個資外洩不止洩密,更釀詐騙危機
Scammers hacked her phone and stole thousands - so how did they get her details?
作者: Joe Tidy | 時間: Tue, 25 Nov 2025 04:58:08 GMT | 來源: BBC
f t
數據洩露越來越常見,當它發生在你身上時,可能很難知道該如何應對。人們常輕易地不予理會,但存在風險。
成為數據洩露的受害者,會增加你被犯罪分子和詐騙者盯上的風險。
蘇向BBC講述了詐騙者如何針對她。我們發現她的個人資料已在網路上洩露。
她成為了所謂SIM交換攻擊的受害者——詐騙者誘騙網絡運營商,讓對方以為他們是賬戶持有人,從而為手機設備獲取新SIM卡。
他們利用新SIM卡通過她的手機接管了幾乎所有線上賬戶。她表示這次經歷「非常可怕」。
「詐騙者控制了我的Gmail賬戶,然後因為安全檢查失敗,將我鎖在銀行賬戶之外,」她說。
蘇還被以她的名義開設了一張信用卡,犯罪分子購買了價值超過3,000英鎊的代金券。
她花費多次前往銀行和手機服務商的分行才取回賬戶。
但小偷並未罷休。
「詐騙者在入侵我的WhatsApp後還做了件陰險的事,」她說。「他們向我所屬的騎馬群組發送訊息,警告說有人即將前來刺殺馬匹。」
我們使用haveibeenpwned.com和Constella Intelligence等在線工具搜索黑客數據庫,查看蘇的資料是否曾在先前的洩露事件中受影響。
她的電話號碼、電子郵件地址、出生日期和實際住址均在2010年賭博平台PaddyPower和2019年郵件驗證工具Verifications.io的數據洩露事件中被洩露。其他被黑客攻擊的記錄合集也包含她的資料。
網絡安全公司Silobreaker的漢娜·鮑姆加特納表示,攻擊者可能利用先前洩露的個人數據實施了SIM交換攻擊。
「一旦他們獲取了蘇的電話號碼,就能攔截發送以驗證她身份的Gmail安全碼,」她說。
但詐騙者並不總是瞄準大額獲利。
來自巴西的弗蘭告訴BBC,她發現有人註冊了她的Netflix賬戶——並提高了她的月度訂閱費。
「我被收取了9.90美元(約7.50英鎊),儘管我並未進行這筆購買,」她說。
「我立即聯繫家人,想確認是否有人為我們共享的賬戶添加了其他個人檔案,但他們都說沒有。」
弗蘭成為常見詐騙的受害者,她的Netflix賬戶被蹭網者劫持。
目前尚不清楚他們是如何進入她賬戶的,網絡犯罪的模糊世界也難以確定單一數據洩露是否導致了詐騙。
但根據haveibeenpwned.com網站,我們發現弗蘭的電子郵件地址至少在四起數據洩露事件中被洩露,包括2024年網際網路檔案館、2024年Trello、2021年Descomplica和2020年Wattpad的黑客攻擊。
她用於Netflix賬戶的密碼未出現在公開數據庫中,但可能在其他數據庫中存在。
「破解Netflix、Disney和Spotify賬戶的市場非常龐大,」網絡安全公司Hudson Rock聯合創始人阿隆·加爾表示。
「這是網絡犯罪的低門檻入口點,將一家公司的數據洩露轉變為廣泛且持續的濫用行為。」
詐騙者常結合竊取的私人信息與公開信息。
不願透露真實姓名的莉亞經營一家使用Facebook廣告的小型企業,最近成為一場似乎源自越南的長期詐騙目標。
「我收到一封來自‘[email protected]’的釣魚郵件,稱我有應得退款。我點擊了連結並在偽造的Meta頁面上輸入詳細信息,詐騙者得以接管我的企業賬戶,儘管我啟用了雙重驗證。
「隨後,他們以我的名義發布兒童性虐待影片,導致我被封鎖。我甚至被禁止使用Messenger向Meta投訴。」
在莉亞取回企業賬戶的三天時間裡,詐騙者已為她支付了數百英鎊的廣告費用。她最終拿回了這筆錢。
Constella Intelligence的阿爾貝托·卡薩雷斯搜索了黑客數據庫,發現莉亞的電子郵件地址和其他詳細資料在Gravatar(2020年)和今年的澳洲航空(第三方洩露)數據洩露事件中被竊取。
「攻擊者似乎運用常見手法,將莉亞被竊的私人電子郵件地址與其公開列出的企業電話號碼連結,對該郵件賬戶發動針對性釣魚攻擊。」他說。
他表示,他們可能親自實施此操作,或付費給數據經紀商以獲取潛在目標名單。
大規模數據洩露正推動全球詐騙與後續黑客攻擊,光是2025年就發生多起高調攻擊事件。
根據Proton Mail的數據洩露觀測站統計,2025年迄今已確認794起可溯源的洩露事件,暴露超過3億筆個人記錄。
「犯罪分子願意為竊取的數據支付高價,因為這些數據能通過欺詐、勒索和網絡攻擊持續創造利潤,」該公司代表伊蒙·麥克瓜爾表示。
除通知客戶和監管機構外,企業在洩露事件後應如何協助受害者並無明確規範。
過去常見的做法是提供免費信用監測服務,例如去年Ticketmaster(其洩露事件影響5億人)曾向部分用戶提供此服務。
但今年提供此類服務的企業減少,如瑪莎百貨和澳洲航空均未向客戶提供。
合作社選擇向受害者發放10英鎊禮券——條件是需在其店內消費40英鎊。
部分受害者轉向法院尋求賠償,集體訴訟趨勢日漸增加。不過這類訴訟難以勝訴,因難以證明具體損害。
但也有成功案例:T-Mobile已開始賠付2021年重大數據洩露事件的受影響客戶,該事件影響7,600萬用戶。該公司同意支付3.5億美元,據報道賠付金額介於50至300美元之間。