驗證機制
」 詐騙 衛福部 AI 駭客 資安
建議從實名購票做起!電腦程式搶票自用 學者認為「不違法」
周杰倫演唱會引爆黃牛亂象,學者專家指出,黃牛已成產業鏈,最關鍵是主辦單位及售票業者應公布實際銷售票數,並以公平公正方式公開銷售,民眾才不會有剝奪感。鑽研科技偵查的警大教授更直言,搶票程式若沒有偽造資料、加價轉售,並不違法。《文創法》規定,以虛偽資料或其他不正方式,「利用電腦或其他相關設備」購買藝文表演票券,取得訂票或取票憑證者,處3年以下有期徒刑,或科或併科300萬元以下罰金。警大資管系兼任教授林建隆表示,如果寫程式只是用來取代人工操作、加快購票速度,沒用其他人或偽造資料來購票,且沒有干擾或破壞購票系統,他不認為這是犯罪。文化部也曾回覆警方,若是自用就不違法。法令規定模糊不清、變來變去極不明確。黃牛票之所以要處罰,是因買票目的是為高價轉售,但加價轉售只有行政罰,使用電腦程式買票卻是更重的刑事罰,相差甚大,也不合理。林建隆說,若認為購票一定要人工操作,不能使用電腦程式,就應課以售票業者責任,在購票流程強化「活體」驗證機制,例如增加開啟手機鏡頭,照著指示比手指等人為操作,避免黃牛狂掃門票。主辦單位可從實名購票做起,或許仍會產生人頭問題,但至少查緝黃牛時有跡可尋。購票民眾也能檢舉,讓主管機關能稽核與管理,限制以後購票的次數或張數。北市偵辦科技犯罪的員警表示,若以AI或機器人,快速輸入驗證碼、不斷點選,恐不屬「破壞原有的防護機制」;「不正方式」若未使用假資料,或跳過驗證手續,僅設計程式,快速點選,並依步驟輸入身分證字號、驗證碼,或使用較快速的網路,重複點選,最後搶得門票,並未觸犯文創法;但若跳過驗證步驟,輸入他人或假身分證字號,除觸犯文創法,還有偽造文書等刑責。承辦員警直言,何謂不正方式,法令並未明確定義,呼籲文化部修法明確定義不正方式。事實上,文創法之前,警方曾以《妨害電腦使用罪》移送設計搶票程式的工程師,法院判決無罪。文化部則鼓勵業者採實名制或抽票制,就可以避免被程式掃票,但無法強制要求。
智慧醫療新世代 衛福部成立三大AI中心
衛生福利部於今(7)日正式宣布成立「負責任AI執行中心」、「臨床AI取證驗證中心」,以及「AI影響性研究中心」。各中心將透過建立跨層級、跨體系醫院之合作,有效解決AI應用於臨床場域所面臨的「落地」、「取證」及「給付」三大關鍵議題。此將不僅為國內AI醫療應用重要里程碑,更展現臺灣政府推動智慧醫療之前瞻性政策。三大類型AI中心補助計畫於今年7月23日公告並舉辦全國性教育訓練,8月1日截止收件,各層級醫院熱烈參與,共計30家醫院提交48案,經過國內外委員三階段評選,共計16家國內醫院通過決選(19案),包含臺大、中榮、北榮、成大、中醫大、三總、林口長庚等指標醫院。衛福部說明,各國在推動智慧醫療時,面臨的挑戰包括 AI 軟體在臨床應用時可能出現的偏見、不透明性以及資安與隱私問題。此外,AI 產品在取得食品藥物管理署(TFDA)認證過程中,需要廣泛的數據來進行驗證,驗證數據取得困難。最後,一些關鍵應用如何透過科學方法來評估其健保給付,並驗證臨床效果,這些都是智慧醫療推動時所面臨的主要挑戰。因此,衛福部指出,先進國家開始推出一些法案架構和共識指南,作為監管的指引方向,例如世界衛生組織(WHO)之負責任AI六大原則,歐盟之AI法案,以及美國AI運算法透明及資訊共享規則(HTI-1)等。然而,這些政策宣示尚未在各國具體落實成為推動中心。為前瞻布局,衛生福利部輔導臺灣醫院成立三大類型AI中心,作為解決推動智慧醫療最後一哩路。以下分別對三大類型AI中心進行介紹:第一類「負責任AI執行中心」透過制定符合資安與隱私保護的管理辦法,公開AI模型、資料和效能等重要資訊,提供可解釋性分析結果,提升AI透明度,同時建立AI模型生命周期管理辦法,以確保AI在臨床使用具有持續可靠性。第二類「臨床AI取證驗證中心」為衛生福利部資訊處和TFDA合作,旨在解決國內醫療AI軟體取證過程冗長及蒐集具臺灣人群代表性驗證資料集的困難,以往AI外部驗證機制缺乏跨層級醫院協作、系統性常設機構和專責人員,該類中心將預先組成醫院聯盟,常設機構和專責人員串接跨體系及跨層級之電子病歷資料,藉以協助廠商驗證AI模型,提升驗證速度以及在臺灣人群的準確性,促進產品商業化進程,幫助國內民眾更快速享受到高品質的智慧醫療產品。第三類「AI影響性研究中心」為衛生福利部資訊處和中央健康保險署合作,旨在解決國內AI醫療應用爭取納入健保給付的挑戰,由於AI產品的價格無法依循傳統醫療器材從製造端進行成本評估,中心將建立跨體系、跨層級的臨床試驗機制,並由多專業團隊設計研究,進行AI臨床效益評估,確保AI產品兼具臨床有效性與健康效益,同時建立科學性的定價基礎。衛福部也與健保署合作,透過AI影響性研究中心協助國內AI醫療應用爭取納入健保給付,由於AI沒有耗材,難以比照傳統醫療器材從製造端進行成本評估,中心將建立臨床試驗機制,進行AI臨床效益評估,確保在臨床的有效性與健康效益,再交由專家評估是否納入健保。三大AI中心召集人、臺大醫院院長吳明賢表示,全世界百工百業都在使用AI,唯獨醫療產業進展最滿,由於醫療牽涉到健康、生命、法律問題,要在確保服務品質安全的前提下處理。吳明賢認為,台灣醫院數位資料庫完整,已具良好大數據基礎,也有法規協助推動,三大AI中心的成立,證明台灣能在醫療產業領航全球。
小心!受害者遭「駭客入侵」幫儲值消費 UE、PChome都遭殃
