廉價手機的資安漏洞:檢視你或身邊的人的手機是不是「它」
人頭門號的詐欺案件在近1年來發生得特別多,之前沒敢說出來是因為有所顧慮,畢竟是涉及大型電信企業,而且有待官方的證實。現在既然新聞都已經公開了,那我就談談這件事吧。
相關報導:
詐欺案件的模式
被害人A被詐騙後,去超商購買GASH遊戲點數,經過警察向GASH (樂點股份有限公司)調取資料,發現這些GASH點數被儲值於1個或數個GASH會員帳號內,而這些會員帳號都有綁定1個手機門號,這便是通知這些手機門號申請人到案說明的原因。
這類案件剛開始萌生時,即使是對於手機、網路或科技知識都相對充足的人來說,也很難理解背後的詐欺集團是如何利用別人的手機門號進行認證的,且做得神不知鬼不覺,包括我。
- 第一、按照GASH公司表示,註冊會員所登記之手機門號,都必須由官方寄發驗證簡訊,並在註冊頁面上輸入簡訊中所顯示的驗證碼,才算完成註冊。但詐欺集團是如何取得這封簡訊的?
- 第二、人頭門號的通聯,確實顯示有收到GASH官方的驗證簡訊,但當這些人(以下內文統稱「人頭」)帶著手機應詢時,手機內完全沒有簡訊資料,為什麼?(很多人甚至連簡訊是什麼都不知道,更遑論他們去刪除簡訊)
近幾個月,警察內部才有消息指出這種犯罪手法,可能和人頭所使用的手機型號有關,但也僅限是依據統計的臆測,沒有確鑿的消息去證實,要求我們在製作筆錄時,加上詢問其手機廠牌及型號的問句。
詢問過幾個懵懵懂懂、摸不著頭緒的人頭後,我發現這些人持用的手機,的確都寫著「Taiwan Mobile」,正是這次爆發資安問題的手機,報導中所揭露的手機惡意程式,有將驗證簡訊回傳至詐欺集團、並且事後自動刪除的功能,上述兩個疑問便迎刃而解了。
案例經驗
以我的經驗,這些人收到通知書之後,多半會循著通知書上的聯絡電話打來問,完全不知道自己為什麼會涉及「詐欺」案件,又根據我自己沒有數據化的不負責任統計,這些「人頭門號」的申登人,幾乎都是落在50至70歲之間、對於科技不甚了解、甚至從來沒有使用過除了撥、接電話以外功能的人,他們認為自己只會打電話、接電話,怎麼可能會去註冊什麼遊戲帳號?對此感到大惑不解,有的人一輩子勤勤懇懇、實實在在,收到刑案通知書就彷彿世界塌陷,緊張到寢食難安,我只能在電話中一面希望他們如期到案,一面利用易懂的語言,讓他們知道事情沒那麼嚴重,算是安下他們心中懸著的大石。
由於這種購買GASH點數的詐騙案,是以被害人的戶籍或現住地為管轄機關,但人頭常常都分布在各縣市,又因為這些人頭門號不一定只涉及1個被害人的案件,可能同時好幾個,便必須分別跑好幾個縣市警察機關接受調查。舟車勞頓造成的身體疲累,以及涉及刑案的心理壓力,都讓這些無辜的人受到極大的影響。我能做的,除了言語上讓他們平復心情之外,最實際的大概就是讓他們換掉手機了。
(筆者按:管轄規定今年剛作了修正:以第1筆人頭的戶籍地警察機關為管轄。倘若被害人所購買的點數分別被儲值於好幾個會員帳號內,也就表示有好幾個不同的人頭,仍是由第1筆人頭戶籍地警察機關統一偵辦。)
末結
這一支臺灣大哥大自有品牌手機「Amazing A32」會深入50至70歲年齡層的原因,最關鍵的應該是價格低廉。這個年齡層的人,普遍對於網路、科技的認識較少,會申辦手機單純是為了聯絡方便,而非貪求科技時尚,因此會選擇低價位手機,甚至是搭配門號的0元手機,只求撥、接功能,不求其他。我們很難想像,中國的軟體設計端究竟是為了什麼目的而實施這種卑劣的行為?難道真的只是要詐取財物嗎?誰能相信除了竊取手機門號創造人頭,沒有其他的隱私資料蒐集?這時候,我反而覺得被騙走的幾千、幾萬元遊戲點數都不算大事,對我而言,個人隱私永遠是無價的。
總之,臺灣大哥大已經宣布全面召回「Amazing A32」機種,進行作業系統V2.0版本更新,並聲明負責Amazing 系列手機設計、生產、製造及送驗檢測的臺灣廠商「力平國際」,僅有「Amazing A32」機種委由中國廠商華瓏公司代工,才會產生資安事件,其他機種沒有這個疑慮。我認為即使臺灣大哥大這般力求止血、減少損失規模,其自有品牌仍然會受到嚴峻的市場挑戰,除此之外,可想而知的是後續的法律訴訟──風波,或許才正要襲捲。
分享至
成為作者繼續創作的動力吧!
