https://www.ithome.com.tw/news/146376
国内爆发爱心协会大规模捐款个资外泄,影响机构恐破200间,关键资讯服务商
网软遭骇仍在调查中
自7月底,警方接获大量民众通报,有冒名多个捐款协会的诈骗案。为何会发生
此事?警方日前已指出这些慈善爱心协会均委托同一资讯系统商,由于传出遇害
机构可能多达2百家,根据我们循线追踪,发现与提供非营利组织捐款系统的网
软有关,该公司在8月向其客户通知遭骇客攻击,并呼吁机构通知捐款人小心诈
骗。
按赞加入iThome粉丝团
文/罗正汉 | 2021-08-25发表
最近,台湾爆发多起爱心捐款协会因个资外泄引发诈骗案件,刑事警察局指出,
至8月16日止,已有至少35个爱心协会,因委托同一资讯服务商遭遇此事,受害
规模比月初更扩大。而这家也是苦主之一的关键厂商,经我们追查,就是负责提
供捐款系统公司的网软科技(intersoft)。
面对这次的网络攻击事件,该公司坦言,已委请资安业者协助,清查并强化资安
,执法机关也在持续调查,同时他们也持续通知客户,也就是通知相关爱心协会
,将遭骇客攻击一事告知其客户,同时,请这些爱心机构向捐款民众示警,呼吁
大家要小心不断翻新的ATM相关诈骗话术,并注意信用卡盗刷问题。
警方调查出现大量冒名多个爱心协会的诈骗,对方已掌握详细捐款资讯
在8月5日,刑事警察局发出诈骗活动的预警,引发全国关注。因为在7月26日到8
月1日这一周内,165反诈骗专线统计受理的解除分期付款诈骗案中,有27件的通
报对象,竟然不是长年名列其中的电商平台,而是民众做爱心的慈善捐款协会遭
到冒名,警方并指出,诈骗方掌握了捐款人姓名、电话、捐款金额等资料,借此
取信被害人。
当时遭到冒名的慈善机构有6家,刑事警察局股长洪国伦表示,这些爱心协会都
委托同一资讯服务商,因此,他们的研发科,以及相关的系统厂商仍在调查与厘
清相关资讯。而到了8月16日,我们联系警方,请他们提供最新统计数据,此时
,冒名爱心协会的诈骗已经增至35家以上。
这样的大规模爱心协会资料外泄状况,我们在网络上也看到相关讨论。例如,有
网友在社群网站Plurk当中指出,相关机构的资讯服务商是网软,他们有200多家
基金会客户,因此,整体的资料外泄情形可能比之前曝光的更严重;而我们也看
了很多机构的社群网站,也发现网软的相关消息,例如,“迦南身心障碍养护院
”的脸书粉丝专页上,张贴了来自网软公司的资安事件通知。当我们查询网软这
家公司时,恰巧,他们在官方网站上也有公布刑事警察局的防诈骗宣导。因此,
我们联系网软,以确认此资安事件的状况,也了解他们在这起事件面临的问题,
以及造成的影响。
影响家数尚未有确切资讯,近期网软向这些爱心协会通知其资安事件因应措施
其实,网软是提供非营利组织(NPO)资讯服务的业者,包含捐款管理系统、线
上金流整合、会员与志工管理系统等。
而网软发生的这起资料外泄事件,的确与上述许多慈善机构捐款个资外泄有极大
关连。但是,我们在网软官方网站上,并未看到他们发布服务器遭骇或资料外泄
相关事件的公告,因此难以得知,到底有多少家爱心协会受影响?以及是否有调
查结果?