現代社會許多人習慣網購,然而昨(5日)晚間有多名使用PChome的網友反映,發生大量帳號被盜用的情況,尤其是那些高額儲值的帳號成為攻擊目標,許多儲值數萬至數十萬元的用戶發現儲值被用於購買XBOX禮品卡。此外,還有部分小額儲值的帳號遭到盜用,用於購買全家便利商店、家樂福以及寶雅的禮券。有受害者在PTT透露,自己的帳號於9月28日曾遭到註冊在PChome的三個信箱嘗試登入Google,家人的帳號也在10月2日晚間被登入PChome,事發後他們立即修改了密碼。該名受害者表示,這些帳號在去年及前年11月期間曾經儲值過十幾萬至二十萬元,目前餘額已經歸零,因此推測可能是PChome的備份資料庫遭到盜取。原PO提醒,近期參加儲值活動的用戶要格外小心,「平常有在參加一些P幣跟積點活動,如昨天玉山的活動先預儲準備後面要購買的人要注意,儲值幾千、上萬的都會被盯上,記得打開儲值使用驗證設定啟用」,防止進一步盜用。該名受害者指出,PChome此次可能是整個資料庫外洩,不僅包含個人資料,甚至連儲值金額也被洩露;另一個可能性是,攻擊者利用MOMO的手機號碼與密碼資料庫,對PChome帳號進行大量的「撞庫」攻擊。然而經驗證的五名受害者中,有兩個帳號的PChome和MOMO密碼不同,另外兩個蝦皮和PChome的密碼也不相同,顯示攻擊方式可能更加複雜。受害者表示,雖然PChome已經推出信箱與手機的二階段驗證機制,但目前仍無法有效阻止帳號被盜登入。有受害者推測,PChome的舊版登入頁面可能存在漏洞,允許跳過二次驗證,或是攻擊者已經取得某些用戶的COOKIE資訊,繞過驗證程序。根據受害者的觀察,此次流出的資料很可能並非最新的用戶數據,而是幾個月前的備份資料庫,因為許多帳號早已無儲值,但仍被嘗試登入。多數受害者的帳號在半年前或更久前曾經儲值過數萬元,這些帳號依然成為攻擊目標。受害者呼籲其他用戶密切關注自己的信箱登入紀錄以及是否收到不明的驗證碼,以提早防範。無獨有偶,有網友在臉書透露,自己被盜刷500美金,「太可怕了,被盜刷500美金,收到Email通知,很久沒用的Uber Eats被儲值500美金,去查看信用卡紀錄還真有一筆一萬六台幣的消費紀錄,Uber Eats儲值後被拿去消費單筆500美金在紐澤西州的麥當勞,然後不取再整筆扣款,不懂這是什麼洗錢方式,為什麼信用卡可以不用簡訊授權扣款」,網友也提醒大家,如果沒有使用就快移除uber信用卡資訊。針對「疑似PCHOME資料庫外洩鎖定高儲值帳號被盜」,網路家庭6日發新聞稿澄清,此為不實謠言,絕無資料庫外洩之情事。
攔截詐團金流3/最大人頭帳戶竟來自「這族群」 行員偕警識破車手援救遭囚被害人
「人頭帳戶,是詐欺集團之命脈。」法務部部長鄭銘謙對於打詐行動開宗明義地點出重點;高檢署檢察長張斗輝更是憂心地說,18歲至30歲青年提供人頭帳戶的占比甚高,突顯青年受詐團利益誘惑較多。高檢署檢察長張斗輝說,目前統計出的人頭帳戶案件中,電信詐欺案件占比達73%;再就犯罪年齡層分析,18歲~30歲青年占單純提供人頭帳戶、車手、其他電信詐騙之犯罪嫌疑人比各約37%、63%、49%,顯示人頭帳戶為詐團用來詐騙、洗錢之主要管道。根據金管會統計,打詐攔阻金額有明顯成效的銀行包括國泰世華銀行、台北富邦銀行、中國信託銀行、玉山銀行等,於2024年上半年阻詐金額都超過2億元;居冠的國泰世華銀繼2023年阻詐逾1,800件,今年上半年攔阻已逾2,000件詐騙案,金額達12.4億元。金融業因而傳出,詐騙集團將很用力打詐的銀行,像是台北富邦銀、國泰世華銀、中國信託銀行等被列為「三不黑名單」,不去開帳戶,不臨櫃領錢,也不做約定轉帳。CTWANT調查,中信銀行於2022年起打造「神盾聯防機制」,在「迎賓識詐」、「關懷堵詐」、「櫃檯阻詐」三道防線,應用大數據資料分析歸納出 300 項防詐表徵,找出詐騙帳戶的潛在關聯帳戶,提供櫃檯人員於 KYC(Know Your Customer)過程中掌握客戶交易風險,啟動對應防詐機制。2023年更進一步與警政署合作建置「中信ATM智能防詐車手交易通報系統」,與高雄、橋頭及臺南地方檢察署合作,遇疑似詐騙集團車手或被害人臨櫃辦理業務時,啟動聯防措施;今年4月再與臺北地檢署、新北地檢署合作「雷霆專案」,優化詐騙預警機制。中信銀行應用AI人臉辨識技術阻詐的升級版「神盾聯防」防詐騙ATM,可辨識出可疑人士並自動通報警察單位,金、警聯手有效阻詐。(圖/中信銀行提供)中信銀行在2023年新增警示帳戶數已較2022年減少近25%,今年前7月亦較去年同期減少6%,顯示相關防詐措施已具成效。8月12日,中國信託銀行與台北地檢察署等多個單位合作「雷霆專案」舉行意向書簽約儀式,而這也是金融界從導入AI科技揪出異常帳戶,進而擴大到全臺地檢署,透過銀行大數據資料分析能力,打造詐騙預警偵測機制。中信銀行董事長陳佳文表示,「雷霆專案」係由中信銀行分析臺北與新北地檢署提供之資料後,查出尚未管制的人頭帳戶進行管制,並透過高風險因子進一步識別其本行其他帳戶關聯情形且加以警示,未來透過進一步擴大與檢方合作,進化防詐預警監測機制。國泰金控旗下的國泰世華銀行則率先於業界於2019年推出風險偵測平台「國泰盾」,並於2023年由國泰世華銀行總經理李偉正號召下成立跨部門「反詐騙專案小組」近40人,橫跨14個總行單位,整合分行前中後台資訊,更進一步提高了國泰世華銀行攔阻金額與件數,成為業界之冠,還幫助警方成功救回數條無辜性命。該案起自彰化市一名眼尖的國泰世華行員,察覺客戶有大筆異常金流、交易過程神色有異,便主動通報警方。經調查發現,客戶被詐騙集團暴力脅迫提款,並供稱有數名被害人仍被私刑囚禁,警方隨後便展開救援,並順利破獲詐團據點、尋獲被害人。「Tutor CUB線上金融素養教育課程」連年號召員工擔任志工講師,以線上直播教導孩童正確的金錢價值觀中,也增加「反詐教育」主題,讓金融識詐意識及早向下紮根提升偏鄉孩童反詐意識。