Re: [難過] 我恨墾丁

※ 引述《turtle2013 (turtle)》之銘言：
: 標題: [難過] 我恨墾丁
: 時間: Sun Dec 20 20:45:11 2020
:
:
: 最後我被騙著操作網銀轉帳，也到ATM操作，總共損失了約十五萬，一個窮學生好不容易:
: 做助教、家教和實習存到的錢，只能說當人失去理智的時候，什麼都做得出來，體會到媽:
: 媽為了要回他的小孩失去理智地一筆一筆轉出嚇死人高的贖金，直到再也付不出來，我也:
: 為我最初轉出的兩萬四千塊付出了高額贖金，直到什麼都不剩。
:
:
:
: 當天在警局做筆錄時，有兩位中年男子也因為我愛墾丁坐在我的旁邊，我在被詐騙後也去:
: 搜尋，發現有人在Dcard有趣版發文，從十一月開始也到處都是各地警局公告的詐騙警告:
: ，卻沒有被報導或重視，詐騙集團既沒有口音，利用心理學手段也很高招，我不是初來乍:
: 到的留學僑生也不是想投資想瘋了轉帳幾千萬幾百萬到香港銀行的董娘，希望從這篇文大:
: 家可以開始重視這件事情，做什事都更小心一點。
:

看完整篇，台灣人真是善良，大家先怪罪自己太蠢，被騙是活該

殊不知保存顧客資料的廠商更該死，個資外洩居然先怪自己

不是一句十幾年的老套騙招，這樣還會受騙諸如此類的

難怪業者在背後呵呵笑，做電商的不是介面好看，功能繁多

而是如何防護個資外洩，從網站的漏洞偵測，漏洞填補跟定期更新

還有後端的內控資安等，一個電商從建置到上線所花的成本可是很高

但不少做電商的業者根本沒有這類觀念，找個工作室、弄個代管網站

成本能多低就多低，之前逛某網頁，輸入管理頁面，居然登的進去

帳號還用預設的admin，密碼更不用講了，還好該網頁沒做電商，更不用說

沒顧客資料，否則資料外洩到死。

我們先來看一個案例，這兩年發生的，我就不貼判決書，直接貼新聞了
－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－

EZ訂個資外洩客戶遭騙25萬 判賠18萬
https://www.cna.com.tw/news/firstnews/201909140043.aspx

重點就是該女被詐騙二十五萬，一狀告上法院，業者說有妥善保管顧客資料

新聞內文擷取這一段比較好理解

二審認為，張女交易方式等資料只有EZ訂完整持有，且相近期間

EZ訂客戶遭受同樣詐欺情事高達數十件，依通常經驗及論理法則

，足以認定張女與EZ訂交易的資訊是從EZ訂外洩。
－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－

其實判決書我印象中上頭寫說發生資料外洩之後，業主才趕緊委託資安廠商來做偵測漏洞

判決書直接打臉說你根本就是發生資料外洩之後才做的資安防護，根本不是妥善保管顧客資料

我堂弟也是訂購某一間宜蘭奶凍捲被詐騙，連訂單、時間、金額、地址都知道得清清楚楚

我嬸嬸就跟我抱怨說她要去罵門市人員，我說：你罵那一些門市人員都沒用，應該要找業主算帳

並且把這類判決案例說給她聽，如果可以請我叔叔（他是警察）直接告上法院

告某奶凍捲個資外洩，只是有沒有告我就不清楚了。

結果我堂妹也被騙，哥哥被騙二十萬，妹妹被騙兩萬，因為堂妹還是學生，存款太少

否則就會像他哥一樣，瞬間被榨乾。

我只能說台灣人真善良

: 推 jajoy: 都2020年了捏 這手法怎麼還沒被淘汰 12/20 21:22
這手法並不是被淘汰，而且進化了，詐騙集團口說無憑沒用

反而取得你的訂單紀錄，連地址、電話、姓名、銀行後幾碼都知道，刷卡卡號都知道
這樣你的心防會瞬間降低，再加上恐嚇之類的心理手法，被騙其實不是案例聽得多
有時候是恐懼才被騙

