義法星國防詐出絕招:查SIM卡幾歲、推簡訊實名制
如果你今天身在義大利,你可能會突然收到一封簡訊寫著「我們察覺到您近期更換過SIM卡,若非您本人申請銀行轉帳,請聯繫,」代表你已經被日益猖獗的SIM卡盜用詐欺盯上,而該國最新的做法讓你在第一時間就能察覺。
SIM卡盜用在歐洲日益猖獗,歐盟網路和資訊保安局(ENISA)去年底發布一份報告,調查歐洲主要的四十八間電信公司,其中,有二十五間曾在過去一年遭遇過SIM卡盜用詐騙,只有不到三分之一的企業表示狀況受到控制。
這讓當中詐騙情況最嚴峻的法國和義大利,一改過去科技進程較慢、行政效率低落的刻板印象,主動跳出來,推出反制手段。
閱讀完整內容
銀行連線電信商檢查SIM卡不須額外儲存客戶資料,外洩風險低
例如義大利,由該國電信主管機關AGCOM主導,要求電信業者分享SIM卡資訊給銀行,以便銀行在用戶使用手機交易時,可以先檢查該SIM卡變更紀錄。
這項試驗性政策在二○一八年推動,政府坐莊,並由一間公私合營的科技公司CERTFin提供技術,讓銀行可以連線存取電信業者的資料,檢查你的SIM卡「幾歲」,在第一時間偵測出短時間內更換過SIM卡的手機。(見左頁圖)
而且,銀行不需要額外儲存客戶的個人手機資料,所有的驗證發生在電信業者和銀行之間的即時運算,讓資料不落地,減少被駭風險。
經過兩年多的實驗,該國九家主流電信業者紛紛表達支持。主管機關更在去年七月宣布一系列強化措施,例如,強制電信業者收到SIM卡變更申請時,必須以簡訊通知用戶;如果用戶聲稱SIM卡失竊或失靈,那必須提供相關證據或舊卡才可更換。
同樣是手機詐騙大國的法國,他們則在簡訊驗證中,直接加入SIM卡驗證環節。
當網購平台等線上服務商寄送驗證簡訊給消費者前,會先連線電信公司,檢查SIM卡近期變更紀錄。如果發現該卡片短期內有換發過,網購平台將會收到警告,然後改用手機簡訊以外的其他驗證方式,進一步辨別消費者的真偽。如此一來,已經取得你手機實質控制權的詐騙集團,就無法透過攔截簡訊來冒充你。
啟動身分註冊機制攔阻釣魚簡訊銀行、政府、企業花一萬元就能護名聲
焦點回到亞洲,向來嚴刑峻法的新加坡,在一篇刊載於《哈佛商業評論》的世界數位信任排名中,資安建設名列亞洲第一,他們打擊詐騙的手法,則是從源頭阻斷個資外洩。
該國政府推動了一套「簡訊寄送方身分註冊機制」(SMS SenderID Protection Registry,SSIR),以打擊日益猖獗、勾引你主動交出個資的釣魚簡訊。
目前,此機制是給政府機關和商業機構使用,目的在於不讓詐騙集團冒充政府或公司名義發送釣魚簡訊。註冊的機構發出簡訊時,將會顯示他們的註冊名稱,而不是一串你無法辨別的號碼;如果有刻意讓人混淆的名稱,就會被預先阻擋無法寄出。
舉例來說,經由這套系統,即使你手機裡未儲存健保署的電話,當你收到他們發送的簡訊時,裡面名稱將直接顯示「健保署」,若顯示的是號碼,則必定是詐騙。新加坡目前正在考量強制銀行及政府機關全面實施,未來也可能會推廣到中小企業。註冊費用折合新台幣約一萬多元,等於用低廉成本,就能保障公司名聲。
雖然未必要由使用者直接付出高昂代價,但其實任何防詐手段,都有一定的技術門檻與成本,而且要能成功推動,得有政府加上多方業者配合。
例如義大利和法國,考驗的是即時交換資訊與運算能力,背後得由多方共同建置起資料中心與系統,不是單一單位就能做到的事。
科技的便利性和安全性,其實從來不是魚與熊掌無法兼得。端看我們把這些防詐與增強資安的手段視作成本,還是讓一個社會與企業,能走得更長遠的投資。