(圖/翻攝自國泰世華銀行臉書)此外,在今年5月,國泰世華銀行東台中分行還偕同警方查獲詐騙集團車手,是該人臨櫃申辦提款卡,經行員檢視其資料時發現已被其他分行設定為疑似詐騙戶。行員遂先去電詢問設定分行,得知前些時日有一位阿姨要存現金20萬至這位申辦戶帳戶,內容稱借貸還款並有港幣要匯入,卻對用途無法清楚表達,但帳戶交易明細皆入帳之後立即領出。國泰世華銀行員為求謹慎,便通報警方協助,並將卡片掛失網銀註銷,後續查獲該申辦人為車手,成功阻止詐騙不法情事。國泰世華銀行表示,目前「國泰盾」已再升級,提升用戶數位身份的驗證機制外,更首次新增「犯罪者模組」;透過大數據分析,「國泰盾」能夠整合犯罪者常見的跨場景行為,如「犯罪準備的約轉設定」及「登入次數異常」,並運用AI技術識別關鍵偵測指標,進一步提升防詐能力。透過全國分行每日即時回報各地詐騙攔阻案件樣態,揭露最新詐騙手法與話術,供後台立即進行系統異常註記,有效提醒行間加強客戶關懷,提升行內情資交流與保護客戶之效率。為切斷詐騙集團的命脈「人頭帳戶」,包括教育部、金管會等各個部會加強校園、社區等的防詐法律宣導,銀行界則是希望透過提前一步勾稽到異常警示帳戶,攔阻詐騙集團的金額,並能進一步勸阻人頭帳戶莫因幾萬元紅包而吃上坐牢官司、繳交鉅額罰款,揹上前科紀錄,得不償失。
知名第三方管理工具出包 300萬iOS App驚傳安全性漏洞
根據一份資訊安全研究報告指出,目前有超過300萬款iOS、macOS的App都暗藏一個安全性漏洞,這個漏洞的存在有可能會讓駭客可以輕鬆地取得使用者的個人資訊。而之所以這次數量如此龐大,是因為一款開發蘋果App時會大量使用到的第三方編碼管理工具庫CocoaPods發生問題。根據《9to5mac》報導指出,他們引述ArsTechnica基於EVA Information Security的研究報告後解釋,在過去10年中,大量使用CocoaPods來開發軟體的App均有暗藏這個漏洞。EVA Information Security表示,這個漏洞可以讓有心人士獲取使用者的敏感資訊,像是信用卡資料、醫療記錄與一些私人資料。這些資料有可能被用於多種惡意用途,像是勒索軟體、詐騙、勒索或是企業間諜活動。漏洞的根源是出現在CocoaPods用來驗證開發者身份的電子郵件驗證機制,其中存在一個問題,攻擊者可以操縱驗證網址指向惡意伺服器。目前在接獲通報後,CocoaPods已經採取相對應措施來修補這個漏洞。為了避免再次發生類似的事情,CocoaPods還增加了一個新功能,專門用來恢復那些無人管理的資料庫,但這部分需要軟體的開發者與CocoaPods連繫後才能進行。報導中也提到,這並非是CocoaPods第一次遭遇資安問題,早在2021年時,CocoaPods的維護者就曾發現一個安全漏洞,該漏洞允許惡意代碼在管理CocoaPods的伺服器上運作,這可能導致暗藏惡意代碼的資料庫直接出現在iOS和Mac的軟體中。
張學友康復今晚開唱 40年資深歌迷「排3天2夜」搶頭香:人生第1次
「歌神」張學友原定6月7日至9日在台北小巨蛋舉行演唱會,卻因感染RSV呼吸道感染停辦,不過經過康復後,今(14日)起最後的3場將如期舉行。許多粉絲看到主辦單位公布的現場售票公告,一大就來排隊,甚至還有人夜宿,就為一睹歌神風采。超級圓頂在臉書專頁PO出「張學友60+巡迴演唱會 台北站」當周現場售票公告,提到零星票券及經演出團隊確認可加開之紅、紫2B區域(離舞台近,惟較為斜角,無法接受者請勿購買),預計在6月14日、15日及16日下午3點起,開始於小巨蛋南大門售票,售完為止。主辦單位公告現場售票資訊,吸引大批歌迷排隊。(圖/焦正德攝)超級圓頂提醒,每人限購2張,現場設有手環驗證機制,購票者本人與隨行人入場時須一起進場,代購者無法轉讓他人。現場購票者本人與隨行人統一由南大門進場,驗證手環破損或僅持有票券無法通過驗證者,主辦單位得拒絕其進場。另外,現場只收現金,無法刷卡,現場票券售出後不得退換票,也不能選區位,只能選票價,也不鼓勵夜排,亦不接受物品佔位及解壓縮等影響他人權益之行為,如有違反或有其他影響現場秩序、經查證屬實者,主辦及售票單位得拒絕其購票。張學友昨晚搭乘專機抵達台北,而歌迷看到售票公告,不少人從晚上就開始排隊,準備相當齊全,包括椅子、地墊、電風扇等,就為了順利買票進場。據《華視新聞》報導,有一名40年的資深歌迷11日就從花蓮北上,成功當上隊伍頭香,排了3天2夜,「這是我人生第一場排隊,然後也是第一場張學友!」
張學友今起連辦9場演唱會 主辦單位無預警「取消黃牛票」開放現場購買
歌神張學友被香港媒體獲封為「四大天王」之一,可以說是亞洲最流行歌手,而他在1995年唱片銷量也超越瑪丹娜、布魯斯·斯普林斯汀,僅次於麥可·傑克森,可以看出歌迷對他的喜愛。張學友的「60+」世界巡迴演唱會也於今(31)日起在台北小巨蛋展開,主辦單位也封鎖了黃牛帳號,並取消異常帳號所購票券,開放民眾現場排隊購買。據了解,張學友31日起在台北小巨蛋展開演唱會,為期三週,共舉辦九場演出,原先九萬張門票早已售罄,然而先前刑事局及主辦方查出黃牛票並收回,售票單位KKTIX封鎖了二十萬個黃牛帳號,並取消異常帳號所購票券。主辦單位決定不再使用網路售票,30日深夜宣布開放現場售票,吸引大批粉絲前來排隊。主辦單位表示,將於31日下午3時30分起,在小巨蛋南大門現場售票,售完為止。每人限購2張,現場設有驗證機制,購票者本人與隨行人入場時須一起進場,代購者無法轉讓他人。現場購票者本人與隨行人統一由南大門進場,僅持有票券無法通過驗證者,主辦單位得拒絕其進場。此外,主辦單位也提醒,現場售票僅收現金,無法刷卡,現場票券售出後不得退換票,且為避免現場購票排隊久候,恕不供選區選位服務,只能選票價。若是販售時間如有提早或延後,以現場公告為準。主辦單位說明,不鼓勵粉絲夜排,亦不接受物品佔位及解壓縮等影響他人權益之行為,如有違反或有其他影響現場秩序、經查證屬實者,主辦及售票單位得拒絕其購票。
