◎廉政警示站
一、交通部民用航空局科員兼任公共關係室國會組組長郭○○,涉嫌不實核銷民航局短程計程車資案,經臺灣高等法院依行使偽造私文書罪(共玖罪)各處 有期徒刑參月,應執行有期徒刑貳年,如易科罰金以新台幣壹千元折算壹日,緩刑伍年。
郭○○係為交通部民用航空局(下稱民航局)科員兼任公共關係室國會組組長,負責民航局與立法院立法委員間之聯絡,協助交通部預算審查、法案推動、立法院考察事項、公聽會、記者會、協調會等工作,為依法令服務於國家所屬機關且有法定職務權限之公務員。其明知民航局短程計程車資請領須因公務需要外出,覈實結報,且依民航局 100 年 6 月 28 日起實施之「交通部民用航空局短程車資交通費用申請原則」規定,除因公務需要外出,尚須經聯絡民航局臺北站車輛中心派車後,確實無車可派,方能搭乘計程車,且要實際搭乘計程車並檢據核銷,搭乘其他交通工具或自行駕車支出之費用均不能辦理核銷之規定。
郭○○卻於 100 年 1 月份起至 10 月份止,係駕駛其私人所有之自小客車為交通工具,前往立法院或其他機關洽公,並未實際搭乘計程車,竟於前述洽公行程結束後,在民航局支出證明單(100 年 6 月份前適用)或民用航空局短程計程車費支出證明單(100 年 7 月份後適用)之私文書上,不實填寫計程車資向民航局辦理核銷,共計新臺幣 3 萬 6,075 元。案經檢察官依違反貪污治罪條例第 5 條第 1 項第 2 款起訴,後經臺灣高等法院改依行使偽造私文書罪(共玖罪)各處有期徒刑參月,應執行有期徒刑貳年,如易科罰金以新台幣壹千元折算壹日,緩刑伍年。
二、交通部臺中港務局技正袁○○涉犯利用職務上機會詐取財物罪,業經臺灣臺中地方法院判決有罪。
袁○○ 明知公務員出差旅費之申請應確實填寫出差旅費報告單,並據實請領出差費用,意圖為自己不法之所有,自 98 年 9 月起至 100 年 6 月間,明知實際上未前往出差地出差或雖有至出差地出差但先行離開,致其申請之國內出差事由已中止,依法不得以各該出差事由申報請領出差旅費,竟基於利用職務上機會詐取財物之犯意,先後 6 次於申准之原公差假單所載出差日結束後之翌日或數日內,未據實修改差假單即製作單據請領出差旅費,致臺中港務局會計室承辦人員陷於錯誤而如數發放。
案經移送臺灣臺中地方法院檢察署,檢察官偵查終結予以起訴,業經臺灣臺中地方法院於 103 年 2 月 19 日一審判決,袁○○違反貪污治罪條例第5條第1項第2款利用職務詐取財物等罪,處有期徒刑貳年,緩刑參年。褫奪公權貳年。
三、行政院退除役官兵輔導委員會板橋榮譽國民之家前主任鄭○○等 6 人涉犯侵占公有財物等罪案,業經臺灣新北地方法院判決有罪。
板橋榮家前主任鄭○○等 6 人,涉嫌於板橋榮家 99 年進行「家區設施環境總體營造工程」改建期間,利用其等職務上之機會,除將拆卸之板橋榮家公有財物私下變賣牟利外,並向承攬廠商收受賄賂及要求業者開立不實發票以詐領公款乙案,經本署調查完竣後,移送臺灣新北地方法院檢察署偵辦並經檢察官起訴,全案業經臺灣新北地方法院以板橋榮家前主任鄭○○、前副主任林○○、前秘書室主任趙○○、秘書室組員黃○○及葉○○、秘書室工友朱○○等 6 人,分(共)犯貪污治罪條例第 4 條第 1 項第 1款侵占公有財物罪、同法第 5 條第 1 項第 2、3 款之利用職務機會詐取財物罪及對於職務上之行為收受賄賂罪,分別判處鄭○○應執行有期徒刑 10年,禠奪公權 5 年。林○○應執行有期徒刑 9 年 10 月,禠奪公權 5 年。趙○○應執行有期徒刑 8 年,禠奪公權 4 年。朱○○應執行有期徒刑 7 年 7月,禠奪公權 4 年。黃○○有期徒刑 3 年 7 月,禠奪公權 2 年。葉○○有期徒刑 2 年,禠奪公權 1 年。
