https://www.ithome.com.tw/news/145976 電信線上申辦簡易遭網路犯罪利用，自動扣繳直接盜取民眾存款，警方表示多達 160人受害 疫情期間，有不肖分子詐騙民眾個資上傳電信平臺申辦手機門號，利用小額付款 並線上辦理自動扣繳盜取民眾銀行存款，刑事警察局在7月中旬公告偵破此案。 值得我們關切的是，電信門號已具備類實名角色，若電信平臺提供的線上申辦與 自動扣款服務的審查出現漏洞，值得相關單位與各界重視。 文/羅正漢 | 2021-08-02發表 https://imgur.com/591dnc6 自臺灣疫情升至三級警戒以來，不只是網路個資詐騙事件呈現倍增趨勢，各大電 信業者推動的線上申辦業務，竟也成為不肖份子申辦人頭門號的捷徑。刑事警察 局在7月23日宣布偵破一起網路犯罪事件，逮捕9名嫌犯，其手法是利用民眾對於 網路詐騙缺乏資安意識，以及各家電信業者線上門號申辦業務身分審查機制的不 足，之後再藉由小額付款買點數轉售牟利，目前有160人受害，並有單一受害者 損失48萬元的情形。 嫌犯採用網路釣魚手法，騙取民眾證件 根據刑事警察局的調查，這些嫌犯先取得了被害人的銀行帳號、身分證等識別資 料，再利用這些個人身分文件，到其他電信業者線上門號申辦服務，而對於這樣 的身分冒用行為，電信業者並沒有發現異狀，僅審查身分證號與換發日期即通過 認證，之後便寄發SIM卡，透過物流業者讓申請者至指定超商取件。 接下來，這些犯案者便可透過取得的冒用電信門號，利用電信小額付費機制，購 買Google Play、Apple App Store等虛擬點數，再轉售予不知情民眾以牟利變現 。 警方之所以偵辦這起案件，是因為在2020年6月接獲報案，有民眾表示銀行存款 遭不明扣款購買遊戲點數，事後發現，原來是證件遭他人偽造申辦人頭門號，因 此電信偵查大隊與新竹市警察局第一分局共組專案小組，循線擴大追查。而這項 調查結果顯示，被害人數超過160人，並造成200多萬元的財物損失，而警方也查 獲張姓主嫌、許姓遊戲點數商共9人。 其實，這起事件在不少環節上，都有值得重視的資安議題，包括嫌犯如何取得民 眾證件，以及電信線上門號申辦漏洞是否普遍情形等。為此，我們聯繫到刑事警 察局電信偵察大隊隊長莊明雄，想進一步了解細節。 他表示，坊間有很多釣魚網站，包括假投資網站、求職或中獎網站，假借各種名 義騙取民眾提供雙證件與銀行帳號的照片，例如，中獎需要核對身分與匯款帳戶 等才能兌獎，因此騙取到民眾拍攝的彩色證件照片畫面。 莊明雄並指出，自從疫情開始，特別是最近三級警戒後，他們發現釣魚網站有倍 增的跡象。 對於普遍民眾而言，因資安意識不足而誤信釣魚網站，而且在提供敏感個人資訊 與證件時，沒有再三確認對方身分，是這起事件最初的問題。 當然，民眾還要注意的面向很多。例如，有人會拍攝證件並上傳雲端硬碟，過去 警方曾偵破民眾Google帳戶密碼設定得不夠安全，而被嘗試破解成功的事件，導 致雲端硬碟被看光光，自己拍攝的證件照片也會被他人取得；此外，臺灣有很多 業務需要雙證件臨櫃辦理，但為了大家方便，也出現代辦業者提供服務，造成更 多證件資訊外流的風險。 https://imgur.com/Lt4W8O1 刑事警察局電信偵查大隊第一隊與新竹市警察局第一分局，在7月16日宣布 查獲9名嫌犯，以及手機、SIM卡及雲端硬碟資料（民眾雙證件及金融帳戶影本） 等電磁紀錄，指出張姓主嫌取得被害人銀行帳號、身分證等證件，然後以偽造證 件上傳各電信業者線上門市，值得注意的是，由於業者僅審查身分證號及換發日 期，致犯嫌順利通過認證，之後，冒名的嫌犯到指定超商取件獲得SIM卡，再透 過電信小額付費詐買GooglePlay、AppleStore虛擬點數，並轉售予不知情民眾牟 利變現。 線上申辦身分查核程序有機可乘，若交由超商取件也有瑕疵 關於這次線上申辦門號漏洞的情形，莊明雄表示，從這次嫌犯的申辦結果來看， 各大電信業者都存在這樣的情形，在線上申請的身分審核時，只檢查身分證號與 換發日期，使得嫌犯持假冒身分證件上傳，就能冒名並取得SIM卡。 