方格精選

廉價手機的資安漏洞：檢視你或身邊的人的手機是不是「它」

律羲和

更新於 2021/01/13發佈於 2021/01/08閱讀時間約 4 分鐘

人頭門號的詐欺案件在近1年來發生得特別多，之前沒敢說出來是因為有所顧慮，畢竟是涉及大型電信企業，而且有待官方的證實。現在既然新聞都已經公開了，那我就談談這件事吧。

詐欺案件的模式

被害人A被詐騙後，去超商購買GASH遊戲點數，經過警察向GASH (樂點股份有限公司）調取資料，發現這些GASH點數被儲值於１個或數個GASH會員帳號內，而這些會員帳號都有綁定１個手機門號，這便是通知這些手機門號申請人到案說明的原因。

這類案件剛開始萌生時，即使是對於手機、網路或科技知識都相對充足的人來說，也很難理解背後的詐欺集團是如何利用別人的手機門號進行認證的，且做得神不知鬼不覺，包括我。

第一、按照GASH公司表示，註冊會員所登記之手機門號，都必須由官方寄發驗證簡訊，並在註冊頁面上輸入簡訊中所顯示的驗證碼，才算完成註冊。但詐欺集團是如何取得這封簡訊的？
第二、人頭門號的通聯，確實顯示有收到GASH官方的驗證簡訊，但當這些人（以下內文統稱「人頭」）帶著手機應詢時，手機內完全沒有簡訊資料，為什麼？（很多人甚至連簡訊是什麼都不知道，更遑論他們去刪除簡訊）

近幾個月，警察內部才有消息指出這種犯罪手法，可能和人頭所使用的手機型號有關，但也僅限是依據統計的臆測，沒有確鑿的消息去證實，要求我們在製作筆錄時，加上詢問其手機廠牌及型號的問句。

詢問過幾個懵懵懂懂、摸不著頭緒的人頭後，我發現這些人持用的手機，的確都寫著「Taiwan Mobile」，正是這次爆發資安問題的手機，報導中所揭露的手機惡意程式，有將驗證簡訊回傳至詐欺集團、並且事後自動刪除的功能，上述兩個疑問便迎刃而解了。

案例經驗

以我的經驗，這些人收到通知書之後，多半會循著通知書上的聯絡電話打來問，完全不知道自己為什麼會涉及「詐欺」案件，又根據我自己沒有數據化的不負責任統計，這些「人頭門號」的申登人，幾乎都是落在50至70歲之間、對於科技不甚了解、甚至從來沒有使用過除了撥、接電話以外功能的人，他們認為自己只會打電話、接電話，怎麼可能會去註冊什麼遊戲帳號？對此感到大惑不解，有的人一輩子勤勤懇懇、實實在在，收到刑案通知書就彷彿世界塌陷，緊張到寢食難安，我只能在電話中一面希望他們如期到案，一面利用易懂的語言，讓他們知道事情沒那麼嚴重，算是安下他們心中懸著的大石。

由於這種購買GASH點數的詐騙案，是以被害人的戶籍或現住地為管轄機關，但人頭常常都分布在各縣市，又因為這些人頭門號不一定只涉及１個被害人的案件，可能同時好幾個，便必須分別跑好幾個縣市警察機關接受調查。舟車勞頓造成的身體疲累，以及涉及刑案的心理壓力，都讓這些無辜的人受到極大的影響。我能做的，除了言語上讓他們平復心情之外，最實際的大概就是讓他們換掉手機了。
（筆者按：管轄規定今年剛作了修正：以第１筆人頭的戶籍地警察機關為管轄。倘若被害人所購買的點數分別被儲值於好幾個會員帳號內，也就表示有好幾個不同的人頭，仍是由第１筆人頭戶籍地警察機關統一偵辦。）

末結

這一支臺灣大哥大自有品牌手機「Amazing A32」會深入50至70歲年齡層的原因，最關鍵的應該是價格低廉。這個年齡層的人，普遍對於網路、科技的認識較少，會申辦手機單純是為了聯絡方便，而非貪求科技時尚，因此會選擇低價位手機，甚至是搭配門號的0元手機，只求撥、接功能，不求其他。我們很難想像，中國的軟體設計端究竟是為了什麼目的而實施這種卑劣的行為？難道真的只是要詐取財物嗎？誰能相信除了竊取手機門號創造人頭，沒有其他的隱私資料蒐集？這時候，我反而覺得被騙走的幾千、幾萬元遊戲點數都不算大事，對我而言，個人隱私永遠是無價的。

總之，臺灣大哥大已經宣布全面召回「Amazing A32」機種，進行作業系統V2.0版本更新，並聲明負責Amazing 系列手機設計、生產、製造及送驗檢測的臺灣廠商「力平國際」，僅有「Amazing A32」機種委由中國廠商華瓏公司代工，才會產生資安事件，其他機種沒有這個疑慮。我認為即使臺灣大哥大這般力求止血、減少損失規模，其自有品牌仍然會受到嚴峻的市場挑戰，除此之外，可想而知的是後續的法律訴訟──風波，或許才正要襲捲。

為什麼會看到廣告

律羲和的沙龍飄浮的刑警背心那些案件中的人事物

律羲和的沙龍

124會員

54內容數

這個專題裡收錄了筆者自己的職場經驗，以及整體的職場觀察。希望透過這些文章，讓對警察不熟悉的你，能有更深入的理解；讓對警察很熟悉的你，能發自內心地微笑一下。

留言0