◎廉政新知 個人資料保護法實務探討─公務機關篇 李志強
壹、前言
隨著電子科技日新月異,打開電腦或手機,透過網際網路幾乎可以輕易搜尋到任何資訊,自然也包括個人資料在內。從國際發展的趨勢來看,這也是為何經濟合作暨發展組織(OECD)、亞太經合會(APEC)或者是歐盟,對於個人資料保護越趨嚴謹之主因。公務機關擁有數量龐大的個人資料,惟恐洩漏遭致責任追究,不僅公文書使用許多○○○,甚至不問原由一律拒絕提供所持有之個人資料,究其原因主要是曲解《個人資料保護法》(簡稱個資法),誤以為個人資料只能保管而不能合理利用。為避免發生上述情事,作者認為根本之道,即是公務機關應清楚了解相關規定之內涵,除可化解疑慮外,並達到保護人格權免受侵害,以及促進個人資料合理利用等多重目的。有感於此,本文將先釐清重要概念,再從實務上解說公務機關蒐集、處理及利用個人資料之原則與例外。
貳、概念釐清
首先須知道,不論是公務機關或非公務機關,凡是蒐集、處理或利用個人資料,應以尊重當事人權益為原則,依誠實及信用方法為之,且不得逾越法務部會同相關主管機關所函頒總計182項特定目的之範圍;公務機關在一般業務上較常用者,如代號(下同)002人事管理、039行政裁罰、行政調查、119發照與登記,若查無符合項目,中央機關可援引171其他(內部單位管理、公共事務監督、行政協助及相關業務),地方政府機關則可引用175其他項目。
再者,個人資料的三種行為態樣是蒐集、處理及利用。蒐集是指以任何方式取得個人資料,如公務機關受理民眾填具之申請文件即為直接蒐集,而若非由當事人提供者則屬間接蒐集;處理是指為建立或利用個人資料檔案所為資料之記錄、輸入、儲存、編輯、複製、輸出、連結或內部傳送,如影印民眾之申請文件;利用是指將蒐集之個人資料為處理以外之使用,如公務機關依據民眾之申請核發證明書。
參、實務探討
本於為民服務之精神,公務機關執行法定職務,自有蒐集、處理個人資料之必要,依個資法規定,公務機關對個人資料之蒐集或處理,除特種個人資料(指醫療、基因、性生活、健康檢查及犯罪前科)外,應有特定目的,並符合下列情形之一者:(一)執行法定職務必要範圍內。(二)經當事人書面同意。(三)對當事人權益無侵害。為釐清上開規定,以下重點說明法務部相關解釋:
一、政府機關之人事單位,基於人事管理或公務聯繫業務推動之目的,並於執行法定職務之必要範圍內為蒐集、處理及利用員工之個人資料,無須再經當事者書面同意。
二、財政部為發給統一發票中獎獎金而「蒐集」中獎人個人資料,係為執行法定職務並基於稅務行政特定目的;又利用註冊整合服務平台匯入統一發票中獎者個人資料,屬於對個人資料特定目的之利用。
三、各地衛生局為進行自殺防治工作及死因統計完整性與正確性而蒐集個人資料,係執行法定職務必要範圍且屬公共衛生之特定目的。
四、刑事警察機關向交通部臺灣區國道高速公路局(簡稱高公局)蒐集個人車行紀錄資料,乃基於刑事偵查之特定目的,並符合於執行法定職務必要範圍內要件。
五、法務部行政執行署所屬各分署為執行公法上金錢給付義務強制執行之法定職務,因義務人遷離戶籍地或住居所不明,致使執行人員無從掌握行蹤,故向醫療機構調查義務人通訊地址,應符合執行法定職務必要範圍內之規定。
六、村里長基於特定目的(如民政、社會行政、政令宣導、政府福利金或救濟金給付行政、選舉、罷免及公民投票行政),而於執行其法定職務必要範圍內,所為蒐集村里民姓名、聯絡電話等個人資料行為,並設置村里聯絡電話簿,乃符合個資法規定。
七、財政部國有財產署基於國有財產管理之特定目的,執行《國有財產法》相關法規之法定標售業務,係符合個資法規定而得蒐集、處理投標人之個人資料,並得於法定職務必要範圍內為特定目的內利用。
