最近,臺灣爆發多起愛心捐款協會因個資外洩引發詐騙案件,刑事警察局指出,至8月16日止,已有至少35個愛心協會,因委託同一資訊服務商遭遇此事,受害規模比月初更擴大。而這家也是苦主之一的關鍵廠商,經我們追查,就是負責提供捐款系統公司的網軟科技(intersoft)。

面對這次的網路攻擊事件,該公司坦言,已委請資安業者協助,清查並強化資安,執法機關也在持續調查,同時他們也持續通知客戶,也就是通知相關愛心協會,將遭駭客攻擊一事告知其客戶,同時,請這些愛心機構向捐款民眾示警,呼籲大家要小心不斷翻新的ATM相關詐騙話術,並注意信用卡盜刷問題。

警方調查出現大量冒名多個愛心協會的詐騙,對方已掌握詳細捐款資訊

在8月5日,刑事警察局發出詐騙活動的預警,引發全國關注。因為在7月26日到8月1日這一週內,165反詐騙專線統計受理的解除分期付款詐騙案中,有27件的通報對象,竟然不是長年名列其中的電商平臺,而是民眾做愛心的慈善捐款協會遭到冒名,警方並指出,詐騙方掌握了捐款人姓名、電話、捐款金額等資料,藉此取信被害人。

當時遭到冒名的慈善機構有6家,刑事警察局股長洪國倫表示,這些愛心協會都委託同一資訊服務商,因此,他們的研發科,以及相關的系統廠商仍在調查與釐清相關資訊。而到了8月16日,我們聯繫警方,請他們提供最新統計數據,此時,冒名愛心協會的詐騙已經增至35家以上。

這樣的大規模愛心協會資料外洩狀況,我們在網路上也看到相關討論。例如,有網友在社群網站Plurk當中指出,相關機構的資訊服務商是網軟,他們有200多家基金會客戶,因此,整體的資料外洩情形可能比之前曝光的更嚴重;而我們也看了很多機構的社群網站,也發現網軟的相關消息,例如,「迦南身心障礙養護院」的臉書粉絲專頁上,張貼了來自網軟公司的資安事件通知。當我們查詢網軟這家公司時,恰巧,他們在官方網站上也有公布刑事警察局的防詐騙宣導。因此,我們聯繫網軟,以確認此資安事件的狀況,也了解他們在這起事件面臨的問題,以及造成的影響。

影響家數尚未有確切資訊,近期網軟向這些愛心協會通知其資安事件因應措施

其實,網軟是提供非營利組織(NPO)資訊服務的業者,包含捐款管理系統、線上金流整合、會員與志工管理系統等。

而網軟發生的這起資料外洩事件,的確與上述許多慈善機構捐款個資外洩有極大關連。但是,我們在網軟官方網站上,並未看到他們發布伺服器遭駭或資料外洩相關事件的公告,因此難以得知,到底有多少家愛心協會受影響?以及是否有調查結果?

對於近期多家愛心協會遭遇資料外洩,以及網軟向其客戶通知資安事件一事,經我們向網軟詢問後,他們表示,已委請資安廠商協助清查網路攻擊,並檢視現有的基礎架構,強化網路安全與資料安全,法務部調查局也提供協助,同時他們也配合主管機關調查。網軟表示,將等調查結果出爐,再一併說明。換言之,他們目前並無法提供確切資訊。

因此,這次資安事件的入侵方式也還沒有具體答案,不確定是網路攻擊者直接入侵網軟,或是入侵某一基金會後再入侵捐款系統。

特別的是,由於我們在網路上已看到,兩封由網軟寄送給愛心協會的通知郵件內容,因此我們也向網軟確認其真實性。網軟表示,這些內容確實都是他們寄給愛心協會的通知信,告知已遭駭客攻擊與相關因應。

