文:飄浮的中國製手資安刑警背心
人頭門號的詐欺案件,在近一年來發生得特別多。漏洞之前沒敢說出來是台灣因為有所顧慮,畢竟是大哥大涉及大型電信企業,而且有待官方的藏惡證實。現在既然新聞都已經公開了,意程那我就談談這件事吧。式詐式
相關報導:
- 台灣大9萬多支中國製手機藏惡意程式,欺模NCC翁柏宗罕見道歉要求召回(風傳媒)
- Amazing A32手機爆資安疑雲,公開台灣大哥大全面召回並升級軟體(ePrice)
詐欺案件的中國製手資安模式
被害人A被詐騙後,去超商購買GASH遊戲點數,漏洞經過警察向GASH(樂點股份有限公司)調取資料,台灣發現這些GASH點數被儲值於一個或數個GASH會員帳號內,大哥大而這些會員帳號都有綁定一個手機門號,藏惡這便是意程通知這些手機門號申請人到案說明的原因。
這類案件剛開始萌生時,即使是對於手機、網路或科技知識都相對充足的人來說,也很難理解背後的詐欺集團是如何利用別人的手機門號進行認證的,且做得神不知鬼不覺,包括我。
第一,按照GASH公司表示,註冊會員所登記之手機門號,都必須由官方寄發驗證簡訊,並在註冊頁面上輸入簡訊中所顯示的驗證碼,才算完成註冊。但詐欺集團是如何取得這封簡訊的?
第二,人頭門號的通聯,確實顯示有收到GASH官方的驗證簡訊,但當這些人(以下內文統稱「人頭」)帶著手機應詢時,手機內完全沒有簡訊資料,為什麼?(很多人甚至連簡訊是什麼都不知道,更遑論他們去刪除簡訊)
近幾個月,警察內部才有消息指出這種犯罪手法,可能和人頭所使用的手機型號有關;但也僅限是依據統計的臆測,沒有確鑿的消息去證實,要求我們在製作筆錄時,加上詢問其手機廠牌及型號的問句。
詢問過幾個懵懵懂懂、摸不著頭緒的人頭後,我發現這些人持用的手機,的確都寫著「Taiwan Mobile」,正是這次爆發資安問題的手機,報導中所揭露的手機惡意程式,有將驗證簡訊回傳至詐欺集團,並且事後自動刪除的功能,上述兩個疑問便迎刃而解了。
案例經驗
以我的經驗,這些人收到通知書之後,多半會循著通知書上的聯絡電話打來問,完全不知道自己為什麼會涉及「詐欺」案件。又根據我自己沒有數據化的不負責任統計,這些「人頭門號」的申登人,幾乎都是落在50至70歲之間、對於科技不甚了解、甚至從來沒有使用過除了撥、接電話以外功能的人。他們認為自己只會打電話、接電話,怎麼可能會去註冊什麼遊戲帳號?
對此感到大惑不解,有的人一輩子勤勤懇懇、實實在在,收到刑案通知書就彷彿世界塌陷,緊張到寢食難安。我只能在電話中一面希望他們如期到案,一面利用易懂的語言,讓他們知道事情沒那麼嚴重,算是安下他們心中懸著的大石。
由於這種購買GASH點數的詐騙案,是以被害人的戶籍或現住地為管轄機關,但人頭常常都分布在各縣市,又因為這些人頭門號不一定只涉及一個被害人的案件,可能同時好幾個,便必須分別跑好幾個縣市警察機關接受調查。舟車勞頓造成的身體疲累,以及涉及刑案的心理壓力,都讓這些無辜的人受到極大的影響。
我能做的,除了言語上讓他們平復心情之外,最實際的大概就是讓他們換掉手機了。(筆者按:管轄規定2021年剛作了修正:以第一筆人頭的戶籍地警察機關為管轄。倘若被害人所購買的點數,分別被儲值於好幾個會員帳號內,也就表示有好幾個不同的人頭,仍是由第一筆人頭戶籍地警察機關統一偵辦)
末結
這一支台灣大哥大自有品牌手機「Amazing A32」,會深入50至70歲年齡層的原因,最關鍵的應該是價格低廉。這個年齡層的人,普遍對於網路、科技的認識較少,會申辦手機單純是為了聯絡方便,而非貪求科技時尚。因此會選擇低價位手機,甚至是搭配門號的0元手機,只求撥、接功能,不求其他。
我們很難想像,中國的軟體設計端,究竟是為了什麼目的而實施這種卑劣的行為?難道真的只是要詐取財物嗎?誰能相信除了竊取手機門號創造人頭,沒有其他的隱私資料蒐集?這時候,我反而覺得被騙走的幾千、幾萬元遊戲點數都不算大事,對我而言,個人隱私永遠是無價的。
總之,台灣大哥大已經宣布全面召回「Amazing A32」機種,進行作業系統V2.0版本更新,並聲明負責Amazing系列手機設計、生產、製造及送驗檢測的台灣廠商「力平國際」,僅有「Amazing A32」機種委由中國廠商華瓏公司代工,才會產生資安事件,其他機種沒有這個疑慮。
我認為即使台灣大哥大這般力求止血、減少損失規模,其自有品牌仍然會受到嚴峻的市場挑戰。除此之外,可想而知的是後續的法律訴訟──風波,或許才正要襲捲。
本文經《方格子》授權轉載,原文發表於此
責任編輯:朱家儀
核稿編輯:翁世航