对于近期多家爱心协会遭遇资料外泄,以及网软向其客户通知资安事件一事,经
我们向网软询问后,他们表示,已委请资安厂商协助清查网络攻击,并检视现有
的基础架构,强化网络安全与资料安全,法务部调查局也提供协助,同时他们也
配合主管机关调查。网软表示,将等调查结果出炉,再一并说明。换言之,他们
目前并无法提供确切资讯。
因此,这次资安事件的入侵方式也还没有具体答案,不确定是网络攻击者直接入
侵网软,或是入侵某一基金会后再入侵捐款系统。
特别的是,由于我们在网络上已看到,两封由网软寄送给爱心协会的通知邮件内
容,因此我们也向网软确认其真实性。网软表示,这些内容确实都是他们寄给爱
心协会的通知信,告知已遭骇客攻击与相关因应。
在网软对爱心协会的通知邮件中,显示该公司在8月初已告知客户(相关爱心协
会)网软捐款系统遭骇客攻击,并提到已封锁可疑IP位址,限制具风险性的功能
。
而另一封网软的通知信中,则在8月中旬说明了这次资安事件的应变现况。
例如,除了寻求资安业者提供顾问服务,他们也委请资策会资安科技研究所协助
主机相关设定,并建置即时监控系统,侦测网络异常与告警机制;并提到该公司
已强化捐款系统的用户帐号登入安全。包括采取限定IP位址登入,并增加图形认
证与双因素验证,以避免外部人员窃取帐号密码入侵。此外,网软也提及将持续
进行机敏资料加密。
而网软也向我们说明,过去有些用户可能设定长度不足又简单的弱密码,因此他
们现在也提醒用户,要注意密码设定问题,而网软也在系统上新增了双因素验证
机制,让用户可搭配短信OTP来验证,强化系统登入安全。
从上述这些资安强化内容来看,网软系统在基础资安防护上,似乎过去仍有一些
不足之处,例如系统登入相当缺乏安全防护机制。尽管该业者主要服务的对象是
非营利组织,但攻击者显然并未因此放过他们,而这样的资安事件,不仅是对于
其他慈善组织,以及这类型的资讯服务商,都是一个警惕,也突显任何使用资讯
与IT技术的各类型企业与组织,都需要同时考量到资安。
另外,由于网软至今并未对外公告发生资安事件,因此这次资安事件的影响范围
,仍令外界感到忧心。是否只有捐款系统发生资料外泄情况?毕竟,我们从该公
司网站公开的案例,可以看到他们的客户,不只是多个爱心协会,像是在线上金
流整合服务中,屏东县政府也是其客户,因此,是否各产品服务的所有客户,都
受此次资安事件影响,遭遇资料外泄情形,势必也都要有所清查。
https://imgur.com/HAheJ2l
在网软官方网站上,已在8月3日发布刑事警察局的反诈骗宣导,但至今还没有对
外公布遭骇客攻击与资料外泄的资安事件。
https://imgur.com/Mnjsmhg
https://imgur.com/OoD5GBM
https://imgur.com/yUj1rnF
https://imgur.com/ihbVvqQ
近期已有许多爱心机构紧急发布反诈骗宣导,少数机构则说明是社福组织使用的
捐款系统厂商遭骇,而在“迦南身心障碍养护院的脸书粉丝专页”上,传达了他
们接获网软公司的资安事件通知,当中指出要他们提醒捐款人小心诈骗,并说明
该公司现有的资安事件应变措施。(图片来源:撷取自各爱心协会脸书粉丝专页
)
对于相关爱心协会的捐款民众而言,当心假冒其名义的诈骗,并注意信用卡盗刷
风险
另一方面,为了因应捐款资料外泄可能衍生的风险,包括ATM相关诈骗与信用卡
盗刷,网软也向相关爱心协会发布通知,请他们务必通知捐款人注意。
对于使用信用卡捐款的民众,需注意盗刷风险。虽然海外盗刷方面其实收单银行
自行就可能侦测到并阻挡,但民众自身还是要留意不明刷卡记录,一旦发现,应
尽速向银行反应,通常待银行查证属实后,消费者无须负担被盗刷的费用。网软
指出,银行端会帮助留意盗刷之外,但从目前诈骗现况来看,最不容易被追回诈
骗款项的管道,还是ATM操作,还有临柜汇款或网络银行转帐。因此他们也呼吁
相关爱心协会需尽速向捐款人通知,而网软也会协助机构发送防诈骗短信与电子
