LINE是全臺最大的通訊平臺，用戶數超過2千2百萬人，LINE帳號成了詐騙集團鎖定的犯案工具。

LINE臺灣資安長劉威成指出，分析過去案件發現，許多帳號盜用發生在LINE平臺外的環境。為了偵測LINE帳號遭到外部網路釣魚鎖定的情況，LINE從2023年開始監控網路廣告上的投資詐騙，2024年則轉向分析釣魚網站，尤其深入研究2024年最常發生的投票釣魚。

為了阻止使用者帳號遭到盜用，LINE每天會偵測網路上的廣告內容，是否意圖誘導使用者加入LINE帳號。發現了這類廣告後，LINE就會通報廣告平臺來檢舉。每一天掃描的網路廣告連結數量超過百萬個。

2024年，在政府強力要求下，一些平臺商配合下架了大量投資型廣告，詐騙集團便開始改變竊取帳號的手法，轉向了「釣魚」廣告，其中一種常見的盜取帳號手法就是投票釣魚。

2024年投票釣魚手法暴增，帳號遭盜通報數量是2023的5.5倍

投票釣魚手法是，詐騙集團舉辦各式各樣的假投票活動，像是抗癌活動醫生票選，選美比賽票選、台灣旅遊活動票選、小孩舞蹈比賽票選，新人活動票選等，提供連結要求民眾參加，民眾若不疑有他點開連結，就進一步要求民眾用LINE帳號登入來投票，詐騙集團會開始透過種種社交工程的話術，來誘騙民眾會收到「投票驗證碼」，提供驗證碼給投票釣魚網站後，就可以完成投票，但其實，這組驗證碼是LINE帳號轉移的驗證碼。

當受騙民眾提供了驗證碼，就等於無意間將自己的帳號控制權，授權到另一臺詐騙集團控制的手機，詐騙集團再進一步變更這個帳號的帳密，導致原始用戶無法用原本的帳密或手機登入，詐騙集團透過這樣的手法，來取得所竊取帳號的控制權。

這是2024年最常見的投票釣魚手法，不少人因為這個活動連結來自親友分享，而點開了釣魚投票而上當。根據LINE臺灣統計，民眾來通報自己帳號遭到盜用與網路詐騙的數量，在2024年足足是2023年的5.5倍，其中大宗就是投票釣魚手法。

LINE主要透過用戶檢舉，來找出可能遭詐騙集團濫用的帳號。由於檢舉量龐大，一方面透過機器學習分析檢舉內容特徵，另一方面也搭配人工檢視，綜合判斷哪些帳號有高度可疑。

可是，就算找到了可疑帳號，LINE也無法直接給予停權。因為消費者保護的《通訊軟體定型化契約應記載與不得記載事項》規定，除非有犯罪行為，甚至得先通知帳號當事人改善而沒有改善的情況下，才能給予帳號停權。就算是高度可疑的帳號，LINE還是得通知這個帳號的當事人，給予對方說明。

從2023年5月到2024年10月底，一年半來，LINE最後只處置了1萬1千多個涉詐帳號，疑似詐騙帳號的使用者經常辯解說，自己只是分享投資經驗而沒有犯罪，來避免帳號遭到停權，LINE當時也無權直接關閉這些帳號，直到打詐新四法通過，才能多了一種管道，在相關執法機關要求下直接停權。

換角度思考如何打詐？LINE從提高帳號竊取難度下手

2024年，授權投票釣魚通報事件頻傳，詐騙集團非常猖獗，為了減少這類帳號社交攻擊，LINE思考換一個角度來，思考能不能提高詐騙集團竊取帳號的難度，來降低民眾受害的情況。
但是，真正的困難是，一方面要阻止詐騙集團，另一方面還不能影響到正常的用戶，LINE對授權投票釣魚的運作，進行了系統性的研究，繪製出一個架構圖，來呈現出使用者遭誘騙點擊了投票釣魚網站後，到詐騙集團引誘取得使用者轉移帳號的過程。

劉威成解釋，繪製出授權投票釣魚的運作流程圖，才能找到最有效的攔截點。

在這張授權投票釣魚運作架構中，使用者拿到的釣魚投票連結網址，來自某些域名商提供的網址，打開連結後，會將使用者導向部署在網站代管業者上的釣魚網站伺服器。設計成投票活動的釣魚網頁，要求使用者先登入LINE帳號才能投票，使用者不疑有他開始進行登入授權作業，輸入LINE帳號密碼，這時候詐騙集團的釣魚網站取得這組帳號密碼後，會用話術告訴使用者，等等會收到登入驗證的簡訊。

