莊明雄
」 莊明雄
刑事局與永豐金控簽署資安聯防MOU 打詐國家隊添生力軍
近年來詐欺犯罪結合跨境、網路等途徑氾濫、難以追查,犯罪手法型態多樣,公部門跨部會結合私部門電信、網路與金融業者力量,共組打詐國家隊案例又一,刑事警察局今(25)日與永豐金控公司簽訂MOU,未來針對資安、反詐聯防與技術交流進行合作,打詐國家隊再添新生力軍,共同反詐、守護民眾。刑事局表示,今日攜手永豐金控公司以「建構紅藍隊資安實力、反詐聯防與技術交流研討」之目標共同簽署合作意向書(MOU),由警政署副署長李西河、刑事警察局局長周幼偉、主任秘書蔡燕明、科技犯罪防制中心主任林建隆、預防科科長林書立及科技研發科科長莊明雄等人與永豐金控總經理朱士廷率永豐金控資安長李相臣、永豐金控財務長許如玫、永豐金控法遵長林淑閔、永豐金控副總何欣、永豐金控副總楊敦仁及永豐金控副總高大宇共同參與簽約儀式。在此MOU合作下未來將強化雙方從資安、反詐等方向進行實務合作聯防,並推動情資交流、重大資安事件處置及強化金融機構資安韌性等工作,另將規劃實務經驗交流與召開研討會,讓雙方人才與專業經驗緊密結合,期使永豐金控公司所屬金融機構人員具備反詐騙、防洗錢犯罪、資安風險管理等概念,杜絕金融犯罪發生。警政署副署長李西河表示,近年來詐欺犯罪多樣化且結合跨境、網路等方式,警方面臨日趨嚴峻及狡猾的犯罪手法,詐欺案類型必須透過公部門跨部會機制,並結合私部門電信、網路與金融業者力量,共組打詐國家隊,警民一同攜手合作,才能消弭犯罪,有鑒於此,刑事警察局已陸續與中國信託、富邦、台新、元大及國泰金控等多家簽署合作意向書,建構金融聯防體系就是希望擴大保障民眾財產。刑事局長周幼偉指出,呼應蔡總統提出「資安即國安2.0」及近期行政院打詐行動綱領1.5等策略,據統計大部分的資安事件多與詐騙有關,因此今日透過與永豐金控簽署合作意向書,雙方共同合作下加深資安事件的事前防禦與事後應處,並在反詐工作上建立AI偵測異常交易及快速聯防預警機制,提早防堵,減少民眾損害。另外,詐騙猖獗詐團中不乏招攬高科技及金融專業人士在協助犯罪,因此在打詐國家隊的陣容裡面,迫切需要挹注金融專業力量,聯合各領域人才一起打擊詐欺犯罪。
博客來詐不完1/疑內鬼洩個資坑殺近3000會員 警擬助集體訴訟阻詐
刑事警察局日前公布2022年第二季受理「解除分期付款詐騙案」,其中號稱全台最大、擁有百萬會員的「博客來網路書店」居高風險賣場之冠,財損逾億元,警方質疑該公司有內鬼在販售會員個資,但博客來僅以「不排除可能性」回應、態度消極。據統計,今年1到9月有80多家知名電商因詐騙案在高風險榜上有名,卻只有不到3成電商投入資安維護,警方為防止企業擺爛,讓無辜會員成俎上肉,未來只要同一電商受害者超過20人,將和消基會聯手幫助受害人打集體訴訟官司、對抗大鯨魚,捍衛民眾權益。警方表示,今年4月到6月,民眾通報在網路賣場「博客來網路書店」消費,後續接到假客服詐騙案,3個月高達2725件,更驚人的是財損總額逾億元,其中,一名A小姐遭詐1千1百多萬元。當時A小姐人在國外,對方來電表示她在網路書店購物結帳時設定錯誤、被重複扣款,A小姐不疑有他,依指示將帳戶內的存款匯入對方指定帳戶,匯完後她才驚覺不對,「這是詐騙,我在博客來的個資外洩」,趕緊要在台灣的丈夫幫忙報警。而另名B先生,則是接到自稱博客來客服的電話,表示公司遭駭客入侵,導致款項多刷10筆,並稱後續會請某銀行協助處理,接著果真有銀行人員打電話來,要求B先生從網路銀行及ATM匯款至其指定帳戶,然後一名自稱銀行女主管來電,要他將指定帳戶設為約定帳戶,指示繼續匯款到該帳戶云云,B先生來不及細想全部照做,總計損失990萬元,痛批詐團假冒博客來人員太可惡。詭異的情況還有民眾在博客來網路書店購物,2天後就接到詐團冒名博客來客服電話,差點受騙上當;甚至一名警官表示,他未滿16歲的女兒在該網站註冊會員,某天接到警示通知信,表示有人修改其博客來會員密碼,警官爸馬上意識到恐有機器人正在偷密碼竊個資,要求女兒趕快將各網站密碼全換掉。刑事局研發科代理科長莊明雄指出,只有3成知名電商願意著手改善資安漏洞。(圖/黃威彬攝)針對博客來詐騙案件量大,警方積極介入了解,刑事局研發科代理科長莊明雄表示,曾要求博客來從內部資安、請第3方資安單位抓問題,甚至一併檢視物流業者,但博客來竟給出「沒漏洞」、「資安沒問題」等結論,警方大膽假設該公司可能有內鬼,對方竟回答「不排除可能性」。某專業資安漏洞平台日前也曾通報博客來帳密容易遭竊取、警示資安有問題,種種狀況都讓警方認為大企業態度擺爛會助長詐騙行為,因此未來除了報請檢方啟動刑事調查,以《詐欺罪》之幫助犯方向偵辦,釐清企業員工是否幫助詐團、企業有無縱容,另方面也將推動受害者達20人以上,警方即與消基會等單位聯手幫助提集體訴訟,等同對企業施壓,迫使他們正視個資外洩問題。本刊調查,博客來於1995年成立,資本額2億元,是台灣第一家網路書店,接著又從網路書店轉型為綜合網購商城。目前博客來是國內不分線上線下、紙本書最大通路,網站圖書品項數超過200萬冊,業務範圍遍及台、港、澳以及新加坡、馬來西亞、菲律賓及美國,可配送到全球141個地區,註冊會員數達950萬,以女性會員居多約占6成左右。對於會員個資疑似遭到外洩,博客來表示已於官網加註反詐騙宣導警語、並主動發送反詐騙宣導簡訊通知消費者,持續與專業資安防護公司合作,進行資安檢測及強化保護,降低風險。至於其他部分目前還在了解當中,不便回應。 假客服人員以重複扣款等話術詐騙會員,今年第二季警方統計有2725件,對此,博客來官網特別加上警語提醒民眾小心。(圖/翻攝博客來官網)
博客來詐不完2/會員個資外洩只肯給2千折價券 雄獅旅遊開「集體訴訟」先例
詐騙猖獗,警方統計今年第二季「解除分期付款詐騙案」,號稱全台最大的「博客來網路書店」以2725件名列高風險賣場冠軍,警方不排除該公司有內鬼盜賣個資,將著手清查,另外也將協助被害人進行團體訴訟。其實,2017年雄獅旅遊因駭客入侵,36萬筆個資外洩,當時消基會即曾協助25名被害人提告求償,成為國內首宗個資集體訴訟案。警方表示,號稱擁有百萬會員的網路賣場「博客來網路書店」,疑似會員個資外洩,詐騙集團再冒充博客來客服人員去電會員,誆騙「重複扣款」等,要求被害人操作ATM或網路銀行匯款,其中一名A小姐遭詐1千1百多萬元,還因此差點得憂鬱症。刑事局研發科代理科長、擁有台灣科技大學資訊管理博士學位的莊明雄指出,警方介入了解後發現業者處理資安漏洞態度消極,不排除有企業內鬼盜賣個資,除將請求檢方指揮偵辦,另外一方面也將幫助受害者打集體訴訟官司,如超過20人受害,警方就會與消基會聯手幫民眾討公道。