八、警察機關處理交通事故而蒐集、處理雙方當事人個人資料,係執行法定職務且基於交通事故處理警政特定目的,故得提供個人資料予他方,作為當事人進行後續損害賠償、和解、調解、鑑定及訴訟。
從上述說明可知,公務機關基於特定目的,並於執行法定職務之必要範圍內為蒐集、處理個人資料,無須再經當事人書面同意。在此必須說明,所稱法定職務,係指下列法規中所定公務機關之職務:(一)法律、法律授權之命令。(二)自治條例。(三)法律或自治條例授權之自治規則。(四)法律或中央法規授權之委辦規則。此外,公務機關若非執行法定職務,但經當事人書面同意或對當事人權益無侵害,亦屬蒐集或處理個人資料之合法情形。
接著探討公務機關對個人資料之利用部分,依個資法規定,應於執行法定職務必要範圍內,並與蒐集之特定目的相符。然最易滋生疑義者,即何時可為特定目的外之利用,法規列舉下列情形得為之:(一)法律明文規定。(二)為維護國家安全或增進公共利益。(三)為免除當事人之生命、身體、自由或財產上之危險。(四)為防止他人權益之重大危害。(五)公務機關或學術研究機構基於公共利益為統計或學術研究而有必要,且資料經過提供者處理後或蒐集者依其揭露方式無從識別特定之當事人。(六)有利於當事人權益。(七)經當事人書面同意。法務部相關重要函釋如下:
一、縣市政府為協助轄區內慈善團體(如廟宇)發放敬老金,單純提供符合資格之老人名冊,因屬「增進公共利益」或「有利於當事人權益」之情形,即得為特定目的外之利用,並無須事先取得當事人同意。
二、財政部財稅資料中心就其保有之個人資料,提供主管機關以審核低收入戶及中低收入戶資格,藉之促進國家社會福利資源之合理分配,乃符合「法律明文規定」及「為增進公共利益」之情形,自得為特定目的外之利用。
三、公立學校為達成教育或訓練行政目的,自得於榮譽榜揭示學生姓名,且無需過度遮掩姓名,否則亦有違個資法「促進個人資料之合理利用」意旨。
四、高公局為協助偵查犯罪需要,提供刑事警察機關電子收費系統車行紀錄資料(含車號、經過時間、經過地點等),屬符合「為維護國家安全或增進公共利益」之情形,故得為特定目的外之利用。
五、公立醫療機構提供個人資料予法務部行政執行署所屬各分署,俾以執行公法上金錢給付,可認符合「為維護國家安全或增進公共利益」,且非屬《醫療法》所定「無故洩漏」之情形。
六、村里長如於特定目的外利用村里民聯絡資料時,則應符合為增進公共利益、為防止他人權益之重大危害、經當事人書面同意,或為免除當事人之生命、身體、自由或財產上之危險等情形時,始得為之。
七、縣市政府警察局基於人事管理之特定目的所蒐集之加班資料,如提供議會作為監督審查之用,係屬「增進公共利益」,故得提供。
在此提醒,公務機關蒐集、處理或利用個人資料應於執行法定職務必要範圍內為之,且不得逾越特定目的。申言之,公務機關所採取之方法,應有助於目的之達成(適當性),並應選擇對人民權益損害最少(必要性或侵害最小性),且造成之損害不得與欲達成目的之利益顯失均衡(衡量性或狹義比例原則),亦即應符合比例原則之要求。
肆、結語
個資法修法將第四章更名為「損害賠償及團體訴訟」,主要變革為,當同一原因事實造成多數當事人權利受侵害時,財團法人或公益社團法人經被害當事人20人以上書面授與訴訟實施權,就得以自己名義提起損害賠償訴訟。由於公務機關擁有大量個人資料,為免引致團體訴訟及刑事追究,實應協助同仁建立風險意識,明確掌握個人資料蒐集、處理及利用之原則與例外並落實執行,始為減少糾紛及訟源之上策。
----摘取自法務部調查局清流月刊103年2月版----
◎法治視窗/刑法電腦犯罪案例篇(一) 文 / 陳怡如教授
十九歲的小龍是大學生,跟班上同年齡的小君是一對戀人,由於小龍在社團活動十分活躍,引來不少女生主動追求,這樣的情形讓小君很沒安全感,小龍和小君的戀情可以順利嗎?小龍在校園的其他行為是否也沒問題?
