在暑假尾声发生了伪麦当劳欢庆 50 周年送免费套餐的 LINE 诈骗案件。受骗上当的人超过 3 万人,当然也包含最大的苦主──台湾麦当劳公司,造成消费者、生产者双输的憾事。然而这不是第一起大宗 LINE 诈骗案件,就在今年,系统性 LINE 诈骗案规模一次比一次巨大,似乎有越来越严重的趋势。
让我们来看看这个星巴克(Starbucks )的线上优惠启事,你分辨得出来哪些是真的?哪些又是假的呢?
请用 30 秒好好看一看再往下滑喔。
▲ 猜对了吗,只有左一是官方的活动。(Source:白帽骇客提供)
你答对了吗?只有第一个是真正星巴克官方举办的活动,其他则是“热心的诈骗集团帮忙举办的”。
人肉 DDoS 攻击
在这一年,臭跩猫、麦当劳、7-11、全联、王品、陶板屋、西提牛排、北捷、中华电信、中油、全家、星巴克、加乐福、争鲜、清心福全等知名业者,都成为 LINE 诈骗的苦主,无数受骗上当的消费者欣喜地拿着假的优惠兑换券登门,却换不到东西败兴而归,店家也莫名困扰于这种“ 人肉 DDoS 阻断式攻击 ”──店员穷于应付排山倒海而来的假优惠,占用了有效服务的精力与时间,还被消费者咒骂,甚至产生纠纷无端损失信誉。 这些案例遍及免费贴图、公共服务、产品好康、折价券、公益活动等,经由 LINE 接到亲友连锁转传的超值优惠券讯息,只要简单的步骤按、按、加对方好友,就可以得到优惠,然而你的个资也瞬间外泄,诈骗 @LINE 账号也就寄生在你的 LINE 好友里,准备伺机而动。
(Source:翻拍新闻)
什么?加个好友个资就会外泄?好吧,个资泄漏出去了又如何?我又不痛不痒。虽然你这么说,然而外泄出去的个资其实比你想像的还要多:
- 你的 LINE user ID
- 昵称 (Display name )
- 大头照 (Image URL )
- 状态讯息 (Status message)
- 年龄
- 性别
- 定位位置
你泄漏出去的个资就会……
- 被卖到赌场、酒店等黑道相关的八大行业。
- 诈骗集团可能透过社交工程进行假交易、假援交。
- 变更账户照片姓名,藏于朋友名单等待下次机会。
- 账号被转卖给网红或其他有需要的不法集团(你知道莫名的、没啥特别有趣的网红怎么瞬间爆红了吧)。
如果只是封锁这个新“好友”,其实没有用,他还是可以看到你的个人照片、名称等资料,就这样一直藏在你的 LINE 中监视你的动向,或者随时可以乔装成你,再去装熟诈骗其他人,影响非常的深远。
你可能会想说我不要管他就好啦?事情没有你想像得那么简单。“他”或“她”比你有更大的耐性──诈骗集团对新科技的引用其实非常积极,他们现在也用到了 AI 人工智能、大数据分析等综合技术,在做社交攻击时,不再是用以前的人工作业。比方说潜藏进你的 LINE 群,沉潜一段时间以后,这个“伪麦当劳”、“伪全家便利商店”等就会变成美貌的“她”,然后开始自言自语地发一大堆自说自话,或者无病呻吟、自拍、最近的直播,有的甚至还会讨论近期时事。
▲ LINE 假账号的页面与对话截图。(Source:白帽骇客提供)
▲ 网络上甚至有新闻已经在讨论 LINE 上的 假 call 客手法,比起传统手法更有效率。(Source:翻拍苹果日报网站)