此外,如何「有效認明」第三方資安業者的技術能力,防止濫竽充數,未來將不排除公布相關數據資料讓民眾知悉。\博客來會員A小姐接到假客服電話遭騙1千1百多萬,博客來才向警方表示資安沒問題,但9月13日在資安漏洞平台上又被通報出包。(圖左/示意圖非當事人,報系資料照。圖右/民眾提供)對此,律師戴智權表示,民眾如遭遇類似詐騙,除了先報警外,如欲提告求償,得先保留完整匯款等金流明細證據,因為按照《個人資料保護法」》28條規定,如被害人不能提出所謂賠償損害,賠償金額僅為500元到2萬元。他解釋目前法院態度分為2派,一派認為民眾因聽信詐騙集團說詞導致財損,與個資外洩一事不見得有所關聯;另一派則認為被害人也要附帶相當責任,尤其近年來政府大力宣導,且各種防詐廣告甚至ATM上都有貼警語,民眾大概要自付7成責任,也就是如果遭騙10萬,如真的勝訴賠償金額約3萬元。本刊調查,國內首宗個資受害團體訴訟案為2017年雄獅旅行社電腦主機遭駭, 36萬顧客的身分證等個資被竊取,歹徒假扮雄獅人員,宣稱下單過程有誤,要被害人到提款機操作詐騙錢財,總計25人被害。案件發生後,雄獅表態僅願賠償每人2千元折價券,雙方協商未果,消基會依《個人資料保護法」》、《消費者保護法》及《民法》代25人提告求償450萬9575元。律師戴智權表示,如遭遇類似假賣場客服詐騙,民眾應先報警,如欲提告求償,也得保留完整匯款等金流證據。(圖/戴智權提供)一審士林地院認為,這是第3者惡意入侵,雄獅有善盡管理責任,2019年11月間判消基會敗訴。判決出爐後,消基會提出聲明痛批《電腦處理個人資料保護法》從2015年8月11日公布施行,後又更名為《個人資料保護法」》,但企業對於個人資料保護觀念仍停留在「個資外洩是他人不法犯行,企業本身對於消費者受到的損害不需負擔法律責任」之程度,消基會無法認同此一判決且提出上訴,目前該案進入高等法院二審中。對於會員個資疑似遭到外洩,博客來表示已於官網加註反詐騙宣導警語、並主動發送反詐騙宣導簡訊通知消費者,持續與專業資安防護公司合作,進行資安檢測及強化保護,降低風險。至於其他部分目前還在了解當中,不便回應。
人頭門號鍊金術1/隱身犯罪溫床?各大網拍平台有200多個賣場兜售代收簡訊認證碼 最多月賺50萬
台灣詐騙案件不斷飆升,日前柬埔寨爆出人蛇案件後,更讓台灣幾乎坐實「詐騙之島」惡名。CTWANT記者接獲投訴,直指在各大電商平台兜售的「簡訊認證碼」,一碼售價20元到250元,正是電信詐騙的亂源。記者進一步調查,簡訊認證碼成了詐騙集團隱身在LINE、TELEGRAM、FB、IG等社群通訊平台的合法身分,隨時可斷訊失聯「船過水無痕」,而簡訊認證碼的門號來源有三,企業門號、月租型人頭門號及移工愛用的預付卡門號,「詐騙案件源源不絕,關鍵就是台灣電信門號太浮濫!」受訪業者說。台灣電信詐騙產業從1990年代開始,逐年發展為專業分工,詐騙、取款、洗錢由不同機房集團合作,犯案件數及規模有增未減。據警政署統計,2021年全年詐欺案件達2.4萬件,是3年來新高,而2022年1至7月詐欺案件數為16,146件,相比去年同期增加2,688件,今年可能再次打破紀錄,但這只是冰山一角。