遊戲點數「刷卡擬24H生效」引反彈 民眾:收到點數早來不及了
由於信用卡盜刷氾濫,銀行公會近期提案,研擬將遊戲點數、錢包儲值和電子禮券等三大類信用卡消費「延後24小時生效」。消息一出,引起電子支付業者強烈反彈,信用卡達人也直言,消費者玩遊戲買點數還要延後生效,恐怕「早就輸了」;買電子禮券往往也是為了立刻使用,如果還要延遲,恐怕意願也會大打折扣。據《TVBS》報導,由於近期消費者遭網頁廣告詐騙而被盜刷信用卡的情況氾濫,銀行公會提案,擬將遊戲點數、錢包儲值、電子禮券等三大類信用卡消費「延後24小時生效」,據說實施方案已報送金管會,預計2024年底前有機會執行。全國金融業工會聯合總會理事長鍾馥吉表示,有不少民眾遭到釣魚網頁詐騙,遭騙走綁定的信用卡資料,進而被盜刷信用卡造成財務損失,事後指責銀行管理不善,「可是這東西我們真的是很冤枉。」據了解,銀行公會提出兩大新措施,首先是將三大類的刷卡消費給予獨立的特定交易代碼,讓銀行能直接從代碼斷定屬於需要額外注意的三大項目;另外則是要求單筆刷卡消費超過一定金額(暫訂3千元以上),使用或移轉要等24小時才能用。據傳,金管會事前曾邀集電子支付業者開會討論,業者立刻炸鍋,指稱應該從源頭管理,而不是讓真正要使用服務的民眾不方便。有支付業者強調,用戶會被詐騙,是因為詐騙團體偽冒金融機構或特許行業,在LINE或臉書創設社團或粉絲專頁來欺騙民眾。政府應該要從源頭規範社群媒體和電信業者,而不是讓金融業設立更多驗證機制,造成使用服務的民眾不便,而被騙的人卻還是照樣被騙。信用卡達人寶可孟也表示,一些民眾玩遊戲時,比如人物死掉需要消費買點數復活,結果要等24小時才生效,「那這樣子誰要玩?」
年輕族群元旦可領「新年小確幸」 估165萬人受惠
體育署為鼓勵16歲至22歲的年輕族群積極參與體育活動及觀賞運動賽事,因此自今年(2023)6月1日起常態發放青春動滋券,明年(2024)的青春動滋券則於1月1日上午10時起開放領用,符合資格者可至動滋網輸入基本資訊領取,預估將有165萬人受惠。教育部體育署表示,青春動滋券為每年常態化措施,今年符合領用資格者為2001年1月1日至2007年12月31日出生的民眾,領用期限延長至明年6月30日止,尚未領券的人,要把握機會儘速領券消費抵用。而明年青春動滋券的符合領用資格者則為2002年1月1日至2008年12月31日出生,於明年元旦上午10時起開放領用,領用期限至明年12月31日止。民眾及合作店家可於動滋網同時辦理這2年的青春動滋券領券、抵用、收券、核銷等事宜。根據統計資料,目前各業別抵用金額以運動場館業57.53%、運動休閒教育服務業30.19%占最大宗,抵用金額前3高縣市依序為台中市、高雄市及新北市。此外體育署也提醒,青春動滋券限本人使用,務必妥善保存個人資料,避免遭有心人士盜用。目前動滋網也增加了健保卡號驗證機制,因此民眾至動滋網登記青春動滋券時,除了輸入身分證號、出生年月日、手機號碼等基本資訊外,尚需通過健保卡號驗證,才能取得簡訊驗證碼,並在輸入驗證碼後,才能完成領券程序,以避免有心人士竊取民眾個資進行領券,損害權益。另青春動滋券領用方式、優惠店家等資訊,可上動滋網(500.gov.tw)查詢,或撥打客服專線02-77523658洽詢。
金管會4點回應打詐不力 劍青檢改痛批:甩鍋、沒有具體方案
劍青檢改與最高檢察署17日舉辦「前線檢察官打詐實務與防詐策進研討會」,與會檢察官痛批行政院的「打詐國家隊1.5」,根本是國家級詐騙,質疑金管會等行政院所屬部會推諉卸責,金管會提出4點說明,表示未來會持續與執法機關密切配合,共同精進防制詐騙措施。劍青檢改則認為,沒有看到金管會提出積極方案,恐怕再拖下去,詐騙將會愈演愈烈。金管會指出,曾涉及人頭帳戶案件經通報為警示帳戶者,銀行依規定應拒絕其開戶申請,法令已訂定高風險客戶的強化審查措施,包括應加強確認客戶身分等機制,未來持續強化對銀行督導。劍青檢改反問:還要「督導」甚麼?可以不要等未來嗎?目前各家銀行拒絕開戶的執行現況為何?如果詐騙犯改向別家銀行開戶,別家銀行也會拒絕嗎?請問執行情形又是如何?大家都已經忍無可忍,可以不要再拖了嗎?其次,對於遭詐騙集團利用不法取得的個資冒開電支帳戶,金管會表示去年已請銀行公會強化確認使用者本人的金融支付工具,增加驗證使用者開立存款帳戶或信用卡原留手機門號機制,所有電子支付機構均已完成調整。劍青檢改指出,金管會的驗證機制,並沒有杜絕冒名申辦問題,建議增加驗證:申請人手持身分證及載明申請目的的白紙拍照上傳的機制。但金管會一拖再拖,幫助詐欺,請行政院促請金管會落實。對於第三方支付問題,金管會表示將持續督導銀行落實業者申請虛擬帳號服務的審核規定,銀行公會已研訂強化客戶身分審查措施,以及評估該類客戶對洗錢防制法遵情形等,持續精進管控措施。劍青檢改認為,上萬家第三方平台業者開設毫無限制,他們分別跟銀行簽訂了數萬個交易契約,成為中介商,然後又跟數十萬家商號、企業社或遊戲點數商簽約交易,每日產生數十萬個虛擬帳號代收代付。第三方支付平台業者應採取申設特許制,非如此無以挽救。至於虛擬貨幣監理問題,金管會認為自然人業者應依《商業登記法》及《稅籍登記規則》相關規定,辦理商業登記及稅籍登記,並遵循《洗錢防制法》等規定。尚未完成洗錢防制法遵聲明而以虛擬通貨活動為業者,自屬違法。劍青檢改認為金管會在甩鍋,因為《商業登記法》的主管機關是「經濟部」,《稅籍登記規則》的主管機關是「財政部」。所以金管會是在說,個人幣商應該由經濟部和財政部去管,所以金管會還是不管。