: 推 Dustdusk: 都2020了這招原來還是有效 12/20 21:53: 推 a00819102: 老手法還在用代表還一堆人被騙 12/20 22:09

: → Tochter: 這個真的老套到不忍噓，竟然還怪罪警察沒有好好宣導 12/20 22:12
電商業者表示：只要不要怪到我頭上，這一切都好辦

: 推 girafa: 點入官網 跳出要注意詐騙耶 拍拍 12/20 22:24
老實講，這類事後宣導都沒屁用，就算他跳出半版的視窗提醒詐騙手法

還是無法掩蓋他們顧客資料外洩的問題，就跟ez售票網一樣

更不用說某宜蘭奶凍捲一樣，也登上165詐騙排行版

查一下判決書根本沒有人去告該業主個資外洩的問題，真的是太善良

: → orange6541: 政府一直在宣導你不聽就怪自己吧 12/20 22:39
政府也沒有針對個資外洩的廠商祭出重罰，也沒有要求做電商的必須要保護顧客資料

個資外洩公定賠償價......兩萬塊

: 噓 Acce0912: 以後接到什麼訂單錯誤就跟他說等著上法院告他詐欺 12/20 23:14
這招應該不錯用，訂單錯誤是你店家的問題，而不是顧客的問題

: → saadafa: 男友才躲過一劫 到現在我還是覺得他們的引導手法很厲害 12/20 23:39
老話一句，掌握你所有的訂單訊息，有些人的心防就會瞬間降低
因為你確實有買過這類東西（服務）

: 推 afrazhao: 唉....我曾經看過室友也差點衝出寢室去轉賬，好險他當時 12/20 23:53: → afrazhao: 因為擔心所以跟我們抱怨了幾句，就立刻被我們攔住，當時 12/20 23:53: → afrazhao: 他還不肯相信我們說要去ATM操作一定有鬼，還一直強調檢 12/20 23:53: → afrazhao: 察官剛剛也打給她，銀行人員也打給他，最後在我們上網查 12/20 23:53: → afrazhao: 到一模一樣手法的詐騙事件她才開始遲疑.... 我只能說： 12/20 23:53: → afrazhao: 大家真的要碰到跟ATM有關或是跟優惠、扣款之類的事情拜 12/20 23:53: → afrazhao: 託，務必先跟其他人討論，一時之間聯繫不到任何人也一定 12/20 23:53: → afrazhao: 要上網爬文 12/20 23:53
我堂弟是上大夜班，上完之後回家睡覺，下午接到這類詐騙電話，急忙跑出去

結果我嬸嬸也沒有急忙攔住，才被騙二十萬，有時候人的狀態不是一言兩語就解釋清楚

: → kendiv: 你應該要裝whoscall 12/21 00:17
whoscall必須人人接到電話去設黑名單，否則都沒設定，軟體也無法第一時間辨識

嚴格來講就是前面被騙的基數夠大之後，去設黑名單你才會知道

而且whoscall免費版要手動更新資料庫，你只能祈禱你不是前面哪一群被騙的基數

: 推 sammoon: 公司的訂單系統出錯要消費者取消？要是真的發生訂單異常 12/21 00:26: → sammoon: 狀態公司這邊就可以取消...至於支付問題也可以找銀行或是 12/21 00:26: → sammoon: 金流公司處理 12/21 00:26: → sammoon: 你想啊哪間公司自己出錯去叫消費者協助 12/21 00:26
有一些電商網頁資安不過關的，金流公司不太會去接，所以就會變成用銀行轉帳的方法
變成人力後續去確認訂單是否成立。

: 推 DanGong5566: 我常常上網買東西反倒很期待接到詐騙電話 12/21 00:35
我也很期待，至少詐騙集團能說出我下訂的所有訂單細節
我立馬告上法院告這間電商個資外洩