CTWANT近日接獲民眾投訴,直指「台灣的拍賣平台蝦皮、露天、奇摩有大批賣家正在兜售『簡訊認證碼』服務,只要20至250元,即可取得單次服務,申請成為社群、通訊平台合法用戶,這是詐騙案無法根絕的亂源。據此,記者在各大拍賣平台輸入「代收簡訊認證」或者類似的關鍵字,果然每個平台上有超過200個賣場正在兜售,除台灣門號外,也提供大陸、日本、美國等國外地區的門號認證,生意較好的賣場月營業額超過50萬(以賣場月銷售數量計算),即使生意差一點的賣場也有3、4萬元。在通訊行工作近10年的阿超向CTWant記者解釋,「拍賣平台的簡訊認證碼,買家除了組織化的詐騙集團,也有不少個體戶,買來進行『三方詐騙』。」三方詐騙的騙徒以買來的簡訊認證碼,向LINE申請帳號,再以此帳號用在網拍、遊戲中進行詐騙。「以近年熱門手遊《天堂M》為例,玩家對遊戲中的『鑽石』交易,大多在LINE群組發布訊息。當群組中有鑽石買家或賣家出現,騙徒就會用剛申請的LINE帳號與買、賣家分別聯繫,居中把賣家匯款帳號給買家匯款,賣家收到錢後便把鑽石交給騙徒,沒有收到鑽石的買家只能拿著賣家的匯款帳號到警局報案。」阿超說,最後就是賣家被傳喚到案,騙徒可趁警方查辦的期間刪除帳號「人間蒸發」。除了三方詐騙外,「也有網軍公司透過這樣種方式養網軍帳號,多數人主要還是用來申請遊戲帳號、論壇平台,買家不是不想身份曝光,就是自己手上門號不夠。」阿超說。知名半導體分析師陸行之在粉絲專頁上,呼籲民眾不要輕信臉書、TG的LINE連結,以免被投資詐騙。(圖/翻攝自Andrew Lu on global semis and techs臉書)就連外資圈知名半導體分析師陸行之也被詐騙集團盯上,利用陸的名義在LINE創立假帳號進行投資詐騙,陸行之在臉書上PO文,表示「已經向LINE公司檢舉,但沒有用」,並強調在臉書、TG提供LINE的連結。而這些代收簡訊認證碼的賣家,並非1個門號的簡訊代收只能賣1個買家,例如今天賣給A買家LINE的簡訊認證碼,5天後又可以賣給B買家同個號碼的簡訊認證,而A買家的LINE帳號就會被消失,即使檢警在追緝時也會有斷點產生,而賣家只保證代收簡訊當下可以進行認證。至於平台上大量兜售的簡訊認證門號來源為何?刑事警察局研發科代理科長莊明雄解釋,大致分為三類,一是「自願型人頭」的月租型門號,也就是辦門號換現金;二是以企業名義大量取得的門號,主要用於代收簡訊等;三是預付卡的人頭門號,主要是電信業代理商下游的不肖盤商,透過小蜜蜂向外籍移工取得雙證件後辦理取得。阿超觀察,「提供認證碼的門號大多是『企業門號』,也就是拿公司登記向電信商『特案申請』10個到上百個手機門號,而且是5大電信商都申請到滿,因此這類賣家手中有超過500個企業門號,可大量放在平台上販賣」。這類企業門號大部分是申請無法打電話、收發簡訊,只能上網的電信方案。除了企業門號外,已經流行好幾年的「辦門號換現金」也是詐騙集團的伎倆,曾破獲多幾人頭門號案件的刑事局研發科代理科長莊明雄告訴記者,「許多不肖通訊行都會打出『實拿1至5萬,欠費代墊繳清』的標語,鎖定信用不佳的民眾上門辦門號。」「但不要以為只要拿證件就可以換錢。」莊明雄說,通訊行會向民眾聲稱月租費都由通訊行代繳,但實際上門號賣給詐騙集團後只會繳半年,等到電信公司的欠費通知來了,民眾就得付上好幾倍欠費及罰款,甚至會吃上刑責。刑事局研發科代理科長莊明雄表示,不要以為辦門號就可以換現金,可能還得繳好幾倍的欠費。