https://www.ithome.com.tw/news/146376
国内爆发爱心协会大规模捐款个资外泄,影响机构恐破200间,关键资讯服务商
网软遭骇仍在调查中
自7月底,警方接获大量民众通报,有冒名多个捐款协会的诈骗案。为何会发生
此事?警方日前已指出这些慈善爱心协会均委托同一资讯系统商,由于传出遇害
机构可能多达2百家,根据我们循线追踪,发现与提供非营利组织捐款系统的网
软有关,该公司在8月向其客户通知遭骇客攻击,并呼吁机构通知捐款人小心诈
骗。
按赞加入iThome粉丝团
文/罗正汉 | 2021-08-25发表
最近,台湾爆发多起爱心捐款协会因个资外泄引发诈骗案件,刑事警察局指出,
至8月16日止,已有至少35个爱心协会,因委托同一资讯服务商遭遇此事,受害
规模比月初更扩大。而这家也是苦主之一的关键厂商,经我们追查,就是负责提
供捐款系统公司的网软科技(intersoft)。
面对这次的网络攻击事件,该公司坦言,已委请资安业者协助,清查并强化资安
,执法机关也在持续调查,同时他们也持续通知客户,也就是通知相关爱心协会
,将遭骇客攻击一事告知其客户,同时,请这些爱心机构向捐款民众示警,呼吁
大家要小心不断翻新的ATM相关诈骗话术,并注意信用卡盗刷问题。
警方调查出现大量冒名多个爱心协会的诈骗,对方已掌握详细捐款资讯
在8月5日,刑事警察局发出诈骗活动的预警,引发全国关注。因为在7月26日到8
月1日这一周内,165反诈骗专线统计受理的解除分期付款诈骗案中,有27件的通
报对象,竟然不是长年名列其中的电商平台,而是民众做爱心的慈善捐款协会遭
到冒名,警方并指出,诈骗方掌握了捐款人姓名、电话、捐款金额等资料,借此
取信被害人。
当时遭到冒名的慈善机构有6家,刑事警察局股长洪国伦表示,这些爱心协会都
委托同一资讯服务商,因此,他们的研发科,以及相关的系统厂商仍在调查与厘
清相关资讯。而到了8月16日,我们联系警方,请他们提供最新统计数据,此时
,冒名爱心协会的诈骗已经增至35家以上。
这样的大规模爱心协会资料外泄状况,我们在网络上也看到相关讨论。例如,有
网友在社群网站Plurk当中指出,相关机构的资讯服务商是网软,他们有200多家
基金会客户,因此,整体的资料外泄情形可能比之前曝光的更严重;而我们也看
了很多机构的社群网站,也发现网软的相关消息,例如,“迦南身心障碍养护院
”的脸书粉丝专页上,张贴了来自网软公司的资安事件通知。当我们查询网软这
家公司时,恰巧,他们在官方网站上也有公布刑事警察局的防诈骗宣导。因此,
我们联系网软,以确认此资安事件的状况,也了解他们在这起事件面临的问题,
以及造成的影响。
影响家数尚未有确切资讯,近期网软向这些爱心协会通知其资安事件因应措施
其实,网软是提供非营利组织(NPO)资讯服务的业者,包含捐款管理系统、线
上金流整合、会员与志工管理系统等。
而网软发生的这起资料外泄事件,的确与上述许多慈善机构捐款个资外泄有极大
关连。但是,我们在网软官方网站上,并未看到他们发布服务器遭骇或资料外泄
相关事件的公告,因此难以得知,到底有多少家爱心协会受影响?以及是否有调
查结果?
