面向很多。例如,有人会拍摄证件并上传云端硬盘,过去
警方曾侦破民众Google帐户密码设定得不够安全,而被尝试破解成功的事件,导
致云端硬盘被看光光,自己拍摄的证件照片也会被他人取得;此外,台湾有很多
业务需要双证件临柜办理,但为了大家方便,也出现代办业者提供服务,造成更
多证件资讯外流的风险。
https://imgur.com/Lt4W8O1
刑事警察局电信侦查大队第一队与新竹市警察局第一分局,在7月16日宣布
查获9名嫌犯,以及手机、SIM卡及云端硬盘资料(民众双证件及金融帐户影本)
等电磁纪录,指出张姓主嫌取得被害人银行帐号、身分证等证件,然后以伪造证
件上传各电信业者线上门市,值得注意的是,由于业者仅审查身分证号及换发日
期,致犯嫌顺利通过认证,之后,冒名的嫌犯到指定超商取件获得SIM卡,再透
过电信小额付费诈买GooglePlay、AppleStore虚拟点数,并转售予不知情民众牟
利变现。
线上申办身分查核程序有机可乘,若交由超商取件也有瑕疵
关于这次线上申办门号漏洞的情形,庄明雄表示,从这次嫌犯的申办结果来看,
各大电信业者都存在这样的情形,在线上申请的身分审核时,只检查身分证号与
换发日期,使得嫌犯持假冒身分证件上传,就能冒名并取得SIM卡。
在此同时,由于手机门号已成为民众身分识别重要条件之一,关于这类线上申办
门号的漏洞,值得国内重视。
举例来说,近年国际发生许多SIM卡劫持事件,有不肖份子假冒用户名义,向电
信公司谎称SIM卡遗失,因此对方可先购买空白SIM卡方式,再透过电话与电信业
者客服核对身分后,就能将原用户的电话号码,转换至不肖分子持有的空白SIM
卡。当时,我们曾询问资安专家为何台湾不常见到这类事件,他们表示,主要是
台湾SIM卡遗失,通常会本人持双证件至电信门市办理。
若真如此,按理来说,这次事件应该很难发生。庄明雄表示,疫情升温,现在电
信业者也顺应潮流,加大推动线上申办的力道,并给予比临柜办理更优惠的方案
,而发生了这样的事件,也等于是因为疫情而带来另一种资安冲击。
不过,本次事件还有一个更关键的部分,值得关注,那就是:电信业的银行帐户
自动扣缴。庄明雄表示,有一受害人因存款较多,直到被扣款达48万元,才发现
自己的银行帐户,出现非自己所用电信公司的扣款活动。
毕竟人头帐户与利用小额付款机制早有不少,但这次嫌犯还会骗取银行帐户,并
利用电信业者提供的线上申办自动扣缴,相当少见。
电信缴费设定自动扣款真有如此容易?若是经由传统的纸本申请,通常银行收到
顾客在电信业的委托,应该是要核对客户印鉴;但如果是线上立即申请,在电信
业与金融业者之间的线上审查,似乎仍不够严谨。而在本起存款盗领事件里面,
是否因为这些业者的身分认证机制相对简易,又彼此互信,才使得嫌犯有机可乘
,单一受害者的金额也较大,相关细节有待厘清。
不仅如此,这次事件还有其他环节同样出现身分验证问题。例如,透过物流管道
进行的顾客身分验证,也可能有资安破口,庄明雄表示,这次嫌犯使用超商取件
方式,领取手机门号SIM卡,但超商店员在进行交货时,可能只是稍微看一眼对
方的证件(或者没看),就完成确认,这是另一破口。
以往有业者采行的作法,是要求配合的物流公司人员,宅配到府时必须检查收件
人双证件,才能让消费者领取SIM卡并缴交申请书寄回,而现在的电信业者提供
了超商取货的身分验证方式,看似方便,但过程中能否落实相关的要求,可能会
是问题——我们无法要求工作任务繁多的超商店员,都能做到详细的查核。
对于这次电信业在线上申办方面的漏洞,庄明雄认为,目前电信业尚未提出很好
的因应方式,至于民众受到的损失,他表示会由电信业者吸收。但是,这已产生
更多的金融秩序干扰,以及耗费社会成本。
因此警方也提醒,电信门号已具备类实名角色,电信业者审查机制若出现漏洞,
易遭人利用施行诈骗,同时也呼吁民众,勿听信来路不明的假求职、假中奖等情
节,更不可擅自将个人证件、银行存摺提供给第三人,避免银行帐号遭盗用,以
及善用165管道查证。
无论如何,利用电信小额付费机制的诈骗手法,多年以来一直都存在,这次事件
却出现大规模受害者,让人意外,但也突显出几个资安议题,像是前面提到的线
上申办的身分查核漏洞,线上申办自动扣缴的审查机制,以及远距领取手机门号
SIM卡的过程,可能都需要更严谨的作法或配套来因应。
同时,还有配套的权限差异议题,例如,有金融业的作法,在线上申办数位帐户
的权限上,资金只进不出,或仅限定本人帐户转帐,有别于临柜申办银行帐户的
权限,对于线上申办的权限是否需限缩,这些也都值得相关单位与各界重视。
-
以后会不会线上申办门号需要视讯录影或自然人凭证..
如果采自然人凭证我是乐观其成,
毕竟现在电信门号也等于另一个网络身份认证机制,
不严格查验说不过去。
而且黑市交易方式基本上也和银行人头帐户买卖没两样。
这种情形下还用超商交货SIM卡的公司心脏真的很大
但基本还是要自己有警觉,不要看到中奖或投资赚钱就冲昏头,
自己傻傻把证件交出去。
重要资料最好也不要摆在云端,至少至少两步骤验证一定要开。