(圖/CTWANT資料照、翻攝自蝦皮拍賣)至於月租型人頭門號,詐騙集團多用於內部聯繫,像是車手、水房、機房間的聯繫,以VoWifi(Voice over Wi-Fi,網路通話)功能,將語音透過網路封包進行傳送,即使在海外也可以通話,除了省下高額電話費用,網路封包也不易被監聽。一名資深刑警無奈地說,「目前預付卡的人頭SIM一旦涉及詐騙,只要165通報給電信業者,就會進行斷話,但月租型人頭門號電信商就不太敢斷話,NCC、電信業者應該要有共識,只要涉及詐騙一律斷話,降低詐騙案的發生。」
人頭門號鍊金術2/移工人還沒來門號已開始犯案 「靶機」黑市上看33億元
日漸猖獗的詐騙集團總是以人頭電信門號為溫床,尤其是移工的人頭預付卡。一位知情業者向CTWANT記者透露,「目前約有200多萬的移工人頭門號在平台上兜售或由詐騙集團使用」,「一張人頭卡利潤約500元到1,500元不等,黑市交易上看30億元!」對於人頭門號孳生的詐騙問題,主管機關可說是束手無策。本刊調查,8月中旬,協助企業發送簡訊的領導廠商三竹資訊曾找來5大電信業者、刑事局以及10多家簡訊發送廠商,討論防堵詐騙對策,會中曾建議電信業者在面對新用戶申請時,加強身份核實,甚至可以導入第3方認證程序,像是Mobile ID(MID)行動身分識別以杜絕人頭用戶。三竹資訊董事長邱宏哲對簡訊詐騙相當上心,曾邀請電信業者、警方以及同行商討防詐對策。(圖/報系資料照)究竟台灣電信人頭門號氾濫情況如何?據國家通訊傳播委員會(NCC)統計,2022年第1季行動通訊用戶數達2,953萬餘,台灣人口僅2,319萬餘人,除了部分用戶有多支門號外,預付型門號多數都是人頭門號。依NCC統計,全國行動通訊用戶數中,預付型門號用戶數為522.6萬名,比去年第4季少了11.4萬名,主要受到新冠肺炎疫情影響,外籍移工進不來,因此預付卡門號申辦也銳減。「詐騙集團的亂源就在移工的人頭預付卡。」在電信預付卡代理商旗下擔任盤商多年的小謝向CTWANT記者直言,主要是各大電信旗下的代理商、大盤、中盤、小盤以及小蜜蜂(說服移工申辦門號的同鄉),無所不用其極地讓外籍移工把各大電信的門號都辦滿。「假日只要到台中車站前的東協廣場或者桃園火車站、中壢火車站等有大量移工聚集的地方,就會看到專辦門號的小蜜蜂。」他說。「因為是同鄉所以會騙說在台灣辦門號不用錢,還可以領錢,所以小蜜蜂一般都相當順利,只要拿到雙證件,就會把5大電信的預付卡數量辦滿(目前1證只能辦1門號),然後再以每個門號800至1,000元向移工收購。」小謝解釋。在疫情趨緩後,大批移工重回台灣,因此人頭門號數量又回到疫情前的水平。(圖/報系資料照)這些門號被稱為「靶機門號」(昔日稱「王八卡」),「大宗用戶還是詐騙機房,詐騙集團內部收購每個門號價格大約落在2,000至3,500元間。有部分用戶是房仲、小廣告業者,將買來的人頭門號印在廣告傳單上,以規避環保局開罰,價格約落在1,500至2,000元間。」「預付卡門號買賣,背後市場真的很大!」小謝分析,目前台灣移工約70萬人,約8成移工使用預付卡門號,也就是56萬個門號,若每個移工都辦滿5大電信門號,就有280萬個門號,扣掉移工自用的門號,其餘約224萬個門號為人頭門號,可放到拍賣平台或者詐騙機房違法使用。