從去年開始,台灣不論知名或不知名的購物網站,大多發生過消費者資訊遭竊而讓歹徒詐騙得逞的事件,除了讓業者全面掃除資訊安全死角,並努力宣導消費者不要到提款機去操作退款之外,政府也連忙將躺了有一段時間的「個人資料保護法」修正草案火速推動,希望能亡羊補牢。

個資法新法草案將所有持有消費者資訊的行業 (不只是購物網站,連路旁的洗衣店、錄影帶出租店也算) 都納入規範,同時可能將賠償上限提高至十億元的天文數字,希望用重罰來促使這些持有消費者隱私資訊的業者重視保管責任、遏止詐騙集團。然而,這樣的方法真的可以讓大眾痛恨的詐騙集團消失匿跡嗎?

個資只是取信的工具 便利的轉帳才是淵藪

要了解這個問題,得從了解詐騙集團的模式著手。電話詐騙取財手法雖然千奇百怪,簡單來說不過是「取信受害者」、「指示受害者轉帳」兩件事。不論是假扮國稅局要辦理退稅、假扮中獎通知、假扮購物網站處理錯誤付款還是假扮黑幫綁架小孩;當歹徒可以說出受害者認為一般人不知道的真實資料 (購物紀錄、個人家庭隱私),再加上以偽裝的來電顯示證明身份,沒有防備心的人就會聽從指示走到提款機前操作,乖乖送上錢財而不自覺。

由前得知,個資只是讓受害人相信歹徒的工具,台灣提款機的普及與便利性才是問題的根源。幾年前為了遏止磁條卡遭側錄盜刷,財政部有魄力的把所有金融卡都換上了無法複製的晶片金融卡,也意外帶出網路ATM的新商機,甚至為了降低受害者損失,還設定轉帳與提款上限金額。然而複製是遏止了,卻無法防止受害人自己操作提款機把錢奉上,金融卡轉帳這個「獲利」的源頭如果沒有有效把關,再怎樣的嚴罰還是擋不了歹徒高超的話術。

想想台灣的金融卡轉帳真的是非常方便,只要輸入對方帳號和金額,錢馬上就離開口袋,也沒有反悔的餘地。以一個非金融業的人來看,如果除了直接到帳之外,消費者還有選擇把錢先留到一個公正第三方的手上,等轉出方確認後再撥給對方,或是等個一天才能拿到手,斷除歹徒的取財工具,應該更能降低詐騙得手的機率。只是要改動金融體系的運作機制絕非易事,這方面還有待金融朋友們的努力才行。

了解歹徒手法 避免淪入魔掌

網路商店、拍賣賣家及電子商務上下游業者 (像供貨商、金流業者、物流業者等等),由於與消費者有金錢交易,是歹徒最喜歡的高價值情報對象。技術高的努力挖掘網站安全弱點,找到的話就駭得資料 (這一類投入成本高、回報低,歹徒通常不愛用);技術低一點的運用客服人員必需對外開放、同時掌有消費者資訊的特性,E-mail木馬程式給客服人員,竊取網站管理帳號密碼或側錄網頁瀏覽資訊;更低一點的運用所謂「資料拼圖」技術,用工人智慧將四面八方蒐得的大量個資匯整,然後用暴力法假扮消費者大量測試登入並查詢訂單資訊。不管是哪一種方法,最重要的電話號碼一定要取得,其他就看有拿到什麼掰什麼,反正只要讓受害者相信就行了。

即使是個小小網拍賣家,萬一客戶碰上詐騙,對賣家都不是件好事,況且新法通過以後甚至還有賠償損失之責,因此身為賣家不論規模大小都應盡力保護自己、也保護客戶。

首先必需備齊防護工具,只有防火牆和掃毒軟體不足以將竊聽者排除在外,所有能接觸到個資的電腦都必需安裝反間諜軟體 (Anti-Spyware) ,雖然很多時候歹徒會特製自己的木馬讓坊間的反間諜軟體掃不到,但是至少能先盡第一線防範之責。而對於個資檔案的存放位置,都必需有足夠的權限防護並且加密,而所有載有個資的紙本結束使用以後應即以碎紙機處理。

最重要的是,務必建立一套安控程序並切實執行,包括後台操作人員的身份查核與權限控管。每一個操作人員都必需使用各自的帳號密碼登入,並必需確實認證身份無誤以後才能進去系統。除了防範內賊洩漏個資,也有助於事件發生後的追查,更重要的是,在新法上路後,商店如果可以證明無故意或過失責任,已經盡力採取必要的防護措施之下,還是遭到有心人竊取,則商店可以免於賠償。萬一事情發生了,至少不用傾家蕩產當詐騙集團的替死鬼。

消滅詐騙需要齊心努力

從前面的長篇大論不難看出,業者並不是不願保護消費者資訊,而是有沒有能力的問題,話歸個資法修法的議題,如果政府立委認為提高罰款就能促使業者保護個人資訊,其實是太過簡化問題的複雜度,唯有聯合司法、檢警調、網路科技業者的力量,才有可能讓獨步全球的台灣詐騙產業不再囂張。


創作者介紹

Fusion Man 的網路隨筆

fusionman 發表在 痞客邦 PIXNET 留言(0) 人氣()