▲個資外洩頻傳,造成相關詐騙案件層出不窮。圖非當事人。(示意圖/記者楊漢聲翻攝)
記者許敏溶、林育綾、林明瑋、洪菱鞠、陳嘉恩/專題報導
「張先生您好,您先前是否有在我們XX網站購買了5本書,用XX銀行信用卡付款,總金額是1289元,很抱歉我們公司誤刷了您升級成VIP的費用,您下個月的帳單會多出一筆3000元的費用…」36歲的上班族張先生接起手機聽到這一連串話術忍不住嘆了口氣,心裡不禁想著:「雖然不會被這種老掉牙的招數騙到,但為什麼詐騙集團總是知道我的個資和網購訂單細節呢?」
個資外洩是不少詐騙案件的根源,《東森新媒體ETtoday》製作「台灣詐騙調查報告書」專題報導,本周針對國內大量個資遭盜用而衍生的詐騙手法進行剖析,破解這款詐騙型態的眉角,並找出為何個資外洩層不出窮的困境。
自從網路購物興盛以來,個資外洩造成的詐騙案件時有所聞,雖然手法老套,但顯然仍有不少民眾上當,才讓這樣的詐騙手段持續在坊間流傳。最典型的套路就像是張先生接到的電話一樣,詐騙集團掌握了他在購物網站上消費的詳細資訊,包括購買品項、金額、付款方式、個人電話地址等資料,用來誘騙消費者上鉤,進而後續詐取財物。
對此,行政院會上周四(13日)也通過《個人資料保護法》修法草案,未來民間業者若未遵行安全維護義務,造成民眾個資外洩情節重大,罰鍰將從目前最重200萬元大幅提高至1000萬元,且可按次處罰,希望遏止個資外洩造成的詐騙。
無法舉證因果關係 告上法院求償無門
早在2017年,民眾陳小姐在雄獅旅行社刷卡2.5萬元買機票,結果消費完後就接獲自稱雄獅旅行社來電,表示因工作人員疏失,誤刷她信用卡變成分期約定轉帳,將被連續扣繳12個月,要協助取消訂單並通知銀行協助處理,隨後就接到自稱銀行人員電話要求前往ATM操作,結果陳小姐前後轉帳4筆共計近13萬元至對方指定的3個帳戶內。
後來追查發現,雄獅旅行社有36萬筆消費者資料遭外洩,通報詐騙受害的消費者有18名,其中被詐騙金額最高者達84萬多元,整體總計被詐騙了450萬元。消基會針對此案,提起了國內史上首宗個資受害者團體訴訟,希望幫受害者討回公道。
▲2017年消基會協助雄獅旅遊個資外洩受害者提起訴訟。(資料照片/消基會提供)
但這起破天荒的訴訟,士林地院在2019年審結,法院認為難以認定雄獅有過失,一審判決免賠,後來消基會上訴,在二審過程中雙方達成和解。
消基會董事黃怡騰接受《ETtoday新聞雲》採訪回顧這起案例時感嘆,類似案件最大困難是證明因果關係,因為消費者無法舉證誰外洩資料,也就是無法舉證是企業故意外洩個資。當年負責該案的召集人周逸濱律師表示,因為和解後簽有保密條款,所以不便透露相關和解金額及內容,但此事算是圓滿解決。
貨都還沒寄到 詐騙集團電話就來了
只不過,受害人透過司法途徑也討不回公道,造成這些年來個資外洩詐騙越來越猖狂。根據刑事警察局統計,去年全年度詐騙高風險賣場第1名是網路書店「博客來」,博客來個資外洩的嚴重程度,有網友形容是「買的書還沒寄到,詐騙集團就知道我買了哪些書。」
對此,博客來僅回應:「內部持續加強資安管理,確保交易流程無異常,並取得資安最高認證,同時持續積極配合檢調調查,以確保消費者權益。為保障消費交易安全,已於官網加註反詐騙宣導警語、主動發送反詐騙宣導簡訊通知消費者,將持續與專業資安防護公司合作,進行資安檢測及強化保護。」
但國內通路業者個資外洩事件至今仍層出不窮,今年2月15日,百貨業者微風集團發出公告,表示作業系統更新,因此會員點數發放、折抵等相關活動暫停,並以簡訊通知會員,需因應系統升級修改密碼,結果2月22日網路論壇BreachForums爆出微風集團資料庫遭駭的消息,包括公司內部數據、供應商數據、90萬用戶的個人訊息等外洩,事件因而披露。
百貨業者個資外洩 遭駭客勒索百萬
