詐騙集團在遊走台灣大型購物網站之後,許多中小型的購物網站也陸續成為下手的目標,網購業者不但要花費大量的簡訊費用提醒消費者,還要接受消費者不斷的謾罵,嚴格說起來業者也是受害者,但面對消費者的批評也似乎是理所當然。
因為讓消費鬆懈心防的最主要原因是:
「為什麼詐騙集團有我的訂購資料?」
難道真的是購物網站的安全性出了問題嗎?
的確,發生資料外洩的原因有很多種,包含系統的安全性、人員內控不佳、資料庫以明碼存放客戶個人資料….等等。
但最令人恐懼的都不是以上的因素,而是消費者使用密碼的習慣。
詐騙集團握有的名單已經不止姓名、電話那麼簡單,綜觀網路個資的洩露史,包含東X員工販賣個資、博X來金馬事件….,千萬別以為這些是單一事件,這些資料綜合起來,足以拼湊出名單中使用的 Email、帳號、電話、甚至是密碼。
記得友人出訪聯想集團新成立的電子商務部門時,有句話令人印象深刻:
在我們這兒就是人力便宜,系統做不到的、來不及做的,我們通通都用人工做。
只有個人資料當然不夠, 詐騙集團動用了大陸便宜的人力, 逐一比對測試網友可能使用的帳號與密碼,並且用來登入購物網站取得訂單資料取信於消費者後進行電話詐騙。
購物網站的登入帳號大約分三種,ID、Email、身份證字號。ID 通常會和 Email @ 前面那串字相同,因此這三種的取得都不困難,再來就是比對帳號跟密碼之間的關係。
一般人習慣用的帳號+生日、或是英文名+電話…等,只要按照教戰手則在網站上試一遍,很容易就能比對成功。除此之外,透過木馬程式、釣魚網站、安全性不佳的社群網站所流出來的帳號密碼,更是詐騙集團必備的資料,直接放到購物網站幾乎都能正常登入。
除了木馬、釣魚網站之外,一般中小型的社群網站對於資訊安全的防護普遍不如電子商務網站來的高,大多套裝軟體一架就開始經營了,甚至連防火牆、資料庫控管的機制都沒有,由於這些網站通常沒有交易行為,也沒有人會去注意這些社群網站的安全性問題,卻不知這些網站一但帳號密碼流出去,同樣成為詐騙集團進入購物網站的最佳工具。
從另一個角度來看,購物網站只是被詐騙集團拿來開刀的最後一哩,購物網站遇到這種事也只能啞巴吃黃蓮,默默的揹下個資外洩的黑鍋。
詐騙集團為什麼能這麼輕易的拿著這些資料到各大購物網站進行詐騙。原因是網友都習慣在每個網站都使用相同的帳號及密碼,只要有一個網站因為安全性問題洩漏了個資及帳密,有心人士只要拿到這份資料,幾乎所有的網站都能任意登入。
(假的 Yahoo! 登入頁面 – 圖片來源: briian)
我個人是網路購物的重度消費者,即使消費過的多家購物網站出現詐騙行為,截至到目前為止我只接過一通詐騙電話。由於我在每個網站都使用不同的帳號密碼,因此詐騙電話一來,我就很確定哪家購物網站的安全性有問題。
綜觀全台知名的購物網站包含 Yahoo!、PChome、博客來、Payeasy…幾乎全都淪陷成為詐騙集團的下手對象,相信個資外洩絕對不單純只有業者的資訊安全議題而已。因此當接到詐騙電話時,也不要過度苛責購物網站業者,因為詐騙集團可能原本就握有你我的個人資料,只是用這份資料進入購物網站取得訂單資訊博取消費者信任,增加詐騙成功的機率。
防止詐騙集團最好的方式就是每個網站使用不同的密碼,密碼盡量在 6~8 位以上,並且用英數混雜以及跟自己的私人資料無關 (註1) 。即使詐騙行為真的發生了,不同的密碼的設定也能協助購物網站業者釐清問題所在,以免更多人因詐騙而受害。
註1:
密碼不要包含帳號、生日、身分證號、電話…等個人資訊。每個網站能夠用不同帳號更好,我曾經試著在一些購物網站只設了3位數的懶人密碼去購物消費,該網站傳出災情時,也從未接到詐騙電話,原因就是帳號不同,密碼也無從比對起。(叔叔有練過,懶人密碼這件事千萬別學 XD)
相關新聞:
東森購物疑洩個資案 集團前經理 涉盜賣十四萬個資
博客來洩金馬影展觀眾個資 挨轟
PayEasy 5467筆個資 詐騙集團一夜比對成功
延伸閱讀:
65%詐騙案 在家購物著了道
詐騙集團手法實錄 – 博客來
Yahoo拍賣上又見「釣魚網站」(詐騙),請小心!
