法律諮詢及常年法律顧問、刑事法律、民事法律、企業法律、行政救濟、智財法律、各類書狀之代撰、審核或見證。法律諮詢及常年法律顧問、刑事法律、民事法律、企業法律、行政救濟、智財法律、各類書狀之代撰、審核或見證。法律諮詢及常年法律顧問、刑事法律、民事法律、企業法律、行政救濟、智財法律、各類書狀之代撰、審核或見證。法律諮詢及常年法律顧問、刑事法律、民事法律、企業法律、行政救濟、智財法律、各類書狀之代撰、審核或見證。法律諮詢及常年法律顧問、刑事法律、民事法律、企業法律、行政救濟、智財法律、各類書狀之代撰、審核或見證。法律諮詢及常年法律顧問、刑事法律、民事法律、企業法律、行政救濟、智財法律、各類書狀之代撰、審核或見證。

法律資訊

社交工程攻擊與個資保護

黃于珊律師

 

「你剛剛在XX拍賣網站所購買的電腦,因簽帳時誤設為分期付款,現在要到ATM提款機重新設定,才能取消分期付款」,這是許多人在進行電視購物或網路購物後不久,所會接到的電話。此時,因為詐騙方充分掌握被詐騙方的購物資訊,所以通常能輕易贏得被詐騙方的信任,而成功詐取財物。

 

此種攻擊(詐騙)方法的特色,在於先取得被攻擊方的背景資訊以贏得其信任,再藉此突破其防備而進一步取得其它重要資訊或成功詐取財物,這就是所謂的社交工程攻擊法(social attack)。除如前例發生在實體生活中之外,亦可能活躍於網路世界之中,如透過社群關係的包裝,散發夾帶惡意程式的email或其它通訊方式,甚至導引被攻擊方至釣魚網站,以取得帳號密碼。其中,關於攻擊目標背景資訊的取得及利用,可能會依其取得、利用方式的不同,而構成我國刑法及個資法的違反,本文茲以前述「ATM網路分期詐騙案」為例,分析各種消費者購物資訊之取得、利用方式,可能構成的違法態樣如下:

 

--關於刑法之規定

 

1、詐騙集團若係經由「入侵電視購物或網路購物公司電腦資料庫」的方式,以取得取得消費者的購物資訊,可能會違反刑法第358條「入侵電腦或相關設備罪」,及第359條「無故取得、刪除或變更電磁紀錄罪」之規定。此外,詐騙集團利用這些購物資訊對消費者進行詐騙之行為,亦構成刑法第339條的詐欺罪。

2、詐騙集團若係透過電視購物或網路購物公司之員工,以取得消費者之購物資訊,則該員工可能會違反刑法第317條「洩漏工商秘密罪」或第318-1條「洩漏電腦秘密罪」之規定。

3、此時,電視購物或網路購物公司應為刑法「妨害電腦使用罪」或「洩漏工商秘密罪」的被害人,而不會構成刑法之違反。

 

--關於個資法之規定

 

1、因消費者的購物資訊,通常會包含:消費者姓名、出生年月日、國民身分證統一編號、聯絡方式、財務情況、社會活動等,而屬個資法第2條第1款所規定之個資,因此這些資料的蒐集、處理及利用皆應受到個資法所規範。

2、詐騙集團不論係由「入侵電視購物或網路購物公司電腦資料庫」的方式,或是透過電視購物或網路購物公司之員工,來取得消費者之購物資訊,皆已違反個資法第19條「非公務機關對個資之蒐集或處理」之規定此外,其利用這些資訊對消費者進行詐騙的行為,亦違反個資法第20條第1項「非公務機關對個人資料之利用」之規定除須依第29條之規定對於被害人負擔損害賠償責任外,行政機關也可依第47條之規定對其處以行政罰鍰,同時,其還可能依第41條第1項之規定,被課予刑事責任

3、若電視購物或網路購物公司未能採取適當的安全措施,致駭客入侵到它的電腦資料庫以取得消費者個人資料,或是其員工洩漏消費者個人資料,依個資法29條及第28條第4項之規定,該公司對於上述消費者須依侵害情節以每人每一事件500元以上2萬元以下來負擔損害賠償責任,惟其合計最高總額以2億元為限。

 

確保個資安全才能有效防堵社交工程攻擊

 

社交工程攻擊就是一種攻擊方利用被攻擊方的個人資料,來建立其信任,並突破其防備的攻擊模式,因此,若將個人資料妥善保管,且謹慎提防披著羊皮的豺狼濫用社群關係,將能減少資料被攻擊方取得之機會,並降低遭受社交工程攻擊的風險。