【記者梁敬彥/台北報導】持續兩年多的新冠疫情,對社福團體及福音機構的捐款帶來衝擊,奉獻收入直線下滑。不料電腦駭客及詐騙集團,竟還染指這些社會善心人士和信徒的愛心支出,利用資安漏洞,駭入機構的雲端資料庫,竊取捐款人(會員)個資,進行信用卡盜刷及電話和ATM轉帳詐騙。
據擁有超過200個機構會員的公益團體自律聯盟(簡稱自律聯盟)表示,該聯盟中回報捐款人資料遭駭外洩,及捐款(奉獻)人接到詐騙電話及簡訊的機構團體,估計累積已有上百家受害,其中,聯盟會員就有60家。
自律聯盟提醒眾機構小心防範
自律聯盟理事長鄭信真牧師受訪時提醒,其實不單是最近傳出網路會員資料遭駭的以琳書房,以及被內政部警政署165全民詐騙網公開公告為「高風險賣場」的基督教芥菜種會及台灣世界展望會;從去年到今年,已有眾多社福團體陸續受害。
自律聯盟除了成立受害公益團體的Line社群,提供事件調查的進度報告以及建議行動方針,並接受會員團體委託,成為民刑事案件之代理人,積極協助刑事局調查。自律聯盟所委任的律師也負責協助會員後續民刑事案件相關事宜。
鄭牧師也提出自律聯盟Line社群裏的會員通報提醒,過去幾天有境外大量IP惡意攻擊機構的資料庫,破壞資訊流及金流系統,試圖竊取捐款人個資。而且這樣的駭客攻擊,在疫情期間從來都沒停過。
自律聯盟作為捐款人與公益團體界的中介組織角色,有責任與所有公益團體營造公益捐款環境的信任,因此會協助公益團體進行資安健檢,以了解相關系統之安全性,及提升公益團體數位能力,使他們有能力捍衛捐款人的權益。
聘請專責技術人員進行管理
因為「責信」(非營利組織對捐款人個資善盡保護及款項運用公開透明)是收受捐款(奉獻)的教會及機構必須要善盡的責任和義務。
鄭牧師直言,多數的教會及相關機構,特別是中小型機構,因為受限於經費,會員個資的資料庫多半是外包給系統商去統一維護,也沒有餘錢再去聘請專業技術人員,專責監看及防堵駭客入侵;所以駭客到處尋找可吞吃的對象。
鄭牧師引用路加福音八章17節「因為掩蓋的事沒有不顯出來的,隱瞞的事沒有不漏出來被知道的」,提醒教會機構,每一筆捐款人提供的個資(包括信用卡號)以及捐款及奉獻,都代表著信任和委託。而這樣的信任,很可能因為捐款人(會員)被詐騙,而教會機構的事前提醒與事後危機處理,若做得不到位,就會使捐款人或是奉獻戶失望離去,甚至提告,想要再挽回,就非常困難。
自律聯盟會員機構的捐款人(會員)遭詐的慘痛經驗是,不僅公益形象受挫,資安保護被質疑,好不容易才累積起來的定期定額信用卡捐款人,也因為信用卡被盜刷,須補辦新卡,和捐款人重新議約,同工們甚至要面對受害人的質疑不滿,可能導致停扣停捐。
鄭牧師建議,受害機構要在官網及社群(臉書、Instagram)公開向造成財物損失及諸多困擾的捐款人致歉,務必不可迴避向捐款人以及公眾說明。至於被駭客攻擊的後續處理,及資安補強的具體措施,必須落實且時間愈快愈好。
防詐防駭 自律聯盟給機構及個人建議
自律聯盟提醒,除了已經被媒體及公部門披露的受詐騙機構之外,其實還有很多機構、零星的捐款人,也遭到詐騙。這些事情明天就可能會發生在你的教會及機構
自律聯盟給有個資及金流往來的機構及教會以下的建議和提醒:
一、捐款人如接獲可疑的來電及簡訊,提到捐款手續不全、系統被駭、資料遺失要核對個資及信用卡資料,或是分期扣款、重複扣款,或請捐款人提供個人帳戶或卡號、操作網銀ATM、要捐款人點選簡訊中的網站連結,進行相關資料修改設定等關鍵字時:
請直接反問對方是否為詐騙,並立即掛斷電話。 同時撥打警政署165反詐騙諮詢專線,通報詐騙電話號碼。 電洽原捐款之公益團體確認。
二、捐款者資料被駭的機構因應措施:
接獲捐款人致電表示遭詐騙時,請依據個人資料保護法規定,向轄區派出所報案,明白告知捐款者個資遭駭客盜取,並有進行詐騙之實情,取得受理案件證明單。
盡快在機構官網上公告出現捐款者個人資料遭竊取一事,呼籲捐款者慎防詐騙並應盡速以簡訊、電子郵件或口頭方式,以妥適方式個別通知所有捐款者,因個人資料遭竊取,通知其注意可能遭受詐騙一事。
接獲捐款人告知其信用卡被盜刷,應立即通知刑事警察局窗口,網軟公司後續提供被盜取資訊給刑事警察局,轉知會聯合信用卡中心。該中心會轉知各發卡銀行,由銀行視風險狀況,決定是否核發新卡。
同時也擔任聯合勸募理事長的鄭信真牧師建議,保護信徒及捐款(奉獻)人的個資免於遭駭的恐懼,是每個機構及教會必須善盡的管理人責任。因為一旦捐款人或是會員(信徒)出現財物損失時,可以提出民事訴訟的,所以建議機構及教會把會員的個資以及金流(信用卡資料),用封閉系統來進行資安管理,並且盡量聘任專責的技術人員擔任管理員。
相關新聞:
