無獨有偶地,「反網路詐騙」的議題在最近成為全民運動。雅虎奇摩在登入頁啟用了「數位圖章」,以反制歹徒以網路釣魚偷取帳號密碼;而在拍賣也啟動了「結帳通」,避免歹徒假冒賣家從中攔截貨款;上個月的數位時代更以封面故事報導了網路詐騙的議題。原本是資訊安全的專業議題,變成如此貼近網友的事,原因無它,就是因為這些網路詐騙歹徒已經將那隻髒手伸進了你我的網路生活裡…


早在網路問世之前,詐騙事件就已經在生活中不斷地上演,最常見的就是「中間人型詐騙」。偽裝綁匪電話也好、釣魚假網頁也好、假國稅局退稅人員也好,不管是使用哪一種工具,只要有辦法讓受害者相信歹徒的身份,具有收錢或是拿取機密資訊的正當性,受害人為了完成目的,就會把金錢、密碼等相關資訊交付給歹徒,瞬間被洗劫一空。這樣的手法並不限於網路詐騙一途,記得前一陣子也發生「假房東詐騙房租」的新式詐騙手段,就是張貼竄改過連絡電話的招租廣告,並以實際租屋鑰匙作為房東身份的證明,博取受害者的信任,進而詐取房客的訂金後逃之夭夭,把爛攤丟給真的房東處理。有時真的不得不佩服台灣這些詐騙集團的創意,這也算是一種台灣奇蹟吧!

詐騙趁金流基礎建設之虛而入

前一陣子立委、官員、學者與業者們在一場反詐騙的研討會上,針對如何遏止網路詐騙犯罪互相交換意見,除了讓與會者了解業界所遇到的問題與困難之外,其實也點到了一個相當重要的問題:平台業者與金融業者必需互相緊密合作,才有辦法從根源上防止網路詐騙。

在拍賣網站上由於下標交易與付款是脫勾的兩個流程,產生了「攔截得標信」的詐騙手法:歹徒利用結標後買家必需等待賣家付款通知的時間差,搶先發假造結標信給買家,以攔截貨款。最好的作法是將拍賣平台與金流代收結合,在結標後買家付款給在交易平台上,由平台保管貨款並待買家收訖商品無誤後付予賣家,不但詐騙集團找不到縫隙攔截,更具有買賣履約保證的仲裁功能。放眼其他國家的拍賣平台,像是 eBay 的 Paypal 或是淘寶的支付寶,皆是將交易平台與金流平台緊密整合的成功案例。

而購物網站主要面臨的詐騙手法是來自信用卡偽冒交易,由於網路交易無法當面取得並比對持卡人的簽字,過去根據國際信用卡組織的規範,只要是持卡人否認交易,風險概網路商店承擔,所以賣電腦的網站對刷卡訂單總是又愛又恨,深怕一張偽冒訂單就把辛苦賣幾十台的毛利都賠光。後來有了3D驗證 (3D Secure) 問世,總算讓商店有了一張護身符。

所謂3D驗證是在交易過程中透過第三方平台進行雙方身份確認的流程,包括VISA 的 Verified by VISA、MasterCard 的 MasterCard SecureCode都是3D驗證的一種。根據信用卡組織的規範,凡是網路商店的交易具備3D驗證,當否認交易發生時,交易風險由發卡銀行承擔,商店不需承受否認交易之責。某種程度上來說,3D驗證的確保障了商店不受否認交易之害,然而商店規模與技術能力不一,3D驗證機制並未完全導入每一家商店,以致仍有相當多詐騙集團可以插入的縫隙。

一種專業的網購詐騙手法是,歹徒短期租用空置房舍、使用偽卡到多個購物網站下單,購買高單價或易變現之商品,利用持卡人發現偽冒交易的時間差,大量詐取商品,再拿至贓貨市場銷贓變現。銀行的風險管理部門會針對短期內發生大量的可疑交易的信用卡向持卡人進行照會確認,如果是詐騙集團所為,會通報特約商店停止出貨,以控制損害程度。然而因為銀行在處理信用卡授權當下,並無法得知交易的內容 (訂購人、出貨點、訂購人手機等等個人資訊) ,從授權成功到警示商店仍有時間差,所以只能作到消極警告,而無法作到主動預防。

以第三方金流平台擔任網路民防

筆者認為,不管是拍賣或是購物網站,倘若可以讓處於賣家與銀行中間的平台業者,能與金融單位甚至警政單位有更密切的合作,由於網路交易具有資訊上的即時性,除了消極防禦之外,甚至有可能達到聯防的效果。在此藉數位時代一角向政府獻計,以下是一些可以考慮規劃的執行方向:

一、    平台業者可以建立起共同黑名單系統,除了將可疑卡號納入以外,由於平台直接處理訂單資訊,更可以把可疑地址、電話、訂購人等資訊納入共同黑名單系統,並與各收單銀行共享資訊。系統亦可以透過頻率分析等方式,當有疑似異常交易發生時,主動回報金融單位與警政單位,以進行進一步的釐清,甚至進而誘捕罪犯,有效降低網路詐騙發生率。

二、    鼓勵商店與這些交易平台介接,而不直接與銀行介接。持卡人資訊由平台以符合資訊安全規範的方式集中保管,隔絕商店不能直接獲得。這樣的作法可以降低持卡人資訊因商店資訊安全或內控能力不一,而發生外洩之事的機率。

三、    主管機關應訂定對於交易與金流平台的規範,保障合法、取締非法,以良善管理取代消極防堵,透過嚴謹而集中的管理,銀行等於有了一群網路上的保全人員,站在網路櫃台前確保歹徒無法近身。

其實包括Google Checkout、Paypal、支付寶等所謂的「代收付」第三方金流平台,其對網路交易環境的正面助力都是無可度量的。台灣目前囿於金融法規限制,這些服務如果要進台灣,都有其窒礙難行之處。其實「妥善規範、嚴謹管理的代收付機制」,將會是有效預防阻擋網路詐騙的防火牆。在此誠摯建議政府、立委能與網路業、金融業者共同找出方式,讓科技的力量可以協助金融與警政,一同打擊網路犯罪,相信將會是另一項優良的台灣經驗。

【本文發表於 2007.4.15 之數位時代雜誌】
創作者介紹

Fusion Man 的網路隨筆

fusionman 發表在 痞客邦 PIXNET 留言(0) 人氣()