雙A吃資安軟飯3/資安題材短線漲多長線仍看好 法人:電信三雄研華各擅勝場
除了雙A外,台廠布局資訊安全領域的,還有電信三雄中華電(2412)、台灣大(3045)、與遠傳(4904)以及工業電腦龍頭研華(2395),也有成果出現。法人指出,對於台廠來說,資安的營收貢獻基本上還是相對較低,近期股價強彈主要還是反映題材面,因此不建議過度追高,還是先以基本面為主。中華電鎖定5G車聯網領域,全力研發相關機上盒與發報系統的驗證機制。中華電研發人員告訴CTWANT記者說,未來自駕車每台車上都會有一個機上盒,而每個路口的紅綠燈都會有一個發報系統,用來讓傳遞訊息給車輛,為避免系統遭駭客入侵,造成事故意外,全球都在研發驗證機制,目前台灣也已經在淡海新市鎮附近開始小型測試,不過要正式上線需要時間。電信三雄之一的中華電鎖定車聯網資安領域,研發認證系統,目前已在淡海新市鎮附近進行試行。(圖/CTWANT資料照)台灣大則是推出自主研發的台灣第一套偵測偽冒網站「反詐戰警」服務,幫助企業偵測偽冒釣魚網站。台灣大資訊長蔡祈岩說,這項技術主要是透過AI,由AI先在正確的網站上進行偵測,再去偵測其他的新網站,是否有偽冒的。今年前4月台灣大已偵查超過1,500筆疑似偽冒網站,積極配合政府打詐。遠傳與旗下資安子公司數聯資安則在今年加入「5G CASTLE 資安協作聯盟」,數聯資安營運長楊淑宏更也擔任聯盟3大任務小組中「資安制度」小組的召集人,結合遠傳及數聯資安的資源,攜手產官學共同打造5G資安服務生態系,以期協助台灣5G產業與業者,發展最佳的5G資安解決方案,未來並以輸出國際為目標。台灣大利用AI研發反詐戰警,今年前4月已偵查超過1,500筆疑似偽冒網站。(圖/台灣大提供)研華在2021年4月取得軟體代理商自由系統20%股權,由自由系統擔任Azure IoT CSP(IoT Cloud Solution Provider)策略夥伴角色,協助將研華WISE-PaaS、WISE-DeviceOn、IoT硬體打包成服務,鎖定智慧零售、智慧醫療、智慧城市作為初期切入領域,並與研華在Azure雲服務上建立深層合作關係。研華表示,很多客戶都反映,在物聯網的系統上,除了操作系統外,也能有安全防護機制,這剛好就是自由系統的優勢所在。研華董事長劉克振也指出,研華近年在物聯網推動上,多專注由端到雲的Edge-in策略,這也是決定入股自由系統的原因。仲英財富投資長陳唯泰表示,電信三雄仍是目前台灣網路服務的主要提供者,相關資安加值服務,短期的營收貢獻其實還不大,但是對於廠商來說,卻是有加分效果的;而研華是工業電腦龍頭,如果軟硬體都能一次提供客戶完整的解決方案,將有利其擴大競爭優勢。
金控科技賽1/國泰蔡宏圖預知AI再大流行? 連核保看胸部X光也是它
兔年全球掀起ChatGPT旋風之際,國泰金(2882)董事長蔡宏圖1月30日新春開工致詞即高喊「聚焦科技創新AI推動!」為何蔡宏圖直指「AI」?國泰世華銀行總經理李偉正向CTWANT記者表示,「要發展AI即要建置數據基礎資料,國泰已經做了多年,董事長看到大家準備好了,可以更加衝刺。」CTWANT調查,人工智慧(AI)早已被各大金融保險業大量運用多年,國泰金控數位轉型之路從2016年開始,由蔡宏圖長子、現任國泰世華銀行副董事長與國泰人壽董事蔡宗翰挑大樑,設立「數位暨數據發展中心」(簡稱「數數發中心」),邀請美國麻省理工學院高材生姚旭杰領軍,擔任數數發中心資深副總,還延攬有摩根士丹金融背景的孫至德進入金控擔任資深副總一起操盤。「數數發團隊發展迄今七年,成員擴展到近千人。」數位數據暨科技發展中心(DDT)數據科技發展部協理劉浩翔說,「以主力發展五大類AI領域應用在銀行、產壽險等子公司,目的是利用金控綜觀集團的優勢,推動整體AI發展的速度。」國泰金控積極導入AI技術,還創設「阿發」人工智能角色便於民眾認識與了解。(圖/國泰金提供)會使用國泰官網、App用家的民眾來說,「智能客服阿發」是最為大家熟悉的AI人工智慧對話機器人,「目前還是以NLU自然語意理解技術為主,即文字對談,從詢問分行位置到最新的『阿發線上申購ETF』、『阿發申請道路救援』,阿發是隨時備援夥伴。」劉浩翔說,全集團阿發每月平均使用已逾百萬人次。國泰世華銀行更是打破金融業傳統身分驗證模式,首家導入「人臉辨識服務」,經由AI技術比對照片與原註冊照上百個特徵值,包含眼距長度、眼球與眼白占比、人中長度、鼻子與嘴巴占整張臉的比例等,再依據相似度分數決定該次的辨識是否可通過,可有效確保為本人。「2019年6月上線以來,註冊數突破160萬人。」劉浩翔說「Covid-19疫情爆發期間,民眾為減少前往分行與人群接觸,透過人臉申請/重設網銀密碼的筆數單月成長41%」,「即使疫情趨緩,仍維持月均10%成長量,2022年每月驗證數近150萬,較前年成長近50%。」國泰金控數位數據暨科技發展中心(DDT)、國泰世華數據生態營運部協理劉浩翔提到,全集團參與AI化更加熱絡。(圖/黃威彬攝)劉浩翔更進一步說,「我們還設置一間專屬國泰人的『國泰資料科學實驗室』,自主研發AI簽名辨識技術,將簽名比對自動化,模型準確率達88%,超越外部技術廠商提供的解決方案。」這間實驗室在國泰金AI演化中扮演關鍵,從AI模型規劃、建置到維運都需要大量數據分析師和資料科學家的時間,「也因此打造了各式各樣AI數據輔助工具,從部署環境準備Beaver、擷取模型特徵Tumblebug、資料流程管理Whale & Mole、資料品質控管DQ到全自動化建模AutoMLab,讓模型開發和迭代的速度能大幅增加。」