首頁 ﹥ 法律資訊 > 個人資料保護法 > ●社交工程攻擊與個資保護 2017-07-06

社交工程攻擊與個資保護

黃于珊律師

「你剛剛在XX拍賣網站所購買的電腦，因簽帳時誤設為分期付款，現在要到ATM提款機重新設定，才能取消分期付款…」，這是許多人在進行電視購物或網路購物後不久，所會接到的電話。此時，因為詐騙方充分掌握被詐騙方的購物資訊，所以通常能輕易贏得被詐騙方的信任，而成功詐取財物。

此種攻擊（詐騙）方法的特色，在於先取得被攻擊方的背景資訊以贏得其信任，再藉此突破其防備而進一步取得其它重要資訊或成功詐取財物，這就是所謂的社交工程攻擊法（social attack）。除如前例發生在實體生活中之外，亦可能活躍於網路世界之中，如透過社群關係的包裝，散發夾帶惡意程式的email或其它通訊方式，甚至導引被攻擊方至釣魚網站，以取得帳號密碼。其中，關於攻擊目標背景資訊的取得及利用，可能會依其取得、利用方式的不同，而構成我國刑法及個資法的違反，本文茲以前述「ATM網路分期詐騙案」為例，分析各種消費者購物資訊之取得、利用方式，可能構成的違法態樣如下：

--關於刑法之規定

1、詐騙集團若係經由「入侵電視購物或網路購物公司電腦資料庫」的方式，以取得取得消費者的購物資訊，可能會違反刑法第358條「入侵電腦或相關設備罪」，及第359條「無故取得、刪除或變更電磁紀錄罪」之規定。此外，詐騙集團利用這些購物資訊對消費者進行詐騙之行為，亦構成刑法第339條的詐欺罪。

2、詐騙集團若係透過電視購物或網路購物公司之員工，以取得消費者之購物資訊，則該員工可能會違反刑法第317條「洩漏工商秘密罪」或第318-1條「洩漏電腦秘密罪」之規定。

3、此時，電視購物或網路購物公司應為刑法「妨害電腦使用罪」或「洩漏工商秘密罪」的被害人，而不會構成刑法之違反。

--關於個資法之規定

1、因消費者的購物資訊，通常會包含：消費者姓名、出生年月日、國民身分證統一編號、聯絡方式、財務情況、社會活動等，而屬個資法第2條第1款所規定之個資，因此這些資料的蒐集、處理及利用皆應受到個資法所規範。

2、詐騙集團不論係由「入侵電視購物或網路購物公司電腦資料庫」的方式，或是透過電視購物或網路購物公司之員工，來取得消費者之購物資訊，皆已違反個資法第19條「非公務機關對個資之蒐集或處理」之規定，此外，其利用這些資訊對消費者進行詐騙的行為，亦違反個資法第20條第1項「非公務機關對個人資料之利用」之規定，除須依第29條之規定對於被害人負擔損害賠償責任外，行政機關也可依第47條之規定對其處以行政罰鍰，同時，其還可能依第41條第1項之規定，被課予刑事責任。

3、若電視購物或網路購物公司未能採取適當的安全措施，致駭客入侵到它的電腦資料庫以取得消費者個人資料，或是其員工洩漏消費者個人資料，依個資法第29條及第28條第4項之規定，該公司對於上述消費者須依侵害情節以每人每一事件500元以上2萬元以下來負擔損害賠償責任，惟其合計最高總額以2億元為限。

確保個資安全才能有效防堵社交工程攻擊

社交工程攻擊就是一種攻擊方利用被攻擊方的個人資料，來建立其信任，並突破其防備的攻擊模式，因此，若將個人資料妥善保管，且謹慎提防披著羊皮的豺狼濫用社群關係，將能減少資料被攻擊方取得之機會，並降低遭受社交工程攻擊的風險。