邮件。
还要注意的是,诈骗集团会不断翻新诈骗话术,也会改趁民众无法确认的时间来
诈骗。例如,网软表示,近期诈骗集团假冒爱心协会客服人员,就开始利用爱心
协会遭骇的消息,再向捐款人骗称需核对个资与信用卡资料,进而骗取相关资讯
;另外,近期国内媒体揭露镇澜儿童家园均款人遭诈骗,也运用新的手法:诈骗
集团利用协会下班时间,趁著晚上打给捐款人。
对于各爱心协会的因应情形,网软也提到相关现况。基本上,大多数协会都很积
极通知捐款人,因为这些协会可能已经接获相当多起民众询问。不过他们提醒,
诈骗集团可能一波一波发动诈骗,因此要持续提醒民众。
但也有爱心协会仍害怕向民众宣导,因为这样可能让民众变得不敢捐款。然而,
捐款个资外泄情形已经发生,坦然面对更重要。毕竟,已有受害机构工作人员表
示,许多捐款民众通报接到冒用机构名义来电的诈骗,且对方能够说出捐款日期
、捐款者姓名或名义,以及捐款方式等。若捐款民众不知道状况,带来的冲击与
影响其实是更大。
https://imgur.com/vOwTTjR
https://imgur.com/p3ReXf5
在8月初,刑事警察局发出诈骗活动的预警,引发高度关注,因为165反诈骗专线
受理的解除分期付款诈骗案中,有27件的通报对象竟然是民众做爱心的慈善捐款
协会遭到冒名,警方并指出,诈骗方掌握了捐款人姓名、电话、捐款金额等资料
,借此取信被害人。最初民众通报的对象,包括“台湾乐作创益协会”、“中华
育幼机构儿童关怀协会”、“弘化同心共济会”、“台湾防盲基金会”、“中华
民国儿童癌症基金会”,以及“爱盲基金会”等。接下来,月初出现多起通报的
还有“育成社会福利基金会”、“第一社会福利基金会”、“沐风关怀协会”、
“微客公益行动协会”与“导盲犬协会”,到了8月中旬(至16日止),警方统
计,已经多达35家假冒这类的爱心慈善协会的诈骗,当时接获超过120件民众报
案,财损更是超过1600万元。后续,国内媒体报导相关诈骗案的还有,假冒“大
甲镇澜儿童家园”、“花莲黎明教养院”、“迦南身心障碍养护院”、“联合劝
募”等。
【8月26日更新资讯】
尽管网软透露有限,是否还有更多可供外界参考的资讯?由于“迦南身心障碍养
护院”的脸书粉丝专页有揭露网软发出的资安事件通知,因此,我们也进一步了
解情况。该机构表示,迦南本身是在7月28日开始接到捐款者询问的电话,得知
有冒名诈骗的情况,且对方掌握民众的捐款资讯,因此,迦南在7月29日向网软
反应问题。7月30日,网软回应表示可能是迦南的内网不安全。
显然,网软在7月底一开始还没有意识到问题。到了8月2日,网软则联系迦南,
表示要帮忙寄送防诈骗宣导短信,然后8月3日向他们表示遭骇客入侵。这段期间
,应该是刑事警察局已经接获大量爱心协会诈骗案,联系网软后才有接下来的应
变。之后,网软每隔几天开始向协会发出通知信,说明当前状况及因应措施。
除此之外,不具名资安专家表示,从网软与NPO客户信件往来的内容,推测该公
司的服务可能被上传恶意程式,也就是基本的上传漏洞(File Upload),使得
攻击者可以控制服务器或捞取数据库原始码等。不过,这是从有限资讯中的侧面
推测,详情还是要等刑事警察局或网软来说明。
https://imgur.com/F1NokMU
这起事件持续危害持续扩大,在8月26日,国民党立委林奕华与民进党立委邱泰
源联合多个社福团体召开“公益有爱 避免受害”记者会,包括“中华民国儿童
癌症基金会”、“中华民国心脏病儿童基金会”、“瑞信儿童医疗基金会”与“
台大儿童健康基金会”出席,共同呼吁捐款人留意诈骗讯息勿上当。林奕华也表
示,这次记者会其实有邀请该资讯业者,但很遗憾他们并未出席说明。(图片来
源:撷取自立法委员林奕华脸书直播影片)
-
万骗不离ATM,大家自己小心多注意...
165 的被冒名排行榜已经好几个星期有各个协会了
https://165.npa.gov.tw/#/articles/risk