個資的蒐集與利用是詐欺犯的基本功,人資網站則是個資的大寶庫,有些人資業者為促進媒合機會與拓展用戶數,還會鼓勵用戶同意其蒐集更多資訊,如通訊錄、行事曆、電郵紀錄等,發揮大數據分析的效用,以利於行銷推薦串起更多人脈關係,活絡社交圈,卻也增加用戶個資及就業隱私曝險的機會。
隨著科技進步與資訊氾濫,詐欺也滲入民眾日常生活之中。所謂道高一尺,魔高一丈,詐欺手法層出不窮,假網購、假綁架、假援交、假冒公務機關、解除分期付款詐騙等,令人防不勝防,第一銀行ATM被駭吐鈔案就是以植入惡意軟體遠端遙控的高科技手法對機器詐欺的智慧型犯罪。詐騙集團採企業化經營,重視分工合作。首謀躲在黑幕後面運籌帷幄,規模大的設有技術部門負責駭客任務,還有人資部門招募辛勞想打工兼差賺錢的民眾出張嘴(如打電話釣魚)、跑跑腿(如擔任車手),或是提供人頭帳戶(便於洗錢),等到出事了,首謀就斷尾求生,由手下去背黑鍋。
個資的蒐集與利用是詐欺犯的基本功,人力銀行之類的人資網站則是個資的大寶庫,因為求職者為獲得工作機會,多儘量提供個資、履歷以及內容更豐富的自我介紹,而有些人資業者為促進媒合機會與拓展用戶數,還會鼓勵用戶同意其蒐集更多資訊,如通訊錄、行事曆、電郵紀錄等,發揮大數據分析的效用,以利於行銷推薦串起更多人脈關係,活絡社交圈,卻也增加用戶個資及就業隱私曝險的機會。
實務上有詐騙集團假冒求才公司登錄人資網站獲取民眾個資後再施行詐欺;技術高超的駭客則破解安全網,連知名的專業人士社群網站LinkedIn也曾於2012年間遭駭客入侵,超過6百萬名用戶的密碼被破解後公佈在俄國網站論壇,今年(2016)5月間又傳出有駭客將先前竊取的上億筆LinkedIn用戶電郵帳號與密碼在網路黑市試圖販售,影響企業聲譽與用戶權益。可怕的是,個資直接或輾轉被詐欺犯取得後,可能被利用來騙取民眾與企業的財產,因此吾人皆應注重個資安全保護以防範詐欺事件。
小假徵才 真詐騙
關於履歷個資的濫用,實務常見一種詐欺案型:某甲在某人力銀行刊登求職履歷,過不久就收到通知面試的電子郵件,要求某甲加入LINE進一步討論徵才細節,隨後某位自稱人資主管的某乙在LINE中表示該公司是線上博彩的總代理,因客人輸贏結算金額所需,要有許多帳戶供作帳使用,只要某甲提供存摺、提款卡給該公司,可月入上萬元。這樣錢多事少的工作機會,對於許多年輕人或是想要兼差賺外快的民眾,可說是天上掉下來的禮物。但不久就收到警察局的通知單,經警方約詢後才知道自己的帳戶成為詐騙集團收款的人頭帳戶。
也許我們會同情求職但卻受騙的民眾,但是司法實務上並不認為他們是被害人,反而列為加害的被告,構成詐欺幫助犯,法院判決理由為:被告對於向其索取金融帳戶者之真實姓名、年籍、住址、公司名稱、營業處所等資料均一無所悉,更已意識到該人所稱工作內容即線上博彩可能涉及不法,提供帳戶給該人並獲取薪資,實有所賺利潤與付出勞力不成比例之詭異情形存在,當可同時預見向被告索取金融帳戶之人,極可能將被告提供之金融帳戶作為財產犯罪行為之取款工具,卻未查證而提供存摺、提款卡等,顯有容認犯罪事實發生之本意,其有幫助詐欺集團成員利用帳戶對於不特定人實施詐欺取財犯罪之不確定故意及行為(參見新北地院104年簡上字第491號刑事判決)。
詐欺的二刀流
高明的詐騙集團會掌控兩種流路:金流與資訊流。詐欺得手後要確保成功取款就要掌控金流,前述人頭戶的案例就是金流的巧妙安排。但透過銀行帳戶流通資金,仍有遭警方即時列為警示帳戶或遭扣押的風險,第一銀行ATM被駭吐鈔案原本猜測可能會被歹徒利用地下匯兌方式(不經過銀行帳戶跨海匯款)將八千多萬元鉅款洗出海外,但在金流還沒完成前,裝在行李箱的六千多萬贓款就在接手共犯的下榻飯店被人贓俱獲,原來其先前暫放在台北車站寄物櫃後,就已遭警方監視鎖定而循線緝獲,其餘部分贓款則在內湖山區被找到,可見掌控金流的重要性。
至於資訊流的掌控則貫穿詐欺犯罪的全部,掌握資訊流才知道獵物在哪裡、哪些人事物可被利用。讓被害人上鉤的詐騙話術也是資訊流的一環,例如肯亞詐欺案,就是從遠在肯亞的電信機房跨海打電話對中國民眾進行詐欺。實務上常見電信詐欺的話術如:「這裡是XX電信,您的電話號碼欠繳電話費,請儘快繳交。如有任何問題,請按9鍵,由專人為您服務。」
日常生活中我們也許曾收到這類的語音電話,有人真得會依指示去按9,接下來電話就轉接到專人。該專人會先核對你的身份資料,然後關心地說電話欠費是因為有人冒用你的身份辦電話,並引導你等候與警官通話。該警官會證實你確有被假冒情事且戶頭可能被盜用而有不明的金錢往來,需移交司法單位,否則個人帳戶將遭凍結,人身自由也會受到限制,並引導你等候與檢察官通話。該檢察官會證實警官所述並要求你配合辦案不要驚慌,乃指示你操作提款機轉帳,或將金錢交由嗣後與你聯絡的警方人員。許多人在前面幾個階段就會起疑而掛斷電話,但還是有人跟著走完全程,最後就配合按鍵轉帳至人頭帳戶,或將現金交給持假公文書前來取款的人員。
上開話術以多人分工接棒發話進行,是為了要建立信賴感。如果一個人唱雙簧說到底,容易讓人起疑是否自導自演。三人分飾三角的方式,可強化受話人對謊言的信賴。此外,上開話術也利用到現代人對於個資安全的疑慮與恐懼,擔心身份遭冒用、擔心財物遭到損失,才會被詐騙集團騙上鉤。
防範詐欺要從個資保護做起
LinkedIn今年6月間傳出將被微軟併購的喜訊,固然可賀,但其豐沛的專業人士個資納入微軟雲端體系後,個資保護更成為關切重點。持平而論,個資保護除了要靠企業強化資安技術之外,亦有賴於民眾警覺與自律,而如前述電信詐欺案例所示,也要小心詐騙集團利用民眾個資不安的心理進行詐騙。
防範詐欺實須市場供需雙方及政府部門建立風險意識,並透過技術、教育、法律及商業等機制以落實個資保護。
<本文作者:陳佑寰,目前為執業律師。國立台灣大學法學碩士,美國賓夕法尼亞大學法學碩士。專攻領域為智慧財產權法、高科技產業議題及資訊法等。>