當詐騙集團與駭客集團合作,不只是企業,每個人都必須要提高警覺!

我接到一通詐騙電話,重點是對方知道我在實體店家買了什麼東西!

前天我有接到詐騙電話說是某店家的人員(來電號碼是0229533319),還知道我曾去過該店家買過什麼商品(一條快乾毛巾),後來我聽對方講了一堆之後,直接告訴對方不要再做詐騙了,對方立刻就掛電話…

我是和老婆去位於百貨公司裡的實體店家購買該商品,而且還有買了枕頭等其它商品,使用信用卡付費,所以當時我猜測,交易個資外洩只有兩個可能:該店家和刷卡銀行!

但刷卡銀行比較不會知道完整的明細,而且交易金額不大、不會打來問,而且我還有買枕頭等其它商品,所以我個人認為是店家公司被駭客入侵、造成交易資料外洩,然後再由詐騙人員接手進行詐騙…

後來我向店家反應,店家有回覆我,說是他們委外的ERP廠商被駭,導致客戶資料和交易資料外洩,連其它有使用該家ERP系統的店家也都有客戶接到詐騙電話…

上圖是受害店家的公告

雖然店家也是受害者,但消費者是因為去店家購買商品才接到詐騙電話,而且是實體店家,自然消費者會認為是店家要負責保護好客戶的個資,若有消費者因此而被詐騙,店家也必須負起相關責任!

不論有沒有經營電商,企業都必須要重視資安

從這次我親身遭遇的實際例子來說,駭客集團入侵ERP系統廠商,取得了ERP系統重要的消費者個資和交易資料,然後再由詐騙集團進行詐騙,這代表未來的詐騙會更難防,因為他們能知道實際的交易細節,來取得消費者的初步信任,進而提高詐騙的成功機率!
 
像是10月份也有在xx影城的消費者就是因此而被詐騙了一百多萬,只是我不知道這個案例是否也是使用了委外的ERP系統而造成消費者資料外洩,對消費者來說,他們會直接要求店家賠償,而不是店家委外的系統廠商。
 
現在駭客的攻擊目標除了單一的電商網站、企業之外,也已經鎖定上游的各種供應商,尤其是軟體相關的開發商,像是ERP、CRM、POS等等更是匯集了各種店家和消費者的實際交易資料,一旦這些系統開發商被入侵,外洩的資料會造成多少消費者被詐騙實在令人不敢想像~
 
所以不要以為不經營電子商務就不用擔心資安,現在只要是開公司就都要重視資安,不然可能被入侵之後就賠不完了!

社交工程攻擊原本就很難防禦,一旦結合駭客攻擊將更難防!

駭客攻擊手法中有種社會工程學攻擊(SET,Social-Engineer Toolkit),一般我們簡稱為社交工程攻擊,主要就是利用人性的弱點來騙取重要的資訊,例如個人個資和帳號密碼等,甚至有結合AI語音來成功騙取到企業財務人員匯款的案例…

而詐騙集團原本就是社交工程攻擊的高手,很會利用各種話術和手法來騙人去匯款、轉帳,經常會利用各種社群平台來進行詐騙,像是Line、FB等等~

而從目前的詐騙事件看來,詐騙集團很明顯的開始利用駭客技術來取得消費者實際的交易記錄和個資,利用這些實際交易的記錄來取得受害者的初部信任,進而再用各種話術進行詐騙,沒有戒心的人實在很難防範!

個人只要把握住這個原則應該就可以避免被騙:
只要在電話/電子郵件中談到和錢有關的事,就不要理它!

若是真的有信用卡被盜刷、多刷等問題,可以直接去店家或銀行問清楚,不要在電話中確認,因為很有可能你打去的電話也是詐騙集團接到的。