其實，釣魚網站暗中用這組使用者輸入的帳密，轉而登入LINE帳號驗證伺服器，不是要求登入，而是偽裝成使用民眾，要求進行帳號轉移，轉移到另一隻詐騙集團的手機上。

為了轉移帳號，除了帳號密碼，LINE還會啟動雙因素驗證，透過簡訊來進行第二道驗證。此時，LINE帳號伺服器會發送簡訊到使用者本人的手機上，希望本人來驗證。但是，釣魚網站事先透過話術來說服使用者，這個驗證是為了「登入」，使用者不知道其實自己是在進行「帳號轉移」的行為。

因為所有與帳號轉移的說明，都在釣魚網站背後進行，提供帳號的使用者，以為自己是為了投票而驗證，殊不知這是為了轉移帳號的竊取行為。

所以，使用者不疑有他的輸入驗證碼到釣魚網頁，詐騙集團取得這組驗證碼，就用來通過帳號轉移的雙因素驗證程序（密碼與簡訊驗證），成功將使用者帳號轉移到另一隻手機上。

LINE所調查出來的這個授權投票釣魚流程，詐騙集團用的是正確的帳號密碼，也獲得雙因素驗證的簡訊驗證碼，看起來就像是合法的使用者帳號轉移過程。直到使用者發現自己的帳號被盜取，提出了檢舉通報。

從授權釣魚流程架構來看，涉及多方合法中間業者

從這個授權釣魚運作流程來看，涉及的中間業者非常多，包括了合法的網域域名商、網站代管業者、甚至也有合法的CDN服務業者來分散流程，中間可能還有用來接受簡訊處理的業者，這些業者都以為自己處理的是正常、合法的內容，殊不知已經淪為詐騙產業鏈的一環。

LINE一開始也是採取檢舉釣魚網站的做法，但後來發現，找到的釣魚網址越來越多，無法有效阻止詐騙集團的釣魚行為。其中，高達7成釣魚網站連結域名，來自同一個新加坡的域名商，因為在GDPR實施之後，域名商需要提供更透明化的資訊，LINE會監控這些可疑的域名，只要掛上網站，發現是與盜用LINE帳號有相關的釣魚網頁，就可以向域名商或CDN業者提出檢舉，要求下架。

根據LINE觀察，一個釣魚網站域名，大概只存活約一天就會換新，改用別的網址來釣魚。域名商對於有顧客購買域名，沒有太大限制，詐騙集團可以購買、取得大量域名，用來釣魚。

雖然購買網域和代管主機都很簡單，但是切換網域名稱只需要幾秒鐘，而切換釣魚網頁主機，需要實際搬遷主機伺服器，相較比較花時間，因此，詐騙集團雖然會不斷更換新的釣魚域名，但是背後的釣魚網頁伺服器，更換的頻率很低。

釣魚網站主機IP特性和網頁程式碼客製化特徵，成為偵測關鍵

而這些釣魚網頁所在的主機，需要有實體IP才能對應到域名。LINE發現所監測的釣魚網站主機，來自香港特定業者，而代管主機所用的IP位址，來自同一批某家域名廠商倒閉後釋出的非洲IP，這就成了LINE用來偵測詐騙集團的其中一項特徵。

不只根據IP和域名，從所監測的釣魚網頁HTML程式碼內容來分析，同一個釣魚IP會產生不同的釣魚網頁，甚至是不只是LINE授權釣魚，也有電商、物流等其他臺灣知名服務的釣魚網頁，這些釣魚網頁有一些共同的程式碼特徵。來自特定的釣魚網頁設計工具（Phishing Kit ）或來自類似暗網釣魚網頁設計服務的成品。

LINE每天會監控上百萬的可疑網址，只要從網址所對應的網頁的程式碼和錯誤代碼訊息，若有釣魚網頁設計工具的特徵，就可以很快的判斷出這是不是一個釣魚網頁。

除了釣魚網站之外，在這個授權釣魚流程中，還有一個重要環節是用來取得移轉後帳號的手機裝置，詐騙集團要取得帳號，自己手上也得有一個用來移轉帳號的裝置，早期，詐騙集團使用虛擬機器來模擬用戶手機環境來註冊，後來，LINE發現了這個行為後，阻擋了透過虛擬機器的申請，迫使詐騙集團開始購買真實手機來接受帳號轉移。