壹、狹義的電腦犯罪
所謂狹義的電腦犯罪,通常是指刑法第三十六章的妨害電腦使用罪,茲以上例延伸舉例說明如下:
Q:倘若小君想要了解小龍的交友情況,於是便破解小龍電子郵件和臉書的帳號密碼,偷看小龍的信和與其他女生的對話,此種行為有罪嗎?
刑法第358條規定:「無故輸入他人帳號密碼、破解使用電腦之保護措施或利用電腦系統之漏洞,而入侵他人之電腦或其相關設備者,處三年以下有期徒刑、拘役或科或併科十萬元以下罰金。」小君會觸犯刑法第358條的無故入侵電腦罪。
Q:倘若小君偷看小龍的信和對話後,發現他和其他女生往來甚為密切,於是便以小龍的名義發信給對方,要對方不要糾纏不清,此種行為有罪嗎?
刑法第220條第1項規定:「在紙上或物品上之文字、符號、圖畫、照像,依習慣或特約,足以為表示其用意之證明者,關於本章及本章以外各罪,以文書論。」第2項規定:「錄音、錄影或電磁紀錄,藉機器或電腦之處理所顯示之聲音、影像或符號,足以為表示其用意之證明者,亦同。」第210條規定:「偽造、變造私文書,足以生損害於公眾或他人者,處五年以下有期徒刑。」第216條規定:「行使第二百一十條至第二百一十五條之文書者,依偽造、變造文書或登載不實事項或使登載不實事項之規定處斷。」小君除觸犯刑法第358條無故入侵電腦罪外,尚觸犯刑法第216條、第210條、第220條第2項行使偽造準私文書罪(其偽造上開準私文書後,復持以行使,其偽造之低度行為為行使之高度行為吸收,不另論罪)。此為廣義之電腦犯罪。
Q:倘若小君偷看小龍的信和對話後,發現他和其他女生往來甚為密切,一氣之下便將相關信件及對話刪除,此種行為有罪嗎?
刑法第359條規定:「無故取得、刪除或變更他人電腦或其相關設備之電磁紀錄,致生損害於公眾或他人者,處五年以下有期徒刑、拘役或科或併科二十萬元以下罰金。」小君除觸犯刑法第358條無故入侵電腦罪外,尚觸犯刑法第359條無故刪除電磁紀錄罪。
Q:倘若小君偷看小龍的信和對話後,發現他和其他女生往來甚為密切,於是便取得那些女生的電子信箱資料,另外申請新的信箱發送病毒信給對方,此種行為有罪嗎?
刑法第359條規定:「無故取得、刪除或變更他人電腦或其相關設備之電磁紀錄,致生損害於公眾或他人者,處五年以下有期徒刑、拘役或科或併科二十萬元以下罰金。」第360條規定:「無故以電腦程式或其他電磁方式干擾他人電腦或其相關設備,致生損害於公眾或他人者,處三年以下有期徒刑、拘役或科或併科十萬元以下罰金。」小君除觸犯刑法第358條無故入侵電腦罪外,尚觸犯刑法第359條無故取得電磁紀錄罪。至於發送病毒信如導致對方電腦運作緩慢終至當機癱瘓,將觸犯刑法第360條無故干擾電腦罪;如係導致電腦資料被刪除,則將觸犯刑法第359條無故刪除電磁紀錄罪。
Q:倘若小君發送病毒信的病毒是由哥哥寫的程式所提供,則哥哥有罪嗎?
刑法第362條規定:「製作專供犯本章之罪之電腦程式,而供自己或他人犯本章之罪,致生損害於公眾或他人者,處五年以下有期徒刑、拘役或科或併科二十萬元以下罰金。」哥哥觸犯刑法第362條製作犯罪電腦程式罪。
Q:以上有關小君及哥哥所觸犯的罪,是否須告訴乃論?
