電郵詐騙駭客 靠「耐心」放長線釣大魚

盧禮賓 2016年12月27日 14:50:00

駭客會申請與寄件人電子郵件帳號相似度極高的帳號,例如用字型相近的英文字母或阿拉伯數字,l與1、0與o、m與rn、w與vv ,或在長串英文字母中增加或減少某個字母等,加以混淆。(刑事局提供)

不過5年前,網路犯罪還以散布情色猥褻照片、網路援交等兒少性交易犯罪案件為主,5年來資訊網路普及,網路活動頻繁,科技犯罪直線上升,防不勝防,網路購物平台個資外洩衍生的詐騙案,受害的是網路族,駭客侵入企業網路的電郵詐騙案,則放長線釣大魚,使用網路的風險意識都要提高。

 

刑事警察局科技犯罪防制中心研發科表示,國際商務活動日趨頻繁,有關電子郵件的「變臉」詐騙手法也日益增加。

 

耐心潛伏,等時間到再突然殺出。

 

犯罪手法是駭客利用公開取得的企業網路資訊,取得電子郵件帳號,寄送電子郵件,以收件人可能有興趣的主旨說明,誘騙收件人點開後,植入社交工程、鍵盤程式等惡意程式,再暗中攔截兩家企業間的往來電郵。

 

駭客犯罪以「耐心」見長,通常會潛伏一段相當時間,攔截信件,觀察雙方信件溝通內容、語氣,等到下單交易時機出現,要約定付款時,突然殺出,伺機竄改郵件內容,模仿發信人語氣通知付款方,謊稱臨時更改匯款帳號,要求匯到新的帳號。

 

駭客的犯罪手法,是利用公開的企業網路資訊,取得電子郵件帳號,寄送電子郵件,以收件人可能有興趣的主旨說明,誘騙收件人點開後,植入社交工程、鍵盤程式等惡意程式,再暗中攔截兩家企業間的往來電郵。(刑事局提供)

 

駭客為掩人耳目,會申請與寄件人電子郵件帳號相似度極高的帳號,例如用字型相近的英文字母或阿拉伯數字,l與1、0與o、m與rn、w與vv ,或在長串英文字母中增加或減少某個字母等,加以混淆,讓收件人難辨真偽;甚至有更高超的手法,直接竄改帳號,一字不差,令人防不勝防。

 

專門研究網路科技犯罪的研發科員警表示,一般人看到寄件者是平常往來的對象,或沒有辨別出帳號些微差異,只看內容,很容易信以為真,就把鉅額款項匯至被更改的帳戶。駭客用時間和高科技的詐騙手法,所造成的被害人財產損失金額也都相當龐大,受害者以企業廠商為主。

 

網路銀行被駭,損失最嚴重。

 

警方強調,電子郵件並非絕對安全,尤其企業長期往來的客戶,收款方突然臨時更改匯款帳號,一定要用電郵以外的方式多次確認。專門偵辦網路科技犯罪的刑事局偵查第九大隊大隊長邱紹洲表示,網路犯罪型態多樣,一般人網路被駭,盜取個資,最嚴重的損害情況,可能是網路銀行被駭的損失。

 

至於一般民眾個資被利用最常見的是,網路電子商務平台個資外洩,在購物後接到歹徒電話,假冒銷售人員以話術行騙,例如謊稱網路系統出問題,本來2000元帳款一次付清,變成每個月扣2000元,引起買家緊張,再指引到提款機,「解除分期付款設定」,被害人就莫名其妙把存款轉到對方帳戶。

 

專門偵辦網路科技犯罪的刑事局偵查第九大隊大隊長邱紹洲表示,網路詐騙年輕學生是主要受害族群,他們習慣依賴網路生活,不太注意相關新聞報導。(翻攝自YouTube)

 

邱紹洲表示,網路詐騙年輕學生是主要受害族群,新竹科學工業園區的竹科人最多,分析最常受騙原因,他們習慣依賴網路生活,不太注意相關新聞報導。他說,網路電子商務平台個資安全,面臨的問題是業者有沒有盡到妥善保管的責任,包括內部員工是否依據相關法令運用個資、員工品操、資料庫的防護強度等,但盜高一尺,魔高一丈,這些都是大眾在追求方便之外要承擔的風險。

 

延伸閱讀:電郵「變臉」詐騙 狠宰肥羊企業1.5億

 

邱紹洲指出,電子商務主管機關是經濟部商業司,針對個資外洩頻傳,應對違反個資法且不改善的業者嚴加裁罰,讓業者有感,知所警惕,否則如果只是像路邊攤販把警察久久開一次罰單當成必要支出成本,業者被罰無感,不配合改善,受害的是大眾。

 

至於駭客侵入企業網路的犯罪,以今年7月國內發生首宗駭客在境外遠端操控我國第一銀行ATM吐鈔案例最為「經典」。不過該案跨國犯罪集團,在台灣踢到鐵板,22名外籍人士來台取款,我國警方緝捕3名嫌犯並追回大部分贓款,10月歐洲警察組織也邀請刑事局參加在荷蘭海牙舉辦的專案行動會議,與英國等多國代表交流分享打擊網路犯罪經驗,為台灣爭光。

 

 

【上報徵稿】

上報歡迎各界投書,來稿請寄至editor@upmedia.mg,並請附上真實姓名、聯絡方式與職業身分簡介。

 

一起加入Line好友(ID:@upmedia),或點網址https://line.me/ti/p/%40zsq4746x

喜歡這篇文章,請幫我們按個讚

熱門影音


回頂端
關閉廣告