about 3 years ago

前人案例

[爆卦] 簡訊被轉接 手機門號遭小額付款盜刷
2013/10 有網友因為 emome 被盜,簡訊轉接將 839小額付費的密碼轉到對岸信箱,被盜刷了五千元
蘋果新聞版本

今年七月,還是有人被盜,這次是8591(不過主因是他在8591的帳密跟 emome 完全一樣)
http://www.ptt.cc/bbs/Gossiping/M.1406656759.A.8D6.html

自身被盜經驗

昨天我也收到「簡訊轉接服務開啟」的簡訊
今天又收到通知是轉到一個奇怪的信箱,覺得不單純,一查發現有這種事情

致電中華電信客服之後幫我取消簡訊轉接
並且確認現在 839 小額付款的功能是關閉的,今年七月後必須要本人持證件去門市申請才能使用
(哦?上面第一個新聞不是說去年就改了?)

發生這件事情之後我其實想要的是取消 emome 帳號跟手機的連結
客服基本上都會建議改密碼,然後掃毒、不要點釣魚網址
但是就個人理解,被盜原因只有兩種:

  1. 中華電信本身資料已經被有心人士取得(資料庫用明碼存...?)
  2. 我的電腦中有木馬等惡意後門,或者我經由釣魚網站自己將帳密洩漏出去 因此改密碼幾乎是沒有用的,通常被盜的人也都是有裝防毒軟體,而我自己更不會被釣到..

但是客服卻回我要自己去門市帶證件申請取消..然後重複一遍網路安全教育
(網路上有人線上取消過,我猜是不希望我這麼快取消)
emome 上面除了有我的部份個資之外,還可以申請各種付費功能

給尚未受害的人強烈建議

如果你還沒申請 emome 跟手機連結的相關服務,建議都不要去使用
如果你已經申請了,建議改一個跟「其他帳號」完全不一樣的密碼
避免 emome 受害的同時,其他帳號也跟著遭殃(像上面的8591)
或是乾脆一點直接取消跟手機門號的連結(如果你有辦法說服客服或是自己跑一趟)

假設真是的中華電信端的問題,改密碼就完全沒有意義,還會多暴露你密碼的使用習慣
怎麼說?人是很懶惰的,大部分人並不會針對每個服務用完全不一樣的帳號密碼
今天你改了 emome 的帳密,你就會記住他,下次你怕忘記,可能就用這組帳密申請別的服務
因此一個網站的資料洩漏,其他網站的密碼也全都不安全了

假設是使用者端的問題,中華電信也不應該把責任推給使用者
一個付費機制應該要能做到在事前將傷害降低到最低(不要有轉接簡訊這種超大權限的服務,或者申請門檻提高)
就算發生了,也要能有事後的對應措施,像是:
1. 所有 emome 付費服務的申請門檻提高(ex: 需要持證件到門市辦理)
2. 讓使用者有權力停用所有 emome 付費功能
3. 付費前必須增加進階驗證(ex: 手機鎖),而不是只叫你改密碼
這些機制中華電信完全沒有

「簡訊轉接服務」本身的設計就極度不安全,他的機制讓所有客戶承受了不必要的風險

  1. 只需要用 emome 帳號即可申請,不用任何身分認證
  2. 可以無限制轉到任何電子信箱,方便詐騙集團作業 不管帳號密碼是如何外洩,這種服務原本就不應該這麼輕易的被開啟 但是中華電信似乎不想更改這樣的機制 現在雖然不會將中華電信內部的認證簡訊轉出去,但其他網站的密碼對中華電信來說就只是一般簡訊 因此盜客取得了你的 emome 之後,你的手機認證就跟廢物一樣,認證簡訊照樣傳給盜客

要我說的話,單靠使用者的觀念來預防根本是癡人說夢
我身邊的族群應該都對資訊安全有一定的認知,而且幾乎是30歲以下的年輕人,過時的手法絕對沒有用
但還是三不五時傳出有人帳號被盜,甚至我自己也中標好幾次(apple id, line, emome)
更不要說對電腦網路不熟悉的一般民眾,應該要預設他們有一定的機率會被盜,將整個機制做好,就算發生了也能將傷害降到最低

改密碼、退租服務,這些都是被動的作法,下次再被盜還是一樣門戶大開,想做什麼就做什麼
為何不提供主動阻擋付費的機制?我想主要還是成本與人力考量

出包再來說。

← Binary Search Tree in C 台灣媒體如何利用女巫現象掩蓋重要議題 →
 
comments powered by Disqus