刑法第363條規定:「第三百五十八條至第三百六十條之罪,須告訴乃論。」小君所犯刑法第358條至第360條之罪,均須告訴乃論,但其所犯刑法第216條、第210條、第220條第2項行使偽造準私文書罪,則不須告訴乃論。哥哥觸犯刑法第362條製作犯罪電腦程式罪,亦不須告訴乃論。有關告訴乃論之罪,小君可與被害人私下成立和解並使被害人承諾放棄提出告訴,倘若和解成立前被害人已經提出告訴,嗣和解成立後被害人始撤回告訴,且有和解書及撤回告訴狀可為證,則法院即應諭知不受理之判決。但有關非告訴乃論之罪,經被害人報警,如證據確鑿移送檢察官,檢察官偵查終結後即有義務提起公訴,此時和解僅會影響法官量刑。
Q:倘若小龍得知小君所做的一切後,憤而與小君分手,小君為忘卻失戀的痛苦,於是將所有心力投入國家考試的準備上,在放榜的前幾天,小君拜託哥哥入侵政府網站查看成績,哥哥及小君是否有罪?
刑法第358條規定:「無故輸入他人帳號密碼、破解使用電腦之保護措施或利用電腦系統之漏洞,而入侵他人之電腦或其相關設備者,處三年以下有期徒刑、拘役或科或併科十萬元以下罰金。」第361條規定:「對於公務機關之電腦或其相關設備犯前三條之罪者,加重其刑至二分之一。」第29條規定:「教唆他人使之實行犯罪行為者,為教唆犯。教唆犯之處罰,依其所教唆之罪處罰之。」小君的哥哥會觸犯刑法第358條無故入侵電腦罪,且應加重其刑至二分之一,小君則為哥哥所犯之罪之教唆犯。
Q:承前,小君拜託哥哥入侵政府網站查看成績後,發現小君落榜,於是小君進一步拜託哥哥修改成績使其榜上有名,哥哥及小君是否有罪?
刑法第359條規定:「無故取得、刪除或變更他人電腦或其相關設備之電磁紀錄,致生損害於公眾或他人者,處五年以下有期徒刑、拘役或科或併科二十萬元以下罰金。」第361條規定:「對於公務機關之電腦或其相關設備犯前三條之罪者,加重其刑至二分之一。」第29條規定:「教唆他人使之實行犯罪行為者,為教唆犯。教唆犯之處罰,依其所教唆之罪處罰之。」小君的哥哥除觸犯刑法第358條無故入侵電腦罪外,尚觸犯刑法第359條無故變更電磁紀錄罪,且應加重其刑至二分之一,小君則為哥哥所犯之罪之教唆犯。
Q:承前,小君的哥哥幫小君修改成績使其榜上有名後,又竊取資料庫中其他考生資料,並賣給補習班大賺一筆,哥哥此種行為有罪嗎?
刑法第359條規定:「無故取得、刪除或變更他人電腦或其相關設備之電磁紀錄,致生損害於公眾或他人者,處五年以下有期徒刑、拘役或科或併科二十萬元以下罰金。」第361條規定:「對於公務機關之電腦或其相關設備犯前三條之罪者,加重其刑至二分之一。」第318-1條規定:「無故洩漏因利用電腦或其他相關設備知悉或持有他人之秘密者,處二年以下有期徒刑、拘役或五千元以下罰金。」小君的哥哥除觸犯刑法第358條無故入侵電腦罪、第359條無故變更電磁紀錄罪外,尚觸犯第359條無故取得電磁紀錄罪,應加重其刑至二分之一,此外尚觸犯刑法第318-1條無故洩漏電腦秘密罪。
Q:倘若小龍為選到某些熱門課程,竟入侵學校網站,將已選上該課程某位同學的姓名刪除,並改成自己的名字,此種行為有罪嗎?
刑法第358條規定:「無故輸入他人帳號密碼、破解使用電腦之保護措施或利用電腦系統之漏洞,而入侵他人之電腦或其相關設備者,處三年以下有期徒刑、拘役或科或併科十萬元以下罰金。」第359條規定:「無故取得、刪除或變更他人電腦或其相關設備之電磁紀錄,致生損害於公眾或他人者,處五年以下有期徒刑、拘役或科或併科二十萬元以下罰金。」小龍會觸犯刑法第358條無故入侵電腦罪及第359條無故變更電磁紀錄罪。
Q:倘若小龍與他的朋友串通好,由他的朋友撰寫可以保證選到心目中理想課程的電腦程式,小龍則負責向同學販賣這套保證選到課的服務,結果導致其他沒購買的同學都選不到課,小龍及他的朋友有罪嗎?