对于近期多家爱心协会遭遇资料外泄,以及网软向其客户通知资安事件一事,经
我们向网软询问后,他们表示,已委请资安厂商协助清查网络攻击,并检视现有
的基础架构,强化网络安全与资料安全,法务部调查局也提供协助,同时他们也
配合主管机关调查。网软表示,将等调查结果出炉,再一并说明。换言之,他们
目前并无法提供确切资讯。
因此,这次资安事件的入侵方式也还没有具体答案,不确定是网络攻击者直接入
侵网软,或是入侵某一基金会后再入侵捐款系统。
特别的是,由于我们在网络上已看到,两封由网软寄送给爱心协会的通知邮件内
容,因此我们也向网软确认其真实性。网软表示,这些内容确实都是他们寄给爱
心协会的通知信,告知已遭骇客攻击与相关因应。
在网软对爱心协会的通知邮件中,显示该公司在8月初已告知客户(相关爱心协
会)网软捐款系统遭骇客攻击,并提到已封锁可疑IP位址,限制具风险性的功能
。
而另一封网软的通知信中,则在8月中旬说明了这次资安事件的应变现况。
例如,除了寻求资安业者提供顾问服务,他们也委请资策会资安科技研究所协助
主机相关设定,并建置即时监控系统,侦测网络异常与告警机制;并提到该公司
已强化捐款系统的用户帐号登入安全。包括采取限定IP位址登入,并增加图形认
证与双因素验证,以避免外部人员窃取帐号密码入侵。此外,网软也提及将持续
进行机敏资料加密。
而网软也向我们说明,过去有些用户可能设定长度不足又简单的弱密码,因此他
们现在也提醒用户,要注意密码设定问题,而网软也在系统上新增了双因素验证
机制,让用户可搭配短信OTP来验证,强化系统登入安全。
从上述这些资安强化内容来看,网软系统在基础资安防护上,似乎过去仍有一些
不足之处,例如系统登入相当缺乏安全防护机制。尽管该业者主要服务的对象是
非营利组织,但攻击者显然并未因此放过他们,而这样的资安事件,不仅是对于
其他慈善组织,以及这类型的资讯服务商,都是一个警惕,也突显任何使用资讯
与IT技术的各类型企业与组织,都需要同时考量到资安。
另外,由于网软至今并未对外公告发生资安事件,因此这次资安事件的影响范围
,仍令外界感到忧心。是否只有捐款系统发生资料外泄情况?毕竟,我们从该公
司网站公开的案例,可以看到他们的客户,不只是多个爱心协会,像是在线上金
流整合服务中,屏东县政府也是其客户,因此,是否各产品服务的所有客户,都
受此次资安事件影响,遭遇资料外泄情形,势必也都要有所清查。
在网软官方网站上,已在8月3日发布刑事警察局的反诈骗宣导,但至今还没有对
外公布遭骇客攻击与资料外泄的资安事件。
近期已有许多爱心机构紧急发布反诈骗宣导,少数机构则说明是社福组织使用的
捐款系统厂商遭骇,而在“迦南身心障碍养护院的脸书粉丝专页”上,传达了他
们接获网软公司的资安事件通知,当中指出要他们提醒捐款人小心诈骗,并说明
该公司现有的资安事件应变措施。(图片来源:撷取自各爱心协会脸书粉丝专页
)
对于相关爱心协会的捐款民众而言,当心假冒其名义的诈骗,并注意信用卡盗刷
风险
另一方面,为了因应捐款资料外泄可能衍生的风险,包括ATM相关诈骗与信用卡
盗刷,网软也向相关爱心协会发布通知,请他们务必通知捐款人注意。
对于使用信用卡捐款的民众,需注意盗刷风险。虽然海外盗刷方面其实收单银行
自行就可能侦测到并阻挡,但民众自身还是要留意不明刷卡记录,一旦发现,应
尽速向银行反应,通常待银行查证属实后,消费者无须负担被盗刷的费用。网软
指出,银行端会帮助留意盗刷之外,但从目前诈骗现况来看,最不容易被追回诈
骗款项的管道,还是ATM操作,还有临柜汇款或网络银行转帐。因此他们也呼吁
相关爱心协会需尽速向捐款人通知,而网软也会协助机构发送防诈骗短信与电子
邮件。