根據LINE的觀察，用來申請可疑帳號移轉用的手機，從過去的虛擬機器模擬，曾有一度改用安卓手機，到了現在，詐騙集團主要使用最新款的iPhone手機來申請移轉，來避開LINE對於VM申請作業的管制。

從釣魚網域的檢舉、釣魚網站可疑IP的辨識、海外帳號移轉申請的複雜化、虛擬機器模擬用戶的管制，LINE採取了多種做法，與詐騙集團展開了多次的攻防。

其中，根據LINE的研究，從申請帳號移轉的來源路徑下手最有效。所以，LINE陸續累積出一套涵蓋帳號盜用事前、事中和事後的防範機制。

LINE如何從事前、事中、事後來追蹤，與詐騙集團攻防

事前，LINE會持續每天掃描可疑網址，找出釣魚網域，向相關單位通報來下架之外，更關鍵的做法就是，禁止海外IP位址，透過簡訊進行臺灣帳號的移轉，只開放臺灣IP位址，也強化簡訊提醒使用者。
截至目前，LINE持續每天掃描超過百萬筆網址，來偵測冒用LINE名義的釣魚網站，快速通報相關窗口。

像是透過國際反釣魚組織通報機制來下架釣魚網域，或是主動通報主機代管業者來下架釣魚網站所在的伺服器或網域，LINE也會通報給Google列入Chrome瀏覽器的攔阻清單，還會與在地TWNIC、三大電信業者合作交換這些抗詐情資。

兩年來與釣魚網站的對抗中，LINE累計下架超過了1,000 個釣魚網域，偵測 釣魚網域到下架的時間，從原本平均長達一周的時間，現在可以縮短到只要24 小時，就可以完成。

在事中的防範對策，則是LINE也針對剛移轉的帳號，禁止短期內變更使用者資訊，避免盜用者變更密碼。只要使用者發現自己的帳號，出現了其他裝置的授權使用，在還沒有登出這次的LINE帳號連線前及時發現，還是有機會搶回自己的帳號，移除掉詐騙集團的可疑裝置。

若是不幸已經遭到盜用，LINE也在移轉帳號的驗證碼簡訊中，增加了申請帳號移轉的IP資訊，一旦發現遭到盜用，可快速提供警方調查之用。

因為詐騙集團的帳號移轉申請，大多來自境外IP，因此，LINE提高了海外帳號轉移申請的困難度，不過，詐騙集團後來轉而改用臺灣IP來申請，他們想辦法取得臺灣IP，將部分基礎架構轉移到臺灣來取得臺灣IP，用來竊取LINE帳號之用。

雖然提高海外IP帳號移轉難度的做法，無法有效杜絕帳號竊取，但的確提高了詐騙集團的困難度，迫使他們留下了可供臺灣執法機關有權追蹤的痕跡。遭到帳號盜用的受害用戶，可以向執法單位直接提供自己手機驗證簡訊中的臺灣IP資訊，讓執法單位可以快速展現公權力，不像過去的境外IP難以跨海追人。

詐騙集團系統化發展，甚至彷彿有組專門資訊團隊

根據劉威成的觀察，詐騙集團的釣魚攻擊運作，比想像中更有系統性。

像是釣魚網頁的上架，似乎有一組詐騙集團資訊團隊，每天早上9點開始頻繁地上架各種釣魚網頁，到晚上10點才停止上架，就連周末也要上班，但是比較早，下午一點左右就停止釣魚網站上架的情況，週日上架情況更少。劉威成形容，就好像是種996上班的模式，這也凸顯出詐騙集團背後的系統化發展。

從過往刑事局屢屢揭露的詐騙活動也可以看到詐騙集團越來越高度複雜化，LINE帳號竊取只是整個詐騙集團釣魚作業其中一環的末端作業，還有詐騙金流、詐騙資訊流等詐騙環節。
從LINE所繪製的授權投票釣魚的運作流程圖，更可以看到，光是要對抗這樣的釣魚活動，還需要不同平臺，不同業者，例如域名商，代管主機商、電信業者等，從上、中、下游來聯手。

「如何找到更多聯手打詐的協力夥伴，正是LINE努力的新目標。」劉威成強調。