刑法第362條規定:「製作專供犯本章之罪之電腦程式,而供自己或他人犯本章之罪,致生損害於公眾或他人者,處五年以下有期徒刑、拘役或科或併科二十萬元以下罰金。」第360條規定:「無故以電腦程式或其他電磁方式干擾他人電腦或其相關設備,致生損害於公眾或他人者,處三年以下有期徒刑、拘役或科或併科十萬元以下罰金。」第28條規定:「二人以上共同實行犯罪之行為者,皆為正犯。」小龍及他的朋友會觸犯刑法第362條製作犯罪電腦程式罪及第360條無故干擾電腦罪,兩人為共同正犯。
Q:倘若小龍與他的朋友又串通好,由他的朋友當駭客入侵某網路購物中心以取得客戶資料,再由小龍負責賣給他人,小龍及他的朋友有罪嗎?
刑法第358條規定:「無故輸入他人帳號密碼、破解使用電腦之保護措施或利用電腦系統之漏洞,而入侵他人之電腦或其相關設備者,處三年以下有期徒刑、拘役或科或併科十萬元以下罰金。」第359條規定:「無故取得、刪除或變更他人電腦或其相關設備之電磁紀錄,致生損害於公眾或他人者,處五年以下有期徒刑、拘役或科或併科二十萬元以下罰金。」第318-1條規定:「無故洩漏因利用電腦或其他相關設備知悉或持有他人之秘密者,處二年以下有期徒刑、拘役或五千元以下罰金。」第28條規定:「二人以上共同實行犯罪之行為者,皆為正犯。」小龍及他的朋友會觸犯刑法第358條無故入侵電腦罪、第359條無故取得電磁紀錄罪、第318-1條無故洩漏電腦秘密罪,兩人為共同正犯。
Q:倘若小龍在玩線上遊戲時,常常入侵他人帳號以盜取虛擬寶物,小龍有罪嗎?
刑法第358條規定:「無故輸入他人帳號密碼、破解使用電腦之保護措施或利用電腦系統之漏洞,而入侵他人之電腦或其相關設備者,處三年以下有期徒刑、拘役或科或併科十萬元以下罰金。」第359條規定:「無故取得、刪除或變更他人電腦或其相關設備之電磁紀錄,致生損害於公眾或他人者,處五年以下有期徒刑、拘役或科或併科二十萬元以下罰金。」(有關電磁紀錄是否可成為竊盜罪之行為客體,立法理由指出,學界及實務界向認為:刑法上所稱之竊盜,須符合破壞他人持有、建立自己持有之要件,而電磁紀錄具有可複製性,此與電能、熱能或其他能量經使用後即消耗殆盡之特性不同;且行為人於建立自己持有時,未必會同時破壞他人對該電磁紀錄之持有。因此將電磁紀錄竊盜納入竊盜罪章規範,與刑法傳統之竊盜罪構成要件有所扞格。為因應電磁紀錄之可複製性,並期使電腦及網路犯罪規範體系更為完整,有關竊取電磁紀錄之行為乃納入妨害電腦使用罪章中規範,即刑法第359條規定之罪。)小龍會觸犯刑法第358條無故入侵電腦罪及第359條無故取得電磁紀錄罪。
----(本文轉載自台灣法律網網頁)----
◎資訊安全宣導—淺談電子郵件社交工程演練 吳信東
資訊安全工作一直都是各公、私立機關、公司、學校的電腦部門最重要的工作之一,資訊安全除了仰賴價格不便宜的軟、硬體設備,如入侵防禦系統(IPS, Intrusion Prevention System)、防火牆系統、防毒軟體、郵件過濾系統及漏洞修補系統…等之外,更重要的是,所有的電腦使用者也必須要有高度的警覺心,對於任何可疑的檔案複製、超連結、電子郵件,以及上、下載傳輸資料,都要小心謹慎地使用,避免因為一時的疏忽,輕則個人的電腦資料遭毀損或竊取,重則整個機關、公司、學校的資料被竊取或毀損。要提高電腦使用者的警覺心,資訊人員便需要定期或不定期辦理各種資安工作演練。