而就防堵信用卡用戶被盜刷的銀行端痛點,「AI技術讓我們成立了『國泰盾Cathay Shield』的風險偵測平台,以信用卡交易詐欺為例,國泰盾透過客戶的streaming交易行為資料及客戶輪廓特徵,即時辨識客戶線上及線下交易型態是否偽冒交易,盜刷捕捉精準度達6成以上。」國泰世華銀行2021年領先業界,於網銀App導入「直接辨識」技術的人臉驗證機制。(圖/國泰金提供)在保險業務上,劉浩翔說,「運用AI技術輔助核保醫生判讀胸部X光,檢測肺部異常疾病判斷可疑病灶及位置,有效節省醫生閱片90%時間」,「這也是透過實驗室計畫,橋接海外新創與國泰內部業務需求,讓國泰人壽首創應用醫療AI科技結合保險專業,建構醫療影像平台。」該項即是引進南韓AI新創Lunit INSIGHT CXR技術。儘管ChatGPT風起雲湧,外界憂慮未來恐將取代單調重複性質工作,但國泰金控總經理李長庚4日在台大校園徵才博覽會上說,「成為跨界人才就不用擔心被AI取代!」國泰金控今年釋出6,200名職缺,其中「數位科技」職缺450位較去年成長50%,包括智能客服阿發、雲端、區塊鏈、資料科學實驗室等AI領域。劉浩翔還斬釘截鐵地跟CTWANT記者說,「AI進入國泰從未有裁員,數數發中心成員是一直擴增中,金控與子公司更多部門都提企劃來與數數發討論,如何提升工作與消費金融服務流程效能,AI幫助更多民眾了解理財組合也是現在最熱門的應用場景之一。」
「匿名」參訪PornHub將成歷史 官方要求「註冊後才准觀看」
由於美國路易斯安那州一項於1月1日上線的新法律,要求色情網站必須確保用戶都年滿18歲,否則將會被起訴,後續也引起阿拉巴馬州在內等7個州提出類似的法律。而目前也有消息指出,全球最大色情網站PornHub可能會關閉匿名、免登入就瀏覽的功能,所有用戶都必須註冊、證實自己年滿18歲後才准觀看內容。根據《每日星報》報導指出,路易斯安那州的法律是在2022年6月通過的,並且於1月1日正式上線。當時就有消息指出,PornHub會開始執行年齡驗證的程序。也有報導指出,當時路易斯安那州當地已經有一套名為「LA Wallet」的軟體,可以讓當地民眾使用身分證或駕照來進行年齡驗證。而目前有消息指出,為於路易斯安那州的網友,必須要使用LA Wallet驗證程序進行年齡驗證後,才能夠瀏覽PornHub。而也有報導指出,PornHub目前有意將這項擴及到全美,甚至到英國,屆時PornHub會關閉無登入就閱覽的功能,同時也會要求使用者進行帳號註冊,而PornHub也會搭配當地法規判斷是否要進行年齡驗證。其實早在路易斯安那州法案推出後,雖然獲得不少家長的支持,但也有不少專業人士痛批,認為這項規定雖然立意良善,但有可能會邊緣化性工作者,將性工作者推向那些「不需要驗證」的網站上傳內容。也由於目前的驗證機制是必須要提供自己的資料給第三方公司進行驗證,即便所有提供驗證服務的公司都強調公司內不會保留使用者的資訊,但仍舊有不少使用者擔心自己的資料會因為年紀驗證功能而外洩。
再喊「資安即國安」 藍痛批個資已像在網路裸奔 政府做了什麼
總統蔡英文今日再度喊出「資安即國安」,引發國民黨不滿,強調近期民眾、公私部門個人資料外洩事件頻傳,還有駭客盜取疑似戶政資料在網路上兜售,輿論接連猛烈質疑數位發展部花大錢設立卻對於資安防護無作為。國民黨說,總統蔡英文和數位部長唐鳳今天為國家資通安全研究院揭牌,再度聲稱「要打造最強資安國家隊」,但人民個資早在網路上「裸奔」光了,總統卻還說要在「兩年內」輔導政府機關導入三重驗證機制,國民黨想問民進黨政府,過去幾年在幹嘛?資安與個資防護還要等兩年?國民黨副發言人呂謦煒指出,數位發展部被質疑新瓶裝舊酒,擁有兩百億高預算,還花七千萬租昂貴地段辦公室,結果卻眼睜睜看著人民個資遭駭客盜取,政府資安危機重重,難道數位部只是「外包部」,資安防護沒半步?蔡總統說「資安就是持續精進的風險管理」,難道結果只有風險、沒有管理?呂謦煒盤點,近期租車公司、華航等個資外洩事件頻傳,除民間機構外,甚至媒體還報導大筆健保資料遭上網外流,就連戶政資料庫都傳出遭駭,超過2300萬筆疑似戶籍資料遭駭客在國外論壇散布。此外,他還說,對於民間與公家單位的資安風險,數位部不僅未做到事前監督或管理,事後更只會推諉塞責。面對健保資料外洩,唐鳳說不是主管機關但會全力配合偵辦;針對大筆戶政資料疑似外洩,唐鳳也只說「各部會要做好自身個資管理」。如果數位部無法協助公務機關與提供關鍵基礎設施的特定非公務機關處理資安威脅,避免駭客入侵盜取個資,那麼要兩百億預算的數位部又有何用?數位部從公文系統、檔案管理甚至是官網通通外包,難道連資安防護都要外包嗎?又或者數位部的職責其實是推廣麵線訂餐系統?呂謦煒說,蔡英文和唐鳳為資安院揭牌,但資安院其實是舊有之行政院國家資通安全會報技術服務中心,與國家實驗研究院資安卓越中心合併改制而成。何況行政院已經有「資安會報」、數位部有「資安署」、現在又有「資安院」,為什麼已有了這麼多資安單位,卻還是「資不安」、管不好人民的個資與政府的資通安全?揭牌成立的機構是不是新瓶裝舊酒?這麼多機構是不是疊床架屋、政治酬庸?呂謦煒並質疑,資安院雖已建立官網,但是所有「公開資訊」全部點不進去,沒有法規、沒有計畫、沒有預決算書,把自己搞得像黑機關一樣;在「資安訊息及聯防」下的「漏洞新聞」區,不僅沒有國內個資外洩與資安防護漏洞新聞,更幾乎只貼上每個月微軟公司的安全性更新。難道資安院只負責 Windows Update?連官網都做不好,民眾怎能相信資安院能維護資安?