在網軟對愛心協會的通知郵件中,顯示該公司在8月初已告知客戶(相關愛心協會)網軟捐款系統遭駭客攻擊,並提到已封鎖可疑IP位址,限制具風險性的功能。

而另一封網軟的通知信中,則在8月中旬說明了這次資安事件的應變現況。

例如,除了尋求資安業者提供顧問服務,他們也委請資策會資安科技研究所協助主機相關設定,並建置即時監控系統,偵測網路異常與告警機制;並提到該公司已強化捐款系統的用戶帳號登入安全。包括採取限定IP位址登入,並增加圖形認證與雙因素驗證,以避免外部人員竊取帳號密碼入侵。此外,網軟也提及將持續進行機敏資料加密。

而網軟也向我們說明,過去有些用戶可能設定長度不足又簡單的弱密碼,因此他們現在也提醒用戶,要注意密碼設定問題,而網軟也在系統上新增了雙因素驗證機制,讓用戶可搭配簡訊OTP來驗證,強化系統登入安全。

從上述這些資安強化內容來看,網軟系統在基礎資安防護上,似乎過去仍有一些不足之處,例如系統登入相當缺乏安全防護機制。儘管該業者主要服務的對象是非營利組織,但攻擊者顯然並未因此放過他們,而這樣的資安事件,不僅是對於其他慈善組織,以及這類型的資訊服務商,對雙方都是一個警惕,也突顯任何使用資訊與IT技術的各類型企業與組織,都需要同時考量到資安。

另外,由於網軟至今並未對外公告發生資安事件,因此這次資安事件的影響範圍,仍令外界感到憂心。是否只有捐款系統發生資料外洩情況?畢竟,我們從該公司網站公開的案例,可以看到他們的客戶,不只是多個愛心協會,像是在線上金流整合服務中,屏東縣政府也是其客戶,因此,是否各產品服務的所有客戶,都受此次資安事件影響,遭遇資料外洩情形,勢必也都要有所清查。

在網軟官方網站上,已在8月3日發布刑事警察局的反詐騙宣導,但至今還沒有對外公布遭駭客攻擊與資料外洩的資安事件。該業者的產品包括:NPO整合平臺、捐款管理系統、線上金流整合,以及志工、個案與會員管理系統等多項。

近期已有許多愛心機構緊急發布反詐騙宣導,少數機構則說明是社福組織使用的捐款系統廠商遭駭,而在「迦南身心障礙養護院的臉書粉絲專頁」上,傳達了他們接獲網軟公司的資安事件通知,當中指出要他們提醒捐款人小心詐騙,並說明該公司現有的資安事件應變措施。(圖片來源:擷取自各愛心協會臉書粉絲專頁)

對於相關愛心協會的捐款民眾而言,當心假冒其名義的詐騙,並注意信用卡盜刷風險

另一方面,為了因應捐款資料外洩可能衍生的風險,包括ATM相關詐騙與信用卡盜刷,網軟也向相關愛心協會發布通知,請他們務必通知捐款人注意。

對於使用信用卡捐款的民眾,需注意盜刷風險。雖然海外盜刷方面其實收單銀行自行就可能偵測到並阻擋,但民眾自身還是要留意不明刷卡記錄,一旦發現,應儘速向銀行反應,通常待銀行查證屬實後,消費者無須負擔被盜刷的費用。網軟指出,銀行端會幫助留意盜刷之外,但從目前詐騙現況來看,最不容易被追回詐騙款項的管道,還是ATM操作,還有臨櫃匯款或網路銀行轉帳。因此他們也呼籲相關愛心協會需儘速向捐款人通知,而網軟也會協助機構發送防詐騙簡訊與電子郵件。

還要注意的是,詐騙集團會不斷翻新詐騙話術,也會改趁民眾無法確認的時間來詐騙。例如,網軟表示,近期詐騙集團假冒愛心協會客服人員,就開始利用愛心協會遭駭的消息,再向捐款人騙稱需核對個資與信用卡資料,進而騙取相關資訊;另外,近期國內媒體揭露鎮瀾兒童家園均款人遭詐騙,也運用新的手法:詐騙集團利用協會下班時間,趁著晚上打給捐款人。

