資料外洩禍延不絕：從SIM卡交換攻擊到帳號劫持的現實威脅

Scammers hacked her phone and stole thousands - so how did they get her details?

作者: Joe Tidy | 時間: Tue, 25 Nov 2025 04:58:08 GMT | 來源: BBC

資料外洩已變得如此常見，當事件發生在自己身上時，很難知道該如何應對。人們常容易不以為意，但這存在風險。

成為資料外洩受害者，會增加遭犯罪集團與詐騙者鎖定的風險。

蘇向BBC說明詐騙者如何盯上她。我們發現她的個人資料已在網路上外洩。

她是所謂SIM卡交換攻擊的受害者——詐騙者誘使電信業者誤認他們是手機帳戶持有人，為其申辦新SIM卡。

他們利用這張SIM卡透過手機接管她幾乎所有線上帳戶。她表示這段經歷「令人崩潰」。

「詐騙者接管我的Gmail帳戶後，又因我未能通過安全驗證而鎖定我的銀行帳戶，」她說。

蘇還發現有人冒用她的身分開設信用卡，並購買超過3,000英鎊的禮券。

她多次前往銀行與電信公司門市，才取回帳戶控制權。

但盜匪的惡行尚未結束。

「詐騙者入侵我的WhatsApp後做了件陰險的事，」她說，「他們向我所屬的馬術社團發送訊息，謊稱有人要前來刺殺馬匹。」

我們使用haveibeenpwned.com與Constella Intelligence等線上工具搜尋駭客資料庫，確認蘇的個人資料曾於2010年賭博平台PaddyPower及2019年電子郵件驗證工具Verifications.io的資料外洩事件中曝光。其他被駭資料庫亦包含她的個資。

網路安全公司Silobreaker的Hannah Baumgaertner指出，攻擊者可能利用先前外洩的個人資料發動SIM卡交換攻擊。

「一旦取得蘇的手機號碼，他們便能截獲用於驗證身分的Gmail安全驗證碼，」她表示。

但詐騙者並非總是追求高額獲利。

來自巴西的芙蘭告訴BBC，有人在她的Netflix帳戶註冊並調高月費。

「我的付款卡被收取9.90美元（約7.50英鎊），但這筆消費並非我本人所為，」她說。

「我立即聯繫家人確認是否有人新增帳戶使用權限，但大家都否認。」

芙蘭成為常見詐騙手法的受害者，她的Netflix帳戶被占便宜者劫持。

雖無法精確追溯駭客入侵管道，但資料顯示芙蘭的電子郵件地址曾於2024年Internet Archive、Trello、2021年Descomplica及2020年Wattpad的資料外洩事件中曝光。

她用於Netflix帳戶的密碼雖未見於公開資料庫，但可能存於其他未曝光資料庫。

網路安全公司Hudson Rock共同創辦人Alon Gal表示：「破解Netflix、Disney和Spotify帳戶在黑市需求旺盛，這是網路犯罪的低門檻入門點，將單一企業資料外洩轉化為廣泛且持續的濫用。」

詐騙者經常結合竊取的私密資訊與公開資料。

不願透露真實姓名的莉亞經營小型企業並使用Facebook廣告，近期疑似遭越南詐騙集團長期鎖定。

「我收到標題為『[email protected]』的釣魚郵件，聲稱我應獲退費。點擊連結後在偽造的Meta頁面輸入資料，儘管啟用雙重驗證，詐騙者仍接管了我的企業帳戶。

「他們更以我名義上傳兒童色情影片，導致我遭停權，甚至無法使用Messenger向Meta申訴。」

莉亞花了三天取回帳戶控制權，期間詐騙者已花費數百英鎊投放廣告。她最終追回款項。

Constella Intelligence的Alberto Casares查獲莉亞的電子郵件與個人資料曾於2020年Gravatar及今年Qantas（第三方資料外洩）事件中遭竊。

「攻擊者似乎運用常見手法，將莉亞遭竊的私人郵件地址與公開的商業電話號碼連結，發動針對性釣魚攻擊。」他指出。

這些資訊可能由駭客自行蒐集，或透過資料經紀人購買目標清單。

大規模資料外洩正助長全球詐騙與二次攻擊，僅2025年就發生多起重大攻擊。

根據Proton Mail資料外洩監測中心統計，2025年至今已確認為794起可識別來源的外洩事件，影響超過3億筆個人資料。

該公司Eamonn Maguire表示：「犯罪集團願為竊取資料支付高價，因其能透過詐騙、勒索與網路攻擊穩定獲利。」

除通知客戶與監管機構外，企業對受害者並無明確應對準則。提供免費信用監控服務曾是常見做法。

去年，遭遇5億人資料外洩的Ticketmaster曾向部分用戶提供此服務。

但今年愈來愈少企業採行此舉。例如M&S與Qantas均未向客戶提供此類服務。

Co-op選擇發放10英鎊折價券給受害者——前提是須在該店消費40英鎊。

部分受害者正透過法院尋求賠償，集體訴訟日趨增加，但因難以證明個人損害，勝訴機率偏低。

不過仍有成功案例。

T-Mobile已開始賠償2021年大規模資料外洩事件的7,600萬名受影響客戶。

該公司同意支付3.5億美元，單筆賠償金額據報介於50至300美元。

原文與圖片連結