當心詐騙新手法 假衛福部送紓困訊息藏釣魚連結
警方發現,近期詐騙集團透過簡訊、郵件或iMessage大量發送「防疫紓困補貼網路申領」或「疫情紓困專案點擊辦理」等字樣的釣魚連結,民眾若誤點輸入姓名、身分證號、戶籍地址、上傳「身分證正反面照片」、「銀行帳號」、「網路銀行帳號、密碼」、「手機號碼」及「OTP驗證碼」等個資後,會遭偽冒開立電子支付會員並綁定銀行帳戶,帳戶款項藉由電子支付遭盜轉,求償無門。刑事局表示,近一周民眾報案遭假紓困貸款釣魚連結詐騙案件中,除網路銀行遭盜轉款項占2成外,個資遭綁定電子支付占了8成,並以悠遊付、街口等2家為主。警方已持續要求電子支付業者加強會員註冊、交易等各項驗證機制,並籲請各電子支付業者重視民眾帳戶遭詐騙集團冒名綁定的問題,與警方共同防制這種詐騙手法,避免被害擴大。警方表示,衛福部已澄清,紓困方案申請已於去年6月30日截止,今年沒有相關紓困補助,更不會以電話、簡訊或郵件發送網址連結,也不會索取民眾銀行帳號、身分證統一編號等個資。刑事局再次提醒,政府機關網址為「.gov.tw」,並不會於「gov」前直接冠上其他英文或數字(如mogov.tw),切勿將個人金融資訊、存摺帳號、網路銀行帳號密碼、手機或E-mail驗證碼,任意交付他人或輸入於不明網頁而遭歹徒利用。如接獲相關釣魚簡訊,可截圖上傳至165官網線上報案或檢舉。警方公布真假衛福部網址的差異。(圖/翻攝照片)
「蛋黃酥界愛馬仕」被秒殺…黃牛2500元轉售 陳耀訓道歉揭原因
被封為「蛋黃酥界的愛馬仕」的知名陳耀訓麵包埠蛋黃酥,12日中午12點30分在拓元售票系統開賣,不少網友時間一到就在系統前等候,但一開賣點進去卻被秒殺,且沒多久就有人在網購平台開賣,以一盒2500元轉售。對此,陳耀訓13日在臉書貼出道歉文,表示「對於蛋黃酥的製作量無法滿足大家的需求,我們在此向大家致歉」。陳耀訓在臉書PO文指出,去年蛋黃酥開放預購網站當機,導致許多客人在網站上等了數個小時,最後沒買到蛋黃酥,「今年秋天的蛋黃酥是麵包埠即將與大家度過的第四個中秋節,過去幾次的銷售方式帶給客人的困擾和問題,每一次對我們而言都是莫大的壓力與責任,因為蛋黃酥的製作量都跟不上消費者的需求量;經由過去經驗的檢討,今年春節和中秋節蛋黃酥,我們都委託拓元售票系統作為唯一銷售管道,之所以這樣做,主要是為了避免網購詐騙的情事發生,與現場排隊可能造成的任何爭執。」陳耀訓表示,所有的蛋黃酥都是由麵包埠同仁在既有的空間裡一顆一顆揉製、烤焙、包裝而來的,且當日販售的蛋黃酥都是當日新鮮烤焙,「今年起,我們調整了蛋黃酥製程,讓每日生產量和品質能夠更穩定,但從上線的人數來看,就算在生產上我們已盡最大的努力,還是跟不上消費者需求。」陳耀訓指出,雖然透過售票系統開賣蛋黃酥,解決了網站當機、網路流量的問題,「但是也不可避免有代購代排業者一樣加入一起搶......,我們能做的,是避免網站當機、流程設計不當所造成的不公平問題。當然,拓元也在防止黃牛上做了防範,系統在申請會員時有簡訊認證與身分證驗證機制,同時啟用AWS(Amazon Web Services)防止大量機器人機制。」陳耀訓表示,對於蛋黃酥的製作量無法滿足大家的需求向大家致歉,「能向大家說明的只有,目前麵包埠的空間、設備和人力的最大產量就是如此。謝謝大家這幾天提供給我們的建議,後續我們會進行內部檢討,期盼未來能更好。」
網路遭駭「就像打不死的蟑螂」 李維斌:台灣打AI國際戰首重資安
鴻海研究院執行長李維斌今天(4日)表示,人工智慧(AI)所賦能的系統是否能獲得信任,將是未來AI應用關鍵,而資安技術相對單純,但若放在既有IT系統中的各種應用情境中,複雜度會大幅提高。李維斌應邀出席由DIGITIMES、科技報橘、IC之音、人工智慧基金會舉辦的2022 Taiwan AI EXPO,以「駭進AI:重新思考AI賦能的未來世界」為題進行演說。李維斌指出,今天大家所講的AI,其實很像30年前的網際網路,讓大家充滿想像,因為AI提供無限的契機,具有太多的潛力。不過李維斌也強調,網路安全(Cyber Security)遭攻擊就像打不死的蟑螂一樣,到處可見,在發展AI的同時,更重要的是要應用在各種應用情境當中,換言之,AI要產業化、產業要AI化,也因此資安議題在AI應用發展過程中,就非常重要了。李維斌表示,從網際網路過去的發展經驗來看,現在在發展AI的初期階段,就要把資安加入考量,若不重視,付出的代價將會比之前網際網路發展還要大。李維斌也指出,現在包括歐盟、美國、澳洲等,皆投入研發人工智慧(AI),發展AI應用解決方案,台灣要打AI國際戰,就要掌握各國的驗證機制,才能讓AI產品應用方案銷售出去。