: 推 j4ijp: 如果沒在那個網頁買東西就不會有問題了對嗎？ 12/21 00:36
你想想多少做電商的公司，對資安要求薄弱到如此可笑
因為不想被各大平台抽成，自己做比較划算，個資外洩之後
台灣人會告業主的人少之又少，不然光是前期的投資
去各大平台被抽％還比較划算

: 推 aa428241: 幫妳拍拍，我愛墾丁的問題感覺很大，個資被洩漏成這樣， 12/21 01:18: → aa428241: 辛苦錢就這樣沒有了一定很難過，但反過來想至少妳有賺到 12/21 01:18: → aa428241: 這些錢的能力，冷靜下來好好思考在怎麼樣重新出發。 12/21 01:18
總算說出重點了，個資外洩才是重點

: → Gnau: 2. 趕快通報電商跟該商家說有詐騙事件 12/21 02:07
這段嚴格來講所有做電商的業主都應該要有內控機制，也不是等到資料全外洩了

才做事後補救，不過會這樣做事後補救也行，畢竟老話一句

台灣人太善良

: 噓 woof1212: 你都說到處都是警局的警告了 還怪別人沒有報導或重視 不 12/21 03:23: → woof1212: 要自己沒在認真生活 就牽拖一堆欸 12/21 03:23
電商業主表示：咬吧咬吧，一切都不是我個資外洩的錯哦，都是你們不注意，沒看警告跟宣導

: 推 minilemon: 感謝原po 的血淚勸世文 祝福15萬趕緊回來 12/21 03:44
根據經驗，通常都．．．．

: 推 ideal5566: 所以你真的有在我愛墾丁訂票？ 那必須追究詐騙為何知道 12/21 04:55: → ideal5566: 你電話 12/21 04:55

: → kkchen: 如果墾丁網路管控的好.駭客無法入侵.原PO也不會受害... 12/21 06:03: → kkchen: 我曾在某購物商場買東西.沒幾天就有詐騙集團來電詐騙了. 12/21 06:05
業主表示：做一次資安漏洞scan好貴哦，而且每年都要做一次

　　　　　防火牆設備好貴哦，每年都要買license 好貴哦
　　　　　
　　　　　網頁要定期漏洞更新，更新要費用，好貴哦
　
眾鄉民：這類老招被騙，一定是受害者的錯。

業主表示：悶聲發大財　

: 噓 hugo0015227: 不是要檢討被害人 但是被害人要檢討別人也不對吧 也 12/21 07:46: → hugo0015227: 很多新聞是詐騙被警察或行員發現才解決的阿 沒有人 12/21 07:46: → hugo0015227: 不重視這塊好嗎 12/21 07:46

: → hugo0015227: 然後順便講一下 這種系統一定都會有log錯誤訊息 就 12/21 07:49: → hugo0015227: 算爛到連錯誤訊息都沒抓 這也是銀行it的責任 自己用 12/21 07:49: → hugo0015227: 測試環境去想辦法測出來 沒人在拿正式資料跟正式環 12/21 07:49: → hugo0015227: 境做測試的 12/21 07:49
嗯.....銀行端的資安要求比我們想像中的嚴苛，尤其是第一銀被盜領之後

資安要求更高了

這段通常都是業主在存放顧客個資的資料庫被外洩，不然就是內控有問題

: 推 TOEY: 超老梗詐騙....目標換成有網銀帳號的學生了（默哀） 12/21 09:17: → TOEY: 世界上沒有這麼剛好的事，客服完馬上換銀行，你自己打銀行 12/21 09:19: → TOEY: 的客服看看，最好效率這麼高，高到無縫接軌 12/21 09:19
信用卡部門端的確是效率很高，銀行可能就不會是這樣了
不過都不會說訂單錯誤之類的#$%^

