电信线上申办简易遭网络犯罪利用，自动扣缴直接盗取民众存款，警方表示多达160人受害

自台湾疫情升至三级警戒以来，不只是网络个资诈骗事件呈现倍增趋势，各大电信业者推动的线上申办业务，竟也成为不肖份子申办人头门号的捷径。刑事警察局在7月23日宣布侦破一起网络犯罪事件，逮捕9名嫌犯，其手法是利用民众对于网络诈骗缺乏资安意识，以及各家电信业者线上门号申办业务身份审查机制的不足，之后再借由小额付款买点数转售牟利，目前有160人受害，并有单一受害者损失48万元的情形。

嫌犯采用网络钓鱼手法，骗取民众证件

根据刑事警察局的调查，这些嫌犯先取得了被害人的银行账号、身份证等识别资料，再利用这些个人身份文件，到其他电信业者线上门号申办服务，而对于这样的身份冒用行为，电信业者并没有发现异状，仅审查身份证号与换发日期即通过认证，之后便寄发SIM卡，透过物流业者让申请者至指定超商取件。

接下来，这些犯案者便可透过取得的冒用电信门号，利用电信小额付费机制，购买Google Play、Apple App Store等虚拟点数，再转售予不知情民众以牟利变现。

警方之所以侦办这起案件，是因为在2020年6月接获报案，有民众表示银行存款遭不明扣款购买游戏点数，事后发现，原来是证件遭他人伪造申办人头门号，因此电信侦查大队与新竹市警察局第一分局共组专案小组，循线扩大追查。而这项调查结果显示，被害人数超过160人，并造成200多万元的财物损失，而警方也查获张姓主嫌、许姓游戏点数商共9人。

其实，这起事件在不少环节上，都有值得重视的资安议题，包括嫌犯如何取得民众证件，以及电信线上门号申办漏洞是否普遍情形等。为此，我们联系到刑事警察局电信侦察大队队长庄明雄，想进一步了解细节。

他表示，坊间有很多钓鱼网站，包括假投资网站、求职或中奖网站，假借各种名义骗取民众提供双证件与银行账号的照片，例如，中奖需要核对身份与汇款账户等才能兑奖，因此骗取到民众拍摄的彩色证件照片画面。

庄明雄并指出，自从疫情开始，特别是最近三级警戒后，他们发现钓鱼网站有倍增的迹象。

对于普遍民众而言，因资安意识不足而误信钓鱼网站，而且在提供敏感个人资讯与证件时，没有再三确认对方身份，是这起事件最初的问题。

当然，民众还要注意的面向很多。例如，有人会拍摄证件并上传云端硬盘，过去警方曾侦破民众Google账户密码设定得不够安全，而被尝试破解成功的事件，导致云端硬盘被看光光，自己拍摄的证件照片也会被他人取得；此外，台湾有很多业务需要双证件临柜办理，但为了大家方便，也出现代办业者提供服务，造成更多证件资讯外流的风险。

刑事警察局电信侦查大队第一队与新竹市警察局第一分局，在7月16日宣布查获9名嫌犯，以及手机、SIM卡及云端硬盘资料（民众双证件及金融账户影本）等电磁纪录，指出张姓主嫌取得被害人银行账号、身份证等证件，然后以伪造证件上传各电信业者线上门市，值得注意的是，由于业者仅审查身份证号及换发日期，致犯嫌顺利通过认证，之后，冒名的嫌犯到指定超商取件获得SIM卡，再透过电信小额付费诈买GooglePlay、AppleStore虚拟点数，并转售予不知情民众牟利变现。

线上申办身份查核程序有机可乘，若交由超商取件也有瑕疵

关于这次线上申办门号漏洞的情形，庄明雄表示，从这次嫌犯的申办结果来看，各大电信业者都存在这样的情形，在线上申请的身份审核时，只检查身份证号与换发日期，使得嫌犯持假冒身份证件上传，就能冒名并取得SIM卡。

在此同时，由于手机门号已成为民众身份识别重要条件之一，关于这类线上申办门号的漏洞，值得国内重视。

举例来说，近年国际发生许多SIM卡劫持事件，有不肖份子假冒用户名义，向电信公司谎称SIM卡遗失，因此对方可先购买空白SIM卡方式，再透过电话与电信业者客服核对身份后，就能将原用户的电话号码，转换至不肖分子持有的空白SIM卡。当时，我们曾询问资安专家为何台湾不常见到这类事件，他们表示，主要是台湾SIM卡遗失，通常会本人持双证件至电信门市办理。

若真如此，按理来说，这次事件应该很难发生。庄明雄表示，疫情升温，现在电信业者也顺应潮流，加大推动线上申办的力道，并给予比临柜办理更优惠的方案，而发生了这样的事件，也等于是因为疫情而带来另一种资安冲击。

不过，本次事件还有一个更关键的部分，值得关注，那就是：电信业的银行账户自动扣缴。庄明雄表示，有一受害人因存款较多，直到被扣款达48万元，才发现自己的银行账户，出现非自己所用电信公司的扣款活动。

毕竟人头账户与利用小额付款机制早有不少，但这次嫌犯还会骗取银行账户，并利用电信业者提供的线上申办自动扣缴，相当少见。

电信缴费设定自动扣款真有如此容易？若是经由传统的纸本申请，通常银行收到顾客在电信业的委托，应该是要核对客户印鉴；但如果是线上立即申请，在电信业与金融业者之间的线上审查，似乎仍不够严谨。而在本起存款盗领事件里面，是否因为这些业者的身份认证机制相对简易，又彼此互信，才使得嫌犯有机可乘，单一受害者的金额也较大，相关细节有待厘清。

不仅如此，这次事件还有其他环节同样出现身份验证问题。例如，透过物流管道进行的顾客身份验证，也可能有资安破口，庄明雄表示，这次嫌犯使用超商取件方式，领取手机门号SIM卡，但超商店员在进行交货时，可能只是稍微看一眼对方的证件（或者没看），就完成确认，这是另一破口。

以往有业者采行的作法，是要求配合的物流公司人员，宅配到府时必须检查收件人双证件，才能让消费者领取SIM卡并缴交申请书寄回，而现在的电信业者提供了超商取货的身份验证方式，看似方便，但过程中能否落实相关的要求，可能会是问题——我们无法要求工作任务繁多的超商店员，都能做到详细的查核。

对于这次电信业在线上申办方面的漏洞，庄明雄认为，目前电信业尚未提出很好的因应方式，至于民众受到的损失，他表示会由电信业者吸收。但是，这已产生更多的金融秩序干扰，以及耗费社会成本。

因此警方也提醒，电信门号已具备类实名角色，电信业者审查机制若出现漏洞，易遭人利用施行诈骗，同时也呼吁民众，勿听信来路不明的假求职、假中奖等情节，更不可擅自将个人证件、银行存折提供给第三人，避免银行账号遭盗用，以及善用165管道查证。

无论如何，利用电信小额付费机制的诈骗手法，多年以来一直都存在，这次事件却出现大规模受害者，让人意外，但也突显出几个资安议题，像是前面提到的线上申办的身份查核漏洞，线上申办自动扣缴的审查机制，以及远距领取手机门号SIM卡的过程，可能都需要更严谨的作法或配套来因应。

同时，还有配套的权限差异议题，例如，有金融业的作法，在线上申办数位账户的权限上，资金只进不出，或仅限定本人账户转账，有别于临柜申办银行账户的权限，对于线上申办的权限是否需限缩，这些也都值得相关单位与各界重视。