電腦使用者之間互相傳遞或分享照片、檔案、訊息等,可以使用的工具相當多,常見的包括社群軟體(如臉書Facebook)、Skype、Line及雲端硬碟,而電子郵件可以算是歷史最久,也依然最普遍被使用的工具。各式各樣利用電子郵件的攻擊和威脅,如病毒郵件、釣魚郵件、炸彈郵件、內部異常濫發郵件等攻擊,也如影隨形存在至今。如何提醒電腦使用者不要開啟來路不明的電子郵件,或可疑的電子郵件,不僅成了資訊管理人員的重要工作之一,也是資安工作重要的一環。
為了訓練及養成電腦使用者不開啟可疑或來路不明電子郵件的習慣,資訊管理人員大都使用「電子郵件社交工程演練」方式,即利用假名字的寄件者,以吸引人閱讀的郵件主旨,誘惑收件人打開電子郵件,甚至點閱該郵件的附件,進而回傳至系統後台,統計有哪些電腦使用者點閱了多少封可疑的電子郵件;資訊人員便可針對警戒心較弱的同仁,加強教育訓練宣導,以提高資訊系統的安全度。
另外,社交工程演練的電子郵件,必須具備多樣性才足以吸引使用者開啟。以筆者服務的機關而言,最近一次的演練郵件,類型包括休閒、娛樂、情色、保健、財經、政治等各方面,郵件主旨如「Candy Crush Saga全關卡破關攻略」、「主播吳O潔睡衣半開」、「善存的新聞─有在吃的朋友看清楚了」、「Costco十大必買」、「三流說風暴─七成網友認為陳○文發言失當」、「睡不好又打呼 罹患惡性腦癌風險提高47%」等;其中被開啟點閱的信件,經過統計後,最高的是「善存的新聞─有在吃的朋友看清楚了」及「Candy Crush Saga全關卡破關攻略」,顯見保健相關資訊和熱門的Candy遊戲,比較容易吸引電腦使用者開啟閱讀;而原先以為可以獲得較高開啟率的情色郵件,可能因為電腦使用者易產生警覺心,實際被開啟率反而不高。
電子郵件社交工程演練本來應該是一種長期性、持續的演練工作,這樣才能時時讓電腦使用者有所警覺,不會輕易開啟可疑的信件。但是在實務上,礙於機關資訊人力有限,所以通常只能擇定一段時間範圍內(例如1年2次或每季1次),進行彈性不定時演練;以筆者服務的機關而言,101年進行了2次演練,第1次演練人數為803位同仁,其中188位同仁開啟郵件,112位同仁點閱郵件附件或點閱超連結,開啟率及點閱率分別為23.41%及13.81%;第2次演練人數為823位同仁,其中158位同仁開啟郵件及80位同仁點閱郵件附件或點閱超連結,開啟率及點閱率分別為19.19%及9.27%;102年第1次演練結果,演練人數為827位同仁,其中152位同仁開啟郵件及36位同仁點閱郵件附件或點閱超連結,開啟率及點閱率分別為18.37%及4.35%。
由這3次演練成果比較,開啟率由23.41%下降到18.37%,點閱率由13.81%下降到4.35%,顯見透過機關內部經常性的宣導,再加上實際演練後,電腦使用者確實會產生警覺心,因此開啟率及點閱率均有進步;但開啟率在101年第2次演練由19.19%到102年第1次演練僅下降到18.37%,進步較小,分析其原因,可能是有部分新進同仁初到機關工作,對於可疑電子郵件的警覺心尚未建立,致機關整體進步有限,也顯示機關對新進同仁的電腦教育訓練還可以再加強。
為了讓開啟及點閱演練郵件的同仁有所警惕,機關可以適當地以各部門為單位,公布演練不合格的同仁名單,通常這樣所得到的警惕效果相當大;但也會有部分同仁較難接受演練未通過的結果,進而打電話或親自到資訊中心詢問,此時資訊人員可提供更完整的演練資訊,如開啟演練信件的電腦IP、開啟日期、開啟時間等,並再耐心說明演練的目的及資訊安全的重要性,藉此加強宣導。