: 推 nchueric: 沒有不被報導或重視，而是被騙的人不重視日常資訊的流通 12/21 09:27
之前在公司做釣魚案例宣導的時候，並不是日常資訊流通的問題

而是每個人對於資訊流通的定義不一樣，日常資訊流通定義太多

韓劇演什麼，最近有什麼優惠，哪邊有特價之類的，這類也是日常資訊流通

: 噓 QueenofSM: 這可憐連我阿嬤都騙不到... 12/21 12:18
因為阿嬤不會在網路上下訂單、銀行轉帳

--

個人覺得這類事件並不是增加自己的警覺心就能解決的事情 這類事件這幾年看下來並不是單一論，一定有多重因素在 就跟道路設計一樣，太靠近道路轉彎處旁有電線桿，很容易出車禍 所以我要教育用路者旁邊有電線桿，轉彎請減速 時常經過的居民都知道，但是第一次經過的用路者或許不知道 再加上自身駕駛經驗或者是精神不濟、夜晚視線等等出車禍 還是把這根電線桿移除改道比較快？ 如果教育效果十分卓越的話，人人都可以上醫學院了，但現實不是這樣子 至於警覺也一樣，防禦駕駛推了多少年了，還是有人會中招 就像我在公司內部寄釣魚信件，就是有人會中招 要求購物顧客提高警覺簡直是緣木求魚，不從網站資安上下手 就算跳半版的警告畫面還是有人依舊不會去看 請問多少人註冊的時候會把完整說明看完，才打勾同意 就算網站註冊設計你必須滾輪到最底下才能按同意，多少人會看完再按同意？

我是有聽說過內鬼的案例，又或者是該小企業的電腦中毒 導致接收訂單信箱外洩，因為用的是免費的gmail信箱 被設定pop轉寄功能（信件一份副本會轉寄他設定的信箱裡面） 所有訂單資訊都知道。也有可能是離職員工幹的，因為校長兼撞鐘 離職之後密碼也沒換，換下一個人使用也沒改密碼 另外一種是資料庫帳號密碼用預設的，進去後增加一組管理者帳號密碼 跑進去撈顧客資料 在另一種是網站太舊，已經被公布有漏洞，或者是代管網站業者的資安做不確實

是我叔叔照顧太好，又或者是沉醉於自己的世界之中，只接收自己有興趣的資訊內容 另外一個是礙於顏面問題，說不一定你親朋好友也有被詐騙過，只是礙於顏面不敢說而已 我嬸嬸跟我說的原因就是我守口如瓶，不會跟家族的人講，二來我是資訊業人員

拿EZ的案例來說明好了，知道你在上面購買的商品或服務，連購買金額日期都知道 第二：同時間受詐騙電話的人不只你一個人 （排除使用者電腦或手機問題） 第三：業者提不出資安檢測合格的證明，各大電商都有委託民間資安公司來做定期偵測 甚至月一次做弱點偵測，像EZ就是事後補救，被認證發現資料外洩才做處理 像某奶凍捲一樣，都已經上165排行榜，受詐騙的不只有一個人 而是在該網站下訂單購買商品的人都接過詐騙電話，只是得逞跟未得逞的差別而已 這時候就可以確認是該網站個資外洩被詐騙集團利用行騙

有因才有果，以前的詐騙電話就是騙綁架，騙你在那個購物網站下訂什麼玩意 結果騙到的是未婚男女，根本沒小孩，騙你在購物網站下訂什麼，詳細訂單都不知道 金額也不知道，這類粗劣的騙術根本成功率不高，而且人人警覺心起來之後 這類詐騙很難得逞。 個資外洩之後，知道你的電話、姓名、性別、購買什麼東西、金額、日期 甚至還有銀行轉帳帳號、信用卡卡號等，再加上聲淚俱下訂單下錯要賠之類的騙招 有針對性的騙術，成功率比以前騙術高太多了，而且臺灣人太過於善良 呼嚨幾句，甚至語帶恐嚇之類的，會不會上勾，個人認為比以前的騙招更容易上鉤 道路交通設計也不是這樣，在地人熟悉這條路，外地人不熟悉這條路 就算你擺再多的警示、預告、減速丘，會出意外就是會出意外 那麼為何不從道路設計開始做改善？ 有沒有即視感，要求他人要多做警覺，結果個資外洩的業者不去檢討 只能說詐騙類型繁多，甚至邁入了科技化，甚至未來手機點不明連結 莫名其妙銀行的錢就被盜走了也是有可能。