还要注意的是,诈骗集团会不断翻新诈骗话术,也会改趁民众无法确认的时间来
诈骗。例如,网软表示,近期诈骗集团假冒爱心协会客服人员,就开始利用爱心
协会遭骇的消息,再向捐款人骗称需核对个资与信用卡资料,进而骗取相关资讯
;另外,近期国内媒体揭露镇澜儿童家园均款人遭诈骗,也运用新的手法:诈骗
集团利用协会下班时间,趁著晚上打给捐款人。
对于各爱心协会的因应情形,网软也提到相关现况。基本上,大多数协会都很积
极通知捐款人,因为这些协会可能已经接获相当多起民众询问。不过他们提醒,
诈骗集团可能一波一波发动诈骗,因此要持续提醒民众。
但也有爱心协会仍害怕向民众宣导,因为这样可能让民众变得不敢捐款。然而,
捐款个资外泄情形已经发生,坦然面对更重要。毕竟,已有受害机构工作人员表
示,许多捐款民众通报接到冒用机构名义来电的诈骗,且对方能够说出捐款日期
、捐款者姓名或名义,以及捐款方式等。若捐款民众不知道状况,带来的冲击与
影响其实是更大。
在8月初,刑事警察局发出诈骗活动的预警,引发高度关注,因为165反诈骗专线
受理的解除分期付款诈骗案中,有27件的通报对象竟然是民众做爱心的慈善捐款
协会遭到冒名,警方并指出,诈骗方掌握了捐款人姓名、电话、捐款金额等资料
,借此取信被害人。最初民众通报的对象,包括“台湾乐作创益协会”、“中华
育幼机构儿童关怀协会”、“弘化同心共济会”、“台湾防盲基金会”、“中华
民国儿童癌症基金会”,以及“爱盲基金会”等。接下来,月初出现多起通报的
还有“育成社会福利基金会”、“第一社会福利基金会”、“沐风关怀协会”、
“微客公益行动协会”与“导盲犬协会”,到了8月中旬(至16日止),警方统
计,已经多达35家假冒这类的爱心慈善协会的诈骗,当时接获超过120件民众报
案,财损更是超过1600万元。后续,国内媒体报导相关诈骗案的还有,假冒“大
甲镇澜儿童家园”、“花莲黎明教养院”、“迦南身心障碍养护院”、“联合劝
募”等。
【8月26日更新资讯】
尽管网软透露有限,是否还有更多可供外界参考的资讯?由于“迦南身心障碍养
护院”的脸书粉丝专页有揭露网软发出的资安事件通知,因此,我们也进一步了
解情况。该机构表示,迦南本身是在7月28日开始接到捐款者询问的电话,得知
有冒名诈骗的情况,且对方掌握民众的捐款资讯,因此,迦南在7月29日向网软
反应问题。7月30日,网软回应表示可能是迦南的内网不安全。
显然,网软在7月底一开始还没有意识到问题。到了8月2日,网软则联系迦南,
表示要帮忙寄送防诈骗宣导短信,然后8月3日向他们表示遭骇客入侵。这段期间
,应该是刑事警察局已经接获大量爱心协会诈骗案,联系网软后才有接下来的应
变。之后,网软每隔几天开始向协会发出通知信,说明当前状况及因应措施。
除此之外,不具名资安专家表示,从网软与NPO客户信件往来的内容,推测该公
司的服务可能被上传恶意程式,也就是基本的上传漏洞(File Upload),使得
攻击者可以控制服务器或捞取数据库原始码等。不过,这是从有限资讯中的侧面
推测,详情还是要等刑事警察局或网软来说明。
这起事件持续危害持续扩大,在8月26日,国民党立委林奕华与民进党立委邱泰
源联合多个社福团体召开“公益有爱 避免受害”记者会,包括“中华民国儿童
癌症基金会”、“中华民国心脏病儿童基金会”、“瑞信儿童医疗基金会”与“
台大儿童健康基金会”出席,共同呼吁捐款人留意诈骗讯息勿上当。林奕华也表
示,这次记者会其实有邀请该资讯业者,但很遗憾他们并未出席说明。(图片来
源:撷取自立法委员林奕华脸书直播影片)
-
万骗不离ATM,大家自己小心多注意...
165 的被冒名排行榜已经好几个星期有各个协会了
https://165.npa.gov.tw/#/articles/risk