在此同時，由於手機門號已成為民眾身分識別重要條件之一，關於這類線上申辦 門號的漏洞，值得國內重視。 舉例來說，近年國際發生許多SIM卡劫持事件，有不肖份子假冒用戶名義，向電 信公司謊稱SIM卡遺失，因此對方可先購買空白SIM卡方式，再透過電話與電信業 者客服核對身分後，就能將原用戶的電話號碼，轉換至不肖分子持有的空白SIM 卡。當時，我們曾詢問資安專家為何臺灣不常見到這類事件，他們表示，主要是 臺灣SIM卡遺失，通常會本人持雙證件至電信門市辦理。 若真如此，按理來說，這次事件應該很難發生。莊明雄表示，疫情升溫，現在電 信業者也順應潮流，加大推動線上申辦的力道，並給予比臨櫃辦理更優惠的方案 ，而發生了這樣的事件，也等於是因為疫情而帶來另一種資安衝擊。 不過，本次事件還有一個更關鍵的部分，值得關注，那就是：電信業的銀行帳戶 自動扣繳。莊明雄表示，有一受害人因存款較多，直到被扣款達48萬元，才發現 自己的銀行帳戶，出現非自己所用電信公司的扣款活動。 畢竟人頭帳戶與利用小額付款機制早有不少，但這次嫌犯還會騙取銀行帳戶，並 利用電信業者提供的線上申辦自動扣繳，相當少見。 電信繳費設定自動扣款真有如此容易？若是經由傳統的紙本申請，通常銀行收到 顧客在電信業的委託，應該是要核對客戶印鑑；但如果是線上立即申請，在電信 業與金融業者之間的線上審查，似乎仍不夠嚴謹。而在本起存款盜領事件裡面， 是否因為這些業者的身分認證機制相對簡易，又彼此互信，才使得嫌犯有機可乘 ，單一受害者的金額也較大，相關細節有待釐清。 不僅如此，這次事件還有其他環節同樣出現身分驗證問題。例如，透過物流管道 進行的顧客身分驗證，也可能有資安破口，莊明雄表示，這次嫌犯使用超商取件 方式，領取手機門號SIM卡，但超商店員在進行交貨時，可能只是稍微看一眼對 方的證件（或者沒看），就完成確認，這是另一破口。 以往有業者採行的作法，是要求配合的物流公司人員，宅配到府時必須檢查收件 人雙證件，才能讓消費者領取SIM卡並繳交申請書寄回，而現在的電信業者提供 了超商取貨的身分驗證方式，看似方便，但過程中能否落實相關的要求，可能會 是問題——我們無法要求工作任務繁多的超商店員，都能做到詳細的查核。 對於這次電信業在線上申辦方面的漏洞，莊明雄認為，目前電信業尚未提出很好 的因應方式，至於民眾受到的損失，他表示會由電信業者吸收。但是，這已產生 更多的金融秩序干擾，以及耗費社會成本。 因此警方也提醒，電信門號已具備類實名角色，電信業者審查機制若出現漏洞， 易遭人利用施行詐騙，同時也呼籲民眾，勿聽信來路不明的假求職、假中獎等情 節，更不可擅自將個人證件、銀行存摺提供給第三人，避免銀行帳號遭盜用，以 及善用165管道查證。 無論如何，利用電信小額付費機制的詐騙手法，多年以來一直都存在，這次事件 卻出現大規模受害者，讓人意外，但也突顯出幾個資安議題，像是前面提到的線 上申辦的身分查核漏洞，線上申辦自動扣繳的審查機制，以及遠距領取手機門號 SIM卡的過程，可能都需要更嚴謹的作法或配套來因應。 同時，還有配套的權限差異議題，例如，有金融業的作法，在線上申辦數位帳戶 的權限上，資金只進不出，或僅限定本人帳戶轉帳，有別於臨櫃申辦銀行帳戶的 權限，對於線上申辦的權限是否需限縮，這些也都值得相關單位與各界重視。 - 以後會不會線上申辦門號需要視訊錄影或自然人憑證.. 如果採自然人憑證我是樂觀其成， 畢竟現在電信門號也等於另一個網路身份認證機制， 不嚴格查驗說不過去。 而且黑市交易方式基本上也和銀行人頭帳戶買賣沒兩樣。 這種情形下還用超商交貨SIM卡的公司心臟真的很大 但基本還是要自己有警覺，不要看到中獎或投資賺錢就沖昏頭， 自己傻傻把證件交出去。 重要資料最好也不要擺在雲端，至少至少兩步驟驗證一定要開。 -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 1.34.110.137 (臺灣) ※ 文章網址: https://www.ptt.cc/bbs/Bank_Service/M.1627935584.A.FE5.html