資料外洩勿輕忽 詐騙風險潛伏
Scammers hacked her phone and stole thousands - so how did they get her details?
作者: Joe Tidy | 時間: Tue, 25 Nov 2025 04:58:08 GMT | 來源: BBC
f t
資料外洩日益普遍,當自身成為受害者時,人們往往不知如何應對,甚至容易一笑了之,但這隱藏著風險。
成為資料外洩的受害者,將增加你被犯罪分子和詐騙者鎖定的機率。
蘇向BBC講述了詐騙者如何針對她的經過。我們發現她的個人資料已遭線上洩漏。
她成為所謂SIM卡交換攻擊的受害者——詐騙者欺騙電信業者,讓對方誤以為自己是帳號持有人,從而為行動裝置取得新SIM卡。
他們利用此方式透過她的手機接管幾乎所有線上帳戶。她表示這段經歷「非常可怕」。
「詐騙者接管了我的Gmail帳戶,然後因為安全驗證失敗,將我擋在銀行帳戶之外,」她說。
蘇的名義下還被開設了一張信用卡,犯罪分子購買了超過3,000英鎊的禮品券。
她多次往返銀行和電信服務商分店,才終於奪回帳戶。
而這些竊賊的惡行尚未結束。
「犯罪分子入侵我的WhatsApp後還做了件陰險的事,」她說,「他們向我所屬的騎馬群組發送訊息,警告說有人正準備去捅馬匹。」
我們使用haveibeenpwned.com和Constella Intelligence等線上工具搜尋駭客資料庫,確認蘇的資料是否曾在先前的外洩事件中受影響。
她的電話號碼、電子郵件地址、出生日期和實際地址均於2010年賭博平台PaddyPower及2019年電子郵件驗證工具Verifications.io的資料外洩事件中曝光。其他駭客記錄彙編也包含她的資訊。
網路安全公司Silobreaker的漢娜·鮑姆加特納表示,攻擊者很可能利用先前外洩的個人資料發動這起SIM卡交換攻擊。
「一旦他們取得蘇的電話號碼,就能攔截所有用來驗證Gmail帳戶身份的安全驗證碼,」她說。
但詐騙者並非總以大筆獲利為目標。
來自巴西的法蘭向BBC表示,她發現有人註冊使用她的Netflix帳戶,並提高了每月訂閱費用。
「我的付款卡被收取9.90美元(約7.50英鎊),儘管我並未進行此項購買,」她說。
「我立即聯繫家人,詢問是否有人添加了新個人資料至我們共享的帳戶,但他們都說沒有。」
法蘭成為常見詐騙的受害者——她的Netflix帳戶被「白嫖客」劫持。
目前無法確切知道攻擊者如何入侵她的帳戶,網路犯罪的模糊性也讓單一資料外洩事件是否直接導致詐騙難以釐清。
但根據haveibeenpwned.com網站,法蘭的電子郵件地址至少在四起資料外洩事件中曝光,包括2024年的Internet Archive和Trello漏洞、2021年的Descomplica及2020年的Wattpad攻擊。
她用於Netflix帳戶的密碼未出現在公開資料庫中,但可能存於其他管道。
「破解Netflix、Disney和Spotify帳戶的黑市需求龐大,」網路安全公司Hudson Rock共同創辦人阿隆·加爾表示。
「這是網路犯罪的低門檻入門點,將一家公司的資料外洩轉化為廣泛且持續的濫用。」
詐騙者經常將竊取的私人資訊與公開資訊結合使用。
不願透露真實姓名的莉亞經營一家使用Facebook廣告的小企業,近期遭一場似乎源於越南的長期詐騙攻擊。
「我收到一封來自'[email protected]'的釣魚郵件,稱我應獲退費。我點擊連結並在假冒的Meta網頁輸入資料,儘管我啟用了雙重驗證,詐騙者仍奪取了我的企業帳戶。
「他們隨後以我的名義發布兒童性虐待影片,導致我遭封鎖。我甚至無法使用Messenger向Meta投訴。」
在莉亞花費三天奪回企業帳戶的期間,詐騙者已為她支付了數百英鎊的廣告費。她最終追回了款項。
Constella Intelligence的阿爾貝托·卡薩雷斯搜尋駭客資料庫後發現,莉亞的電子郵件地址及其他資料在2020年的Gravatar和今年的澳洲航空(第三方外洩)事件中遭竊。
「攻擊者似乎採用常見手法,將莉亞遭竊的私人電子郵件地址與其公開登記的商務電話號碼連結,發動針對性釣魚攻擊。」
他表示,攻擊者可能自行操作或透過數據經紀商付費購買潛在目標名單。
大規模資料外洩正推動全球詐騙及衍生攻擊,僅2025年就已發生多起高調攻擊事件。
根據Proton Mail資料外洩觀察站統計,2025年迄今已發現794起經確認的可追溯來源外洩事件,暴露逾3億筆個人記錄。
「犯罪分子願意為竊取資料支付高價,因為這些資料能持續透過詐騙、勒索和網路攻擊創造利潤,」該公司愛蒙·麥奎爾表示。
除了通知客戶和監管機構外,目前尚無硬性規定要求企業必須為受害者提供補償。
例如,提供免費信用監控服務過去很常見。
去年,Ticketmaster(5億人受外洩事件影響)曾向部分民眾提供此服務。
但今年較少企業這樣做。例如,馬莎百貨和澳洲航空均未向客戶提供此類服務。
英國合作協會則選擇向受害者提供10英鎊禮券——前提是他們須在該公司店內消費40英鎊。
一些受害者正試圖透過法院尋求補償,集體訴訟日益增多——但這些案件贏得難度極高,因難以證明個人遭受的具體影響。
不過部分訴訟已成功。
T-Mobile已開始賠償2021年資料外洩事件的受害者,該事件影響7,600萬客戶。
該公司同意支付3.5億美元——據報每人賠償額介於50至300美元之間。