對於各愛心協會的因應情形,網軟也提到相關現況。基本上,大多數協會都很積極通知捐款人,因為這些協會可能已經接獲相當多起民眾詢問。不過他們提醒,詐騙集團可能一波一波發動詐騙,因此要持續提醒民眾。

但也有愛心協會仍害怕向民眾宣導,因為這樣可能讓民眾變得不敢捐款。然而,捐款個資外洩情形已經發生,坦然面對更重要。畢竟,已有受害機構工作人員表示,許多捐款民眾通報接到冒用機構名義來電的詐騙,且對方能夠說出捐款日期、捐款者姓名或名義,以及捐款方式等。若捐款民眾不知道狀況,帶來的衝擊與影響其實是更大。

在8月初,刑事警察局發出詐騙活動的預警,引發高度關注,因為165反詐騙專線受理的解除分期付款詐騙案中,有27件的通報對象竟然是民眾做愛心的慈善捐款協會遭到冒名,警方並指出,詐騙方掌握了捐款人姓名、電話、捐款金額等資料,藉此取信被害人。最初民眾通報的對象,包括「台灣樂作創益協會」、「中華育幼機構兒童關懷協會」、「弘化同心共濟會」、「臺灣防盲基金會」、「中華民國兒童癌症基金會」,以及「愛盲基金會」等。接下來,月初出現多起通報的還有「育成社會福利基金會」、「第一社會福利基金會」、「沐風關懷協會」、「微客公益行動協會」與「導盲犬協會」,到了8月中旬(至16日止),警方統計,已經多達35家假冒這類的愛心慈善協會的詐騙,當時接獲超過120件民眾報案,財損更是超過1600萬元。後續,國內媒體報導相關詐騙案的還有,假冒「大甲鎮瀾兒童家園」、「花蓮黎明教養院」、「迦南身心障礙養護院」、「聯合勸募」等。

【8月26日更新資訊】

儘管網軟透露有限,是否還有更多可供外界參考的資訊?由於「迦南身心障礙養護院」的臉書粉絲專頁有揭露網軟發出的資安事件通知,因此,我們也進一步瞭解情況。該機構表示,迦南本身是在7月28日開始接到捐款者詢問的電話,得知有冒名詐騙的情況,且對方掌握民眾的捐款資訊,因此,迦南在7月29日向網軟反應問題。7月30日,網軟回應表示可能是迦南的內網不安全。

顯然,網軟在7月底一開始還沒有意識到問題。到了8月2日,網軟則聯繫迦南,表示要幫忙寄送防詐騙宣導簡訊,然後8月3日向他們表示遭駭客入侵。這段期間,應該是刑事警察局已經接獲大量愛心協會詐騙案,聯繫網軟後才有接下來的應變。之後,網軟每隔幾天開始向協會發出通知信,說明當前狀況及因應措施。

除此之外,不具名資安專家表示,從網軟與NPO客戶信件往來的內容,推測該公司的服務可能被上傳惡意程式,也就是基本的上傳漏洞(File Upload),使得攻擊者可以控制伺服器或撈取資料庫原始碼等。不過,這是從有限資訊中的側面推測,詳情還是要等刑事警察局或網軟來說明。

這起事件持續危害持續擴大,在8月26日,國民黨立委林奕華與民進黨立委邱泰源聯合多個社福團體召開「公益有愛 避免受害」記者會,包括「中華民國兒童癌症基金會」、「中華民國心臟病兒童基金會」、「瑞信兒童醫療基金會」與「台大兒童健康基金會」出席,共同呼籲捐款人留意詐騙訊息勿上當。林奕華也表示,這次記者會其實有邀請該資訊業者,但很遺憾他們並未出席說明。(圖片來源:擷取自立法委員林奕華臉書直播影片)


熱門新聞

Advertisement