June 28, 2008
購物網站資料外洩? 詐騙集團如何取得訂購資料?
詐騙集團在遊走台灣大型購物網站之後,許多中小型的購物網站也陸續成為下手的目標,網購業者不但要花費大量的簡訊費用提醒消費者,還要接受消費者不斷的謾罵,嚴格說起來業者也是受害者,但面對消費者的批評也似乎是理所當然。
因為讓消費鬆懈心防的最主要原因是:
「為什麼詐騙集團有我的訂購資料?」
難道真的是購物網站的安全性出了問題嗎?
的確,發生資料外洩的原因有很多種,包含系統的安全性、人員內控不佳、資料庫以明碼存放客戶個人資料....等等。
但最令人恐懼的都不是以上的因素,而是消費者使用密碼的習慣。
詐騙集團握有的名單已經不止姓名、電話那麼簡單,綜觀網路個資的洩露史,包含東X員工販賣個資、博X來金馬事件....,千萬別以為這些是單一事件,這些資料綜合起來,足以拼湊出名單中使用的 Email、帳號、電話、甚至是密碼。
記得友人出訪聯想集團新成立的電子商務部門時,有句話令人印象深刻:
在我們這兒就是人力便宜,系統做不到的、來不及做的,我們通通都用人工做。
只有個人資料當然不夠, 詐騙集團動用了大陸便宜的人力, 逐一比對測試網友可能使用的帳號與密碼,並且用來登入購物網站取得訂單資料取信於消費者後進行電話詐騙。
購物網站的登入帳號大約分三種,ID、Email、身份證字號。ID 通常會和 Email @ 前面那串字相同,因此這三種的取得都不困難,再來就是比對帳號跟密碼之間的關係。
一般人習慣用的帳號+生日、或是英文名+電話...等,只要按照教戰手則在網站上試一遍,很容易就能比對成功。除此之外,透過木馬程式、釣魚網站、安全性不佳的社群網站所流出來的帳號密碼,更是詐騙集團必備的資料,直接放到購物網站幾乎都能正常登入。
除了木馬、釣魚網站之外,一般中小型的社群網站對於資訊安全的防護普遍不如電子商務網站來的高,大多套裝軟體一架就開始經營了,甚至連防火牆、資料庫控管的機制都沒有,由於這些網站通常沒有交易行為,也沒有人會去注意這些社群網站的安全性問題,卻不知這些網站一但帳號密碼流出去,同樣成為詐騙集團進入購物網站的最佳工具。
從另一個角度來看,購物網站只是被詐騙集團拿來開刀的最後一哩,購物網站遇到這種事也只能啞巴吃黃蓮,默默的揹下個資外洩的黑鍋。
詐騙集團為什麼能這麼輕易的拿著這些資料到各大購物網站進行詐騙。原因是網友都習慣在每個網站都使用相同的帳號及密碼,只要有一個網站因為安全性問題洩漏了個資及帳密,有心人士只要拿到這份資料,幾乎所有的網站都能任意登入。
(假的 Yahoo! 登入頁面 - 圖片來源: briian)
我個人是網路購物的重度消費者,即使消費過的多家購物網站出現詐騙行為,截至到目前為止我只接過一通詐騙電話。由於我在每個網站都使用不同的帳號密碼,因此詐騙電話一來,我就很確定哪家購物網站的安全性有問題。
綜觀全台知名的購物網站包含 Yahoo!、PChome、博客來、Payeasy...幾乎全都淪陷成為詐騙集團的下手對象,相信個資外洩絕對不單純只有業者的資訊安全議題而已。因此當接到詐騙電話時,也不要過度苛責購物網站業者,因為詐騙集團可能原本就握有你我的個人資料,只是用這份資料進入購物網站取得訂單資訊博取消費者信任,增加詐騙成功的機率。
防止詐騙集團最好的方式就是每個網站使用不同的密碼,密碼盡量在 6~8 位以上,並且用英數混雜以及跟自己的私人資料無關 (註1) 。即使詐騙行為真的發生了,不同的密碼的設定也能協助購物網站業者釐清問題所在,以免更多人因詐騙而受害。
註1:
密碼不要包含帳號、生日、身分證號、電話...等個人資訊。每個網站能夠用不同帳號更好,我曾經試著在一些購物網站只設了3位數的懶人密碼去購物消費,該網站傳出災情時,也從未接到詐騙電話,原因就是帳號不同,密碼也無從比對起。(叔叔有練過,懶人密碼這件事千萬別學 XD)
相關新聞:
東森購物疑洩個資案 集團前經理 涉盜賣十四萬個資
博客來洩金馬影展觀眾個資 挨轟
PayEasy 5467筆個資 詐騙集團一夜比對成功
延伸閱讀:
65%詐騙案 在家購物著了道
詐騙集團手法實錄 - 博客來
Yahoo拍賣上又見「釣魚網站」(詐騙),請小心!
網路釣魚 (Phishing) 成為 2007 年最嚴重的資安威脅之一
IThome: 線上購物網站的安全到底出了什麼問題
Wamap 方便的右鍵查詢地址
上個月 Wamap 推出了右鍵查詢地址工具,以後上網查地圖就可以一指搞定了:
Wamap 右鍵查詢地址工具下載 (IE Only)