J漾諸事會社

http://www.zdnet.com.tw/enterprise/topic/entapps/0,2000085735,20127775,00.htm
「資料拼圖」成帳號竊取主要手法
ZDnet記者馬培治／台北報導
 
2008/02/25 19:47
 分析近來多起購物網站的疑似會員資料外洩事件，警方認為，透過比對使用者個人資料以猜測帳號密碼的「資料拼圖」手法，恐已成為帳號竊取的主要手段。
去(2007)年中起至今，國內發生多起購物網站會員資料外洩並遭詐騙集團利用的事件，從經營雅虎奇摩購物中心的興奇科技、東森購物、Payeasy，以及金石堂、博客來與誠品網路書店等知名業者，皆傳出類似事件。但警方調查除東森購物有相關企業主管涉嫌盜賣個人資料外，其他業者都未查出內部資料外洩異常。警方認為，在個人一般資料氾濫的情況下，透過比對使用者個人資料，並藉以猜測帳號密碼的「資料拼圖」手法，恐怕已成為詐騙集團的最愛。

所謂資料拼圖，刑事局偵九隊表示，即是將不同來源取得的個人資料比對後，拼湊出完整的資料，再利用一般民眾喜歡用生日、電話號碼等特殊數字作為密碼的習慣，直接上網「測試」各種可能的帳號密碼組合。一旦成功，即可以合法的身份登入使用者帳號，直接觀看使用者的個人資料與各種記錄，讓資料更完整。

駭客在網路上利用資料拼圖手法最知名的案例，要算是去年底發生的Payeasy事件。去年12月9日晚間，Payeasy突然有來自中國大陸IP的大量異常登入，在被登入的3,9000多個會員帳號中，有14%遭測試成功，27%則是帳號正確、密碼錯誤。Payeasy發現異常後，便緊急封鎖特定IP，並通知會員更改密碼，事後雖未傳出用戶遭詐騙成功的案例，但確有用戶在事後接到詐騙電話。

刑事局犯罪預防科警務正常金蘭表示，一般民眾日常生活中填問卷、留資料抽獎等機會很多，這些資訊在被不法集團取得後，便可能被用來作為資料拼圖詐騙之用。

資安專家則表示，民眾應留意密碼的安全性。趨勢科技技術顧問簡勝財便說，不要用電話號碼、生日等數字作為密碼已是老生常談，但他仍提醒使用者一定要遵守，並定期更換密碼，以降低風險。此外，他亦表示，會盜錄使用者帳號密碼的木馬與鍵盤側錄程式仍十分猖獗，使用者一定要使用資安軟體，做好基本把關。

郵購、出版業亦曾倚重資料拼圖

儘管警方大力宣導，但資料拼圖並非新概念，早在二十年前郵購風行的年代，即已廣泛被利用。

曾投入郵購事業的PChome Online董事長詹宏志便曾在早前的訪問中表示，利用DM回函、電話訪問與直接向名單業者購買名單，並用來更新既有行銷資料庫的手法，在出版業與郵購界早已司空見慣，「沒想到如今讓詐騙集團學了去，」他說。

詹宏志說，過去每逢有雜誌社倒閉，過不久後就會傳出兜售訂戶名單的消息，市場上也一直留傳許多不同版本的名單，「過去我們是透過比對來減少重複投遞成本或挑選行銷目標，如今詐騙集團竟是用來猜測帳號密碼，手法一樣，目的卻十分不同，」他說。