雄獅旅遊表示： 消基會指出，「電腦處理個人資料保護法」自84年8月11日公布施行已24年（後更名為「個人資料保護法」） 但企業對於個人資料的保護觀念，仍停留在「個資外洩是他人不法犯行 企業本身對於消費者受到的損害不需負擔法律責任」的程度。 法律的確沒辦法天下太平，但至少要讓企業遵守顧客資訊保護的必要性 而不是事後補救，說是他人惡意行為，所以資料外洩不是該企業的錯，都是駭客的錯 結果內部server不更新，存放顧客資料的資料庫漏洞太多，也不升級 輕易而舉的被外洩，那麼那一些每年都投入大把銀子在資安方面的企業都是笨蛋？ 事後補救就好了嘛，顧客被詐騙，兩千塊抵用券送給他們就好了，有告的消費者 才給補償，其他資料外洩的顧客就沒關係了嘛 現在的定義是企業必須要盡到應盡的責任，無論是網站上的資訊安全，內控的個資保護 都能舉證該企業花了大把的銀子還被入侵，資訊安全已經做到了基礎完善，而是現今資安 還是無法絕對的防止資訊安全，這樣才能盡應盡的責任 ez的判決就很明顯，廠商有錯，消費者也有錯，所以被騙25萬，法院判賠18萬 剩下的消費者自己吞，今天的問題重點不在於消費者，而是提供服務的業者 而一堆人只偏於受害者，我也覺得莫名其妙。 現在這類風向就很微妙 受害者被詐騙→都是自己不注意→花錢當教育→廠商責任???? 正常流程應該是這樣 受害者被詐騙→廠商個資外洩→廠商負起責任→廠商舉證資訊安全有做確實OR事後補救 　　　　　　　　　　　　　　　　　　　　　　　　　　　　↓ 　　　　　　　　　　　　　　　　　　　　　再來談責任歸屬及求償

專業，詐騙集團比你我都還會掌握人的心理，怎讓我想起之前處理的案例 某客服接到一個顧客說都收不到我司發送的更改密碼簡訊，客服回應說您有沒有從電信商關閉 接收廣告簡訊的功能，顧客說絕對沒有關閉，一定是你們公司沒有發送簡訊給他 搞了一整個下午，後來我去簡訊後台調資料，把從昨天到下午所有發送過的簡訊紀錄 全部調給客服，客服就憑著上面的時間點一筆一筆念給顧客，原因都是該電話號碼 關閉廣告簡訊功能，顧客才願意承認自己有關閉接收廣告功能，否則之前的態度都是死 不認為自己有關閉接收廣告簡訊功能。

個人真的不是很在意小公司省錢不做資安，我也是某小小日企裡的社畜 資訊部門兼任資安而已，主要還是網路跟一堆deskhelp跟寫寫排程去抓檔案上傳 資安只是自己的小業務，也不算專家，版上多的是比我專業的資訊人

如果我是受騙人的家屬，我會去告廠商，一來有判例，二來受騙者不只她一人 再者案例一出，讓做電商的人更注重資安跟個資，而不是放著爛，一說到花錢 每個都縮手，又不願意給各大平台賺。 說真的，電商平台要架真的很容易，給我一台兩到三萬的電腦，一條線路 我就可以架出電商平台，但後續資安呢？後續上架人員跟維護呢