一封詐騙簡訊揭露的資安危機 校園詐騙數發部可以做更多

廖珪如/台北報導

六月中旬大學生暑假前夕,國立台灣師範大學學生收到了一封來自師範大學學務處發出的退學簡訊,上面寫著他即將被勒令退學,並附上網址提醒參加轉學考試。不過學生和校方反應很快,迅速察覺詐騙並通報教育部,並確定沒有其他學生受騙。訊息引來國民黨立委葛如鈞重視,科技體系出身的他發現詐騙網址是edu.tw,沒有夾雜亂碼,來自學術網域,從專業的角度來講,數位發展部應該介入。

葛如鈞說,由學術網域發出,這代表有學校的電腦可能受到入侵,從學生出示的簡訊看來,是玄奘大學的網域,教育體系以該網址為http開頭,少了一個s作為假訊息的識別,其實有點危險,且教育部事後回報流程,雖然都沒有問題,但是缺少資安專家檢查的流程。葛如鈞說,該案很可能是玄奘大學網域遭到入侵,由於簡訊應該是廣發,如果能在當時就追到該主機,也許能追查到入侵源頭。

再者,葛如鈞認為,不能排除人為的可能,例如師範大學清查後,只有一名學生收到退學簡訊,而且非常巧,該名學生確實課業不佳,「學術網域成績單」、「學生手機」等個資如何外流?感覺相關簡訊已被「客製化」。葛如鈞認為,面對資安議題應該「料敵從嚴」,數發部應該由資安院比照協助企業一般,協助大專院校學術網域的資安掃描及防禦。

此外,葛如鈞也建議,目前為防止詐騙集團濫發簡訊,數發部協同政府設置「123」防詐騙簡訊,任何非「123」發出來的政府資訊,都是為詐騙一環,在最大保障學生安全的情況下,教育體系應該也建置屬於教育體系的代碼簡訊,以避免再有濫用校方名義(例如師範大學學務處)發送簡訊等狀況。

根據教育部最新111學年校園安全及災害事件分析報告,詐騙已名列一般校安事件第二名,當年總計發生517件、影響592人次,高於竊取財物、脅迫等案數。詐騙事件絕大多數案例發生於大專校院,共計299件、影響322人次。

《民報》也訪問處理該案件台師大學務處專責導師辦公室執行長黃志祥,他說學生收到簡訊後,最簡單的就是師大早在民國100年就取消「二一」退學制度,且附上的網址也明顯搞錯台師大的英文縮寫,提醒學生不要點開。接著黃志祥通報師大資訊中心、教育部校安中心,在教育部的指引下,撥打165反詐騙專線通報,並透過師大學務長系統,通知各大專院校學務體系留意此類詐騙簡訊。

相關流程成功化解此次危機。不過就資安角度看來,《民報》訪問一名資安工程師,他除了認同葛如鈞委員的主張之外,在他看來,事實上校園資安有更重要的工作流程。首先,他檢視該簡訊後評估,玄奘大學該主機有問題,如果當時師大校方是循一般政府機關、企業等單位通報

台灣電腦網路危機處理暨協調中心TWCERT/CC,就能在6月抓到發送簡訊的主機,也可能抓到嫌犯。

校安中心原本是處理一些校園暴力事件的,資安工程師說,近年來網路詐騙成為詐騙主力之一,已非傳統校安中心可以處理,因此各學校應該進入一般資安通報流程尋求數位發展部的協助,與資源挹注。雖然7月開始,為強化教育單位的資安及個資防護意識,教育部委由國立成功大學建構「教育網站資安弱點掃描防護服務計畫」,提供教育單位相關的網站進行「弱點掃描」及「個資掃描」服務,但是「弱點掃描」遠遠不及現在的網路詐騙集團,整個教育體系的資安建置確實也是在學校資源當中比較被忽視的一環,呼籲教育部參與到一般由數發部提供的資安流程當中。