之前貼過有關詐騙電話的手法跟笑話,這次又貼一篇比較貼近生活的一篇,
先來看一篇報導:
中國時報 2007.11.28 張舒婷/高雄報導
網路購書洩個資 禍延南部校園
這種詐騙方式我也碰過,而且剛好是我很累突然被電話叫醒...還好我的習慣是聽不懂的東西就會一直問,我看那詐騙集團也被我問到很不耐煩吧XD;請大家先到那篇報導看一下,除了文中說的要補差額要你去轉帳的外,還有要你去列印郵局或是某個特定銀行的ATM列印明細表,請記住,ATM除了轉帳提款以外,什麼都不能做,別傻傻的以為要辦理這種麻煩事不需到櫃台,而且網路購物金額有問題的部份,已付款就是已付款,就算它跟契約金流有什麼問題,也是他們去橋,不關消費者的事。
(文中所謂的契約金流,指的是他們購物網站的某個網路金流公司,我們所有的訂單的金額,都會透過這個金流公司直接到他們約定的銀行,以利於往後購物網站的會計做報表或是金流公司向購物網站收費的動作。)
再來,詐騙集團可能會說要比對你現在帳戶的金額,所以要你去列印明細表,請記住...非常重要的一點,這東西所有銀行都可以透過聯合徵信中心取得,不需向你確認。
當時我發現是詐騙集團的問題有幾點,我大概列出來,請大家轉告大家:
1.銀行客服免付費電話,也就是0800-xxx-xxx,那種電話只能接不能打,所以不可能會接到這種電話,接到的話一定是因為他們做了某個手腳,(其實並不是什麼了不起的技術。)
2.購物網站與金流公司的出鎚,原則上這種事很難發生,這種損失可不是小小的購物網站能負擔得起的,如果真的出錯,媒體一定會大肆報導,萬一交易次數龐大的話,就算是銀行人員加班幾個星期也不一定能解決的,更何況還敢一直扣你的款?你扣下去後續的法律問題可不小。
3.所有銀行的交易資料,包括信用卡額度,銀行存款、提款,銀行都可以透過聯合徵信中心取得資料,不需再一次向你確認。
4.我習慣使用貨到付款的方式,所以在購物網站不會有我任何帳戶資料,你怎麼有辦法扣我的款?那麼神....
最後的提醒,其實在網路上有非常多好人會向大家告知類似的手法,當你接到類似詐騙集團的電話時,請先使用緩兵之計,先在網路查詢一下相關的資料,搜尋的Keyword當然就是他一開頭跟你說的東西,例如這個案例,你搜尋 購物網站 分期 ATM 就有類似的資料囉,不過也不要因為沒有相關資料就相信他啦。
再來我要吐一點心裡的想法,在這個案例中,博客來網路書局最後說明無法告知客戶個人隱私為何被盜用,我先說明,這是我個人的想法,沒有任何根據,一切都是猜測。
我想技術問題跟人員疏失佔比較大的比例,有建過伺服器的網友們應該都很清楚,Web Server是最輕鬆也是最麻煩的伺服器,為甚麼呢?
通常不論是購物網站還是公司,Web Server等於就是這家公司的門面,而且一定都要開”80”Port,
這部份的漏洞主要在於Web Server套件的漏洞,例如微軟的IIS,Apache,PHP,MySQL,MSSQL等,在台灣的大數公司都是想說把內容建置起來就好,但是安全性卻無視;套件漏洞的更新,每天檢視是否有異常Log,甚至連作業系統都是盜版的,就算有維護人員,也等於像是沒帶槍上戰場一樣,你說會不被Hack嗎?當然就算基本工作都做了,也是有安全性的問題,最大的例子就是Windows XP SP1緊急升級SP2那時一樣,這種零時攻擊無法防禦。(原則上是沒有所謂SP2的,那時因為疾風病毒的關係,導致XP安全性整個有大漏洞,所以緊急更新SP2,有經歷過那場風波的網友,應該都知道SP2剛出來時,是什麼都給你鎖起來不給用勒。)
像這類型的Hack案件,我想大概是因為早期的一些安全性沒有更新漏洞,導致Scanner直接掃描破解伺服器的帳戶,藉以取得相關資料,當初在公司裡,我跟公司Web的工程師也有個共識,就是不把公司網站連接客戶資料庫,寧願分開來,雖然麻煩很多,但是也少了很多疑慮。其實就算分開來,還是可以人工作比對,這比對的工作可以不需網路嘛...XD,透過程式就OK囉。不過當初是沒有做就是了。
我想大家應該都大概了解了這種事情可以避免發生的,只是有沒有想去做而已,
我非本科出生,也沒有學歷,當然在找工作的部份多少會有點麻煩,不過網路、系統、安全這東西只能說靠經驗和反應,當然理論東西也很重要,一整個就是個不歸路......amen...
p.s Blogger的版面能不能好用點..囧
沒有留言:
張貼留言