「對盤商來說,每張人頭卡的利潤約為500至1,500元,賣到黑市就有多達11.2億至33.6億元市場。」小謝坦言,「更大的利潤是首次開通的儲值卡和後面的儲值,因為利潤太好,幾年前有電信業者的代理商直接跑到越南去設辦事處,讓當地移工還沒來台灣就先把SIM卡辦好,結果還沒來台名下預付卡門號已經開始犯案,到海關直接被攔下。」因此當時NCC規定,在海外販售的預付型門號只限30天內,但小謝說「雖然NCC已經規定了,但還是有聽說很多盤商持續在做,只是會去算抵台的時間,等確定入境後才會把門號開通」。警政署刑事警察局研發科代理科長莊明雄指出,其實要杜絕人頭門號氾濫有很多辦法;第1點就是收回代理商、盤商開通門號的權利,統一由電信業者開通;第2點則是限縮門號申請數量,包括月租、預付卡以及企業門號,普通人根本用不到這麼多門號;第3點則是嚴格檢視雙證件實名制,並僅限本人辦理,如果都落實的話,就可以大幅降低人頭門號數量。
偷拍狂魔2/臉書洩生活軌跡易遭鎖定 警籲提高安全設定自保
偷拍狼橫行大台北還一再犯案!一位在工地工作的張姓男子(28歲),因偷拍近百名女性如廁畫面而鋃鐺入獄,警方追查發現張男還將偷拍來的照片、影片,賣給色情網站,粗估獲利2百萬元,再將他依《兒童及少年性剝削防制條例》送辦。據了解,張男都是在臉書上找尋偷拍目標,並掌握其作息等,警方表示,臉書使用有技巧,只有保護好自己才不會淪為壞人眼中的肥羊。據了解,張男從2016年開始即在大台北地區女廁裝設針孔,2年內偷拍60人,法院重判6年定讞,但是他仍不知悔改,竟在法院審理此偷拍案期間,於2020年至今年10月入獄服刑前,又瞄準30位女高中生犯案。本刊調查,張男鑽研出一套「偷拍狩獵計畫」,專門鎖定熱舞社女學生。他先到臉書上瀏覽該社團相簿,找尋下手目標,再透過上頭的「標註」,進一步查出女學生的名字或暱稱,再以此搜尋個人臉書,深入了解其作息、嗜好、家人、甚至周圍朋友圈等。警方調查,張男以熱舞社臉書當「目標圖鑑」找偷拍對象,由於照片為公開甚至有標註人名、地點等,資訊不難蒐集。(圖/翻攝自臉書)張男還會假冒女學生之名加入社團LINE群組,以利「貼身」監控對象的每日行程,趁對方平日練舞或利用社團成果發表會之際,趁機混入校內,潛進女廁架設針孔偷拍,自己則躲在男廁或附近透過手機即時監控影像,等他鎖定的目標出現,偷拍成功後隨即將裝置撤離。針對張男這種利用臉書掌握受害人生活作息的作法,刑事局電偵大隊偵查第一大隊隊長莊明雄表示,熱舞社為推廣該社、增加知名度,社團內相簿照片通常都設成「公開」,如真的遭有心人士盯上,如何加強女學生自身臉書的安全性,確實有必要性。莊大隊長建議,可以先用臉書「檢視角度」功能,了解陌生人點進自己的臉書後能看到哪些隱私,著手調整提高安全性;譬如家人欄中,如有兄弟姊妹、親戚等,很容易被外人知曉家庭概況,甚至從家人出遊、遭掌握行蹤。另外若自己的照片被他人「標註」,以及公開活動地點、親友名單,有心人很容易以此摸透朋友圈、嗜好甚至作息等等,民眾可選擇「標籤審查」功能,朋友們若要標註你的相關資訊,則需經由你同意後才能將有標註的文章放入臉書之中,多一道審查程序,也能多一分安全。刑事局電偵大隊偵查第一大隊隊長莊明雄提醒,應重新檢視自己臉書帳號安全性,如洩漏太多隱私在陌生人面前,可能讓自己身處險境。(圖/王永泰攝)