你可能狐疑,“疑?这谁啊?好像有印象,是我以前加过的谁?又好像不太清楚。”对方非常非常地有耐心,就算你不看它的对话群组,每天都在那边自说自话,晒去哪里吃大餐的照片或者出去玩,偶尔还会贴出好棒棒的“店家特惠连结”(然后你就转传了),能够超近距离每天欣赏超级大正妹赏心悦目的悄悄话,这种自己专属的小确幸,谁忍得住呢?情不自禁忍不住回她话,她可能会希望约见面,或者请你加她的姊妹淘 LINE (可能是酒店、赌场等 LINE 账号),或者希望你赞助她“一点”钱钱做直播等,然而这背后其实是诈骗集团的 AI 聊天机器人,这样无微不至的“客服”一天 24 小时都不会累,用各种算法分析你的个资规划适当手法,抑或转交给联盟的“专业客服”,以下有一些实例:
▲ LINE 上常见的诈骗类型整理。(Source:白帽骇客提供)
也可能好心把你加入某个“好康群组”,或者透过你做“中继站”再去诈骗其他人。无数的自动化 AI 机器人就这样对无数的受骗“客户”加以“训练”,诈骗集团得以掌握到越来越大量的账号,有朝一日“动员”起来,就得到了这次麦当劳诈骗案的“成果”,这次可说是诈骗集团丰硕成果最好的验收。
古语说“三人成虎”,然而上万人都在疯传呢?谎言似乎就变真理了!今天是 3 万,下一次可能是 5 万、10 万、100 万人被假讯息动员,做出更大型的社会案件,过去是一一“测试各家民间企业的应变能力”,哪一天会不会用来考验某个政党甚至是政府单位呢?治安单位也不能再轻松以对了 。
▲ LINE 上面的假账号如同电影中狂热的信徒,等待有朝一日获得如同假麦当劳诈骗的成果。(Source:电影 《神鬼传奇》剧照)
如果不幸被渗透了,不要以为自己很精明很有耐心,不会被拐,你面对的其实极可能是某“地下云端”的许多个服务器,“它们”不会累,会一直很有耐心地对你“循循善诱”,只有同时封锁与删除好友才算能解决这个问题,当然你也要仔细核对好友清单里,抓出所有的诈骗集团“间谍”(然而你的个资已经流出去,也没办法防止对方用你的名义去诈骗其他人)。
▲ 无孔不入各种诈骗“行销”形式。(Source:白帽骇客提供)
而回过头来,渗透的第一步就是无孔不入的各种伪造免费贴图、公共服务、产品好康、折价券、公益活动的缩网址连结,到底连结是连到真正的店家官方网站,或者是转到诈骗集团为您精心准备的“网络客服”页面?在手机或平板电脑上的使用情境,受限于界面与较短暂的注意力时间,我们消费者很难分辨真伪,受限于 LINE 有限的安全机制,目前只能自求多福,面对以各种面貌出现的暗势力 @LINE ,我们只能祈祷哪间资安防毒公司是不是能帮忙想办法,帮我们快速辨别这些转址转到的网站之安全性,防堵渗透的最前线,最后也能用 AI 大数据反制回去。更重要的,LINE 公司是不是应该更主动地改善孱弱的资安防护机制,来解决寄生在 LINE 上面的系统性暗黑集团,保障用户的资安呢?
LINE 有话要说
LINE 公司先前与政府机关一起开记者会,要提高民众资安意识,杜绝诈骗。
LINE 回应外界传言,说加入假账号个资会瞬间窃取,并不是事实。LINE 强调只要用户未主动提供别人 LINE ID 或位置等个人资料,滥用者就没有机会窃取这些资讯;若用户发现好友清单内有可疑账号,只需透过检举并加以封锁,就能轻松与诈骗绝缘。
(首图来源:达志影像)
延伸阅读:
- 贪求麦当劳免费餐券,逾 3 万人上当!假 FB 粉丝团“麦当当”遭移除
- LINE 诈骗账号送贴图,官方 4 招教你辨真假
- LINE 台湾火红成为诈骗的新温床,官民合作要来共同打击
- 诈骗集团手法再进化,台湾 LINE @假官方账号累积至近 900 个
- 大平台的负担!防诈骗 LINE 宣导资安要用户不要轻易给他人密码和认证码