網路釣魚 (Phishing) 成為 2007 年最嚴重的資安威脅之一
IThome: 線上購物網站的安全到底出了什麼問題
9 comments On 購物網站資料外洩? 詐騙集團如何取得訂購資料?
每家購物都要帳號密碼,如果都不同,這真的有點難記!這也是麻煩。
為什麼留言需要輸入e-mail?
另外,上面文中提到的中華電信確認信,那是真的,不是詐騙,請察明.
謝謝.
如果是”最後一哩”的物流商呢?
所以網購一定要透過物流,
物流單上也有一些資料,
那如何去監督物流呢?
看到某開店平台網站引用NEO大您的文章
關於這段我不能認同
但最令人恐懼的都不是以上的因素,而是消費者使用密碼的習慣
這一段被不負責任、惡質的網路平台業者拿來脫罪卸責
部分網路買家的使用密碼習慣的確過於隨便
但令人最恐懼的是,網路開店平台業者系統遭詐騙集團入侵而不自知
您是專業的技術人員,應該清楚了解入侵者有需要浪費時間對各別店家解碼嗎?直接入侵開店平台業者的主機會比較快,分析資料庫,撰寫負責撈出訂單資料的程式..
這樣對認真經營網路開店店家的店家來說才是需要恐懼的,因為平台業者只會把責任推給店家,真正的問題卻得不到任何解決.
網路遊民您好:
這篇文章主要給消費者看的,也希望網友能正視自己的密碼及網路安全習慣。
我處理過很多種不同的詐騙手法,大多數都可以從系統面或流程面來防堵,唯有網友普遍資安警覺性不足最難防止。
如果網路開店業者要以此做為脫罪卸責的方式是令人髮指的。
在此提供網路商店的店家一個判別的方式:
用一個只有自己知道、跟其它網站完全不同的帳號密碼,每個月在自己的開店平台下一張訂單。下單記得先掃毒,並且把掃毒完成的畫面給抓下來做為佐證。
如果日後這個帳號有接到詐騙電話,就代表這個系統在安全上已經有缺失了。
NEO大感謝您的回覆
您所言甚是,身為專業技術人員可以從系統面或流程面來防堵,唯有網友普遍資安警覺性不足最難防止。
您的文章被引用於 http://www.webdiy.com.tw/news-detail.asp?doc_id=171
http://bosj.webdiy.com.tw/news-detail.asp?lang=1&doc_id=221
看到這些店家發佈的訊息真的覺得好笑又深感無奈
站長您要表達的是個人帳密保管的重要性
但是被一個一年多來詐騙事件不斷 所有理由都歸咎於 店家及店家會員帳密保管不當或是個人電腦被埋入木馬…等
網路商店經營者及其買家不斷遭受詐騙集團所擾,網路商店經營者也只能不斷告訴其買家不要輕信詐騙電話…繼續相信這樣的事件對系統經營者來說也是受害者
希望NEO先生您能針對系統業者資安問題提出您精譬的專業見解,避免您的文章被有心人事扭曲解讀,形成更大的資安漏洞!!
現在使用者習慣不是問題
重點在於廠商的資料庫資安做得不夠好
試想:詐騙集團不會只要你一兩筆資料
要就入侵主機資料庫,一次把所有會員與訂購資料帶走
我為什麼會知道?
因為我任職這間夭壽公司剛剛的資料全部都被駭客駭走
現在無法可管
只能期待個資法快點上路
做不好資安的公司也要負責任
之前有同事在Y!拍上購買東西,不久就收到詐騙集團的電話,
跟他喇了很久,我也是個重度網購狂,馬上請她掛掉電話,跟她說”那是詐騙集團!!!”
詐騙集團真是無所不在!