防範惡意電子郵件社交工程演練,只是資訊安全工作其中的一環;整體資訊安全的工作相當繁雜,其他重點工作尚有:從作業要點的訂定開始,就必須考量資安預防及危機處理;資訊人員本身也要不斷充實各種資安新知,甚至是通過專業證照考試;如果機關經費足夠的話,可以申請資訊安全管理系統ISMS(Information Security Management System)的第三者驗證;另外如系統防護設備的購置、安裝及設定等。包括這些防護設備的持續維護及更新,都需要資訊人員長期不斷地投入。希望藉由本篇淺顯的短文,讓電腦使用者了解電子郵件社交工程演練的意義、重要性,及整體資訊安全工作的概略。
----摘取自法務部調查局清流月刊103年2月版----
◎常見詐騙案例犯罪手法及預防方式/好亮好漂亮!?假帥哥英國鑽石商 騙倒高學歷熟女
真是吃人夠夠!一名擁有國外大學學歷的熟女專業人士小馨(化名),去(102)年在網路上結識英國珠寶商David並相談甚歡,半年後某日David突然拜託小馨幫他簽收一批海運來臺展店的鑽石,誰知連鑽石的影子都還沒看到,就有自稱貨運公司的業者致電小馨,陸續以貨物超重、貨物增值稅等為由,不斷要求她匯款繳錢才能取貨,前前後後共詐得兩百多萬元,堪稱跨國版的剝皮詐騙集團。
在花蓮從事自由業的小馨(女,48歲,大學畢業)去年5月份在臉書(Facebook)上透過網友結識自稱在英國開珠寶公司的David,由於對方臉書上的照片金髮碧眼一表人才不像壞人,兼之談吐幽默風趣,很快就鬆懈了小馨的心防,兩人經常用電話以英語聊天,David提及自己計劃到臺灣開分公司,甚至常有意無意暗示這樣兩人就可以相約見面。去年12月初,David致電小馨說自己到馬來西亞出差,並已訂購一批鑽石珠寶準備運到臺灣展店,但意外遭竊身無分文,以可憐語氣拜託小馨幫他簽收這批鑽石,還強調所有貨運及手續費用都已處理完畢,小馨心軟同意,詎料這就是剝皮三部曲的開始。首先,詐騙集團假扮的「貨運公司」來電通知出貨,還煞有其事地給了小馨「追蹤貨物編號」;過沒幾天,就表示貨物超重滯留在香港,必須繳交「超重費」(約新臺幣76萬元),此時David適時來電請小馨先幫他墊付這筆「超重費」,並稱貨運物品中有9萬英鎊現鈔,貨到後小馨可自行將墊付的部份拿走。小馨依言匯款後,「貨運公司」展開剝皮第二步,發電郵要求支付「增值稅」(約新臺幣134萬元),此時David又「剛好」來電表示不知道有這筆費用,再度請小馨墊付並等貨到後拿裡面的英鎊抵償,小馨因此又分4次將134萬元匯給對方。今年1月初,「貨運公司」進行剝皮第三步,以電郵通知小馨繳交「2014年增值稅」,此時小馨終於感到不對勁,打電話向認識的報關行求證,始恍然大悟受騙報案。
令人匪夷所思的是,被騙走兩百多萬元的小馨直到向警方報案時,還堅信騙她錢的是假貨運公司而不是David,還說David在電話中只有關心貨運狀況,並未向她詐財,讓警方不得不搖頭嘆道,美男計實在太厲害。刑事警察局指出,詐騙集團結合網路交友和代收貨物的詐騙方式,以帥哥美女大頭貼在社交網站上尋找高學歷男女,刻意迎合對方喜好取得信任,並趁機摸清其經濟能力,這樣鎖定目標的過程甚至長達半年,可說是放長線釣大魚,最後再以代收貨物為由收網,假冒貨運公司用各種藉口一層一層剝皮詐財。警方呼籲,網路世界虛虛實實,民眾對素未謀面的網友萬萬不可貿然相信,尤其提出不合理的要求,甚至直接要求金錢援助,都是詐騙集團慣用的伎倆,如有任何疑問歡迎撥打165反詐騙諮詢專線查詢。
----摘取自刑事警察局全球資訊網----