跨國駭客利用電子郵件向微風集團勒索,要求微風以3個比特幣(依目前匯率換算,約282萬7700元)買回會員個資,但微風未低頭付贖金,消息揭露後,微風集團對外證實收到匿名網路勒索信件,且表示已在2月15日向行政院數位發展部報備,再向刑事局偵九大隊報案,提告妨害電腦使用等罪,同一天發出系統更新、會員活動暫停之公告,微風強調在第一時間即啟動損害機制,內部資安團隊亦完成軟體以及作業系統安全性更新。
▲微風廣場會員個資詐騙遭駭客勒索。(圖/記者蔡惠如攝)
針對微風個資外洩案件,經濟部依行政院個資聯防通報機制,通報國家發展委員會及數位發展部,除赴微風集團瞭解詳細情形,並由經濟部商業司、數位發展部國家資通安全研究院、資訊工業策進會及內政部警政署組成行政調查小組,前往負責會員APP的微風集團子公司「微風數位時代股份有限公司」進行行政調查。
業者加強安全機制 即時客服解決消費者問題
另一家擁有千萬會員的東森購物則表示,針對溝通並教育消費者預防詐騙付出許多努力,包括在東森購物官方網站、社交媒體等平台以訊息或是電話簡訊提醒消費者提高警覺,並提供關於網路詐騙的資訊,例如如何判斷真偽官網、如何辨識詐騙郵件、如何確認網購商品的真實性等等。透過這些資訊,讓消費者可以更了解詐騙手法及預防措施。
東森購物也加強網路賣場的安全機制,例如加強網站的防火牆和加密技術,並嚴格遵守個人資料保護相關法令,讓消費者放心地進行網路購物。當消費者發現可疑情況或遇到問題時,東森購物也可以提供即時客服支援,幫助消費者解決問題,同時也可以撥打警政署165反詐騙專線查證。
東森購物致力於企業創新與環境永續,有鑑於近年詐騙犯罪猖獗,東森購物充分落實資訊維安的標準化作業流程,嚴密檢討每個作業環節,並積極與警方合作,在刑事局的專業科技協助下已共同建立「東森集團與刑事局的資安聯防監控機制」,進行刑事犯罪偵防及犯罪防治,東森購物對於找出不法之徒、打擊犯罪責無旁貸,未來更會持續積極投入資訊安全防護作業,期許為所有消費者建立安心、優質的購物環境,這也是東森購物堅持不變的最大使命。
「法院態度不對」 法令對消費者不利
面對個資外洩詐騙,黃怡騰認為,這是一種新常態,不太容易完全防制,但仍要強化相關作為,一方面個人要提高警覺,另一方面則要透過立法強化個資保管,例如要求擁有大量個資的企業或單位,得要求設置更高防護機制及相關義務,防護個資外洩,但也不能無限上綱,超過其負擔,這勢必是一個兩難局面,因為很難取得平衡點。
▲刑事局點名博客來個資外洩詐騙風險高。(圖/記者許力方攝)
不過,黃怡騰建議,針對擁有大量個資的企業或單位,仍應該依據產業類別發佈相關準則,並進行滾動調整,包括在資安人員人數、防火牆強度,多久檢視其防範機制等等,這都是可以討論的。除了企業與相關單位,黃怡騰認為,政府也要積極加強相關詐騙宣導,個人也應該提高警覺來預防詐騙。
對於消費者難以透過司法途徑討回公道,消基會副董事長徐則鈺直批:「法院態度不對!」他指出,針對這種個資外洩導致被詐騙,現在法院態度是要受害者提出舉證,證明個資外洩導致被詐騙損失金錢,但民眾怎麼可能會有電話錄音,應該是要由業者證明,已經做好防護措施,個資不會有外洩問題,故要解決不利於消費者現狀,應該修改個資法中的損害賠償訴訟,由業者證明或負責舉證,善盡個資保護責任,畢竟消費者不會無緣無故去告業者,一定是被詐騙才會站出來。
源頭控管最重要 避免個資流入黑市
工研院資訊與通訊研究所副所長黃維中指出,企業平均約60天才發現被駭,甚至一個漏洞修補得花69天。數位發展部則指出,涉及資安的個資外洩事件,除了事後通報與行政調查,也要強化預防措施,鼓勵民間企業導入零信任架構、隱碼技術、星際檔案系統(IPFS)等技術。
對於不斷發生的類似詐騙案件,律師周逸濱認為,最好方式就是做好源頭管控,避免個資流落到黑市,把個資來源減少,詐騙案件就會減少,建議政府仿效國外作法,由政府成立一個專責機構,負責個人資料的保護,並透過立法方式,讓企業有壓力要落實內控,要編列預算做好相關防控措施,降低被駭客入侵機率,避免個資外洩,這才是最好的作法。
【延伸閱讀】
►專題報導:台灣詐騙調查報告書
讀者迴響