新增功能!數位疫苗護照隨身走 24日早上8時更新
中央流行疫情指揮中心今(23)日表示,我國「數位新冠病毒健康證明」系統將於今(2022)年3月24日上午8時完成版本更新,新增功能說明如下:一、恢復可使用護照號碼申請:因應部分民眾反應不方便使用戶號,身分驗證機制將原「身分證號+健保卡號+戶號」方式,其中「戶號」調整為可用「戶號」或「護照號碼」二擇一方式驗證。數位新冠病毒健康證明系統新增功能。(圖/指揮中心提供)二、新增一鍵將數位證明轉入蘋果或安卓作業系統:經與Apple及Google公司合作,提供民眾使用手機或平板電腦申辦數位證明時,系統頁面增加Apple Wallet(不限iOS 15.4版)及Google COVID-19資訊卡之一鍵加入功能,數位證明可快速儲存於手機,方便民眾取用,過程符合個資法及GDPR規範。三、雲端列印碼功能新增萊爾富超商:除系統現有提供統一及全家超商KIOSK機臺雲端列印碼服務,新增萊爾富雲端列印碼服務。指揮中心對主動與防疫團隊合作的國際科技公司及國內超商致上謝意,系統將持續精進優化,提供更為便利之服務。數位新冠病毒健康證明系統新增功能。(圖/指揮中心提供)指揮中心提醒,為更新原有版本的功能,申辦平臺預計於今年3月23日下午5時至次(24)日上午8時暫時停止服務,進行版本更新,有急需出國使用者,請先提前下載。詳細下戴及驗證系統操作方式可以參考衛生福利部官網數位證明專區。( https://covid19.mohw.gov.tw/ch/np-5345-205.html )。
證券電子下單帳戶限期改密碼 邵之雋:防駭治本須靠民眾做一件事
對於證交所下令證券期貨商等電子下單戶限期更改帳號密碼一案,金融法制暨犯罪防制中心董事長邵之雋強調,其實民眾只要做好一件事,就可以一起圍堵遭駭客冒名下單的資安破口,只要駭客取得客戶的帳號密碼管道沒有被打破,駭客永遠能取得新的密碼,要客戶修改密碼只能治標不能治本。金融法制暨犯罪防制中心也根據這些駭客入侵案件態樣,整理出可能的資訊安全的漏洞,提醒民眾也有責任,妥善保護自己的金融交易帳號密碼,勿外漏給其他App供應商等公司使用。金融法制暨犯罪防制中心董事長邵之雋表示,這一波駭客型態與傳統「撞庫」不同,而是駭客透過黑網等手段,在第三方服務等雲端平台(如供記帳、理財帳戶管理服務的App)取得記載金融帳戶資料,直接以本人的身分登錄。邵之雋強調,事實上,雲端服務益形普及的現在,資安已經是社會系統的一部分,駭客永遠能從「資安城牆」最弱的部分攻入,所以喚醒民眾的資安意識是最為重要的。要讓民眾充分了解到,個人資料安全跟錢財一樣,財不露白才能最大程度降低犯罪者的覬覦。何況從法律層面來看,如果透過資安鑑識民眾的帳密,是因為可歸責於己的事由露出,而非因金融機構系統漏洞而導致,所產生的損失可能就是要由民眾自行負責。邵之雋也指出,證券期貨商等金融機構在金管會、證券、期貨等公會等不斷透過加強拉高資安城牆,要求民眾登入系統、申請或更新憑證採多因子驗證機制,譬如說設定英文大小寫混合數字的密碼並且要妥善保管,禁止使用生日等容易外洩的個資,也勿將在銀行、證券商等使用的帳號密碼用在其他網站。邵之雋分析,國內金融機構的資安城牆已經努力架高,防堵駭客入侵,而且一旦看見有類似僵屍網路不斷衝撞系統異常案件時,即可及時觀察與進一步防範;然非金融機構公司的資訊安全防護等級,會像金融機構的資安城牆高嗎?就是民眾要考量的地方,再次提醒用於金融機構帳號密碼,不要提供給他人、其他公司,是自己能做到最佳的資安防護。
首次「逾千萬證券戶」一起改密碼 限期1/21只剩三天「沒改就延遲下單」
距離1月21日證交所要求券商全面提醒客戶更改電子下單交易戶密碼一案,只剩3天,千萬證券戶若未在期限內更改密碼的話,證交所已祭出「將延誤下單」的最後通牒手段,即是藉此提高避免遭駭客入侵的資安等級。去年(2021年)「1125密碼撞庫攻擊」資安事件中,至少有凱基證券等逾7家券商、1家期貨商陸續遭到駭客入侵網路,冒名登入客戶的帳戶做複委託電子下單,有的券商因此損失2千多萬元,有的則是發現登入異常案件後緊急防堵成功。豈料,駭客仍是持續發動攻勢,12月下旬開始至今年1月以來,攻擊券商頻率增高,證交所先前已於7日邀集國內所有提供網路下單服務之證券商十多家,在登錄系統、申請或更新憑證須採雙因子驗證機制,並須在21日以前請客戶更改密碼並採用優質密碼,且須妥善保管帳號及密碼,不要用在其他網站,以維護自身權益。目前總共超過1,200萬人有證券戶,其中超過1,000萬人以上有電子下單,在證交所號令券商全體總動員之下,將有超過千萬戶的投資人必須改密碼,免得遭駭。