一份关于澳大利亚人myGov账户安全的新报告揭示了严重漏洞,揭露黑客如何利用账户链接技术,从Centrelink、国民医保(Medicare)和澳大利亚税务局的账户中窃取款项。
这份报告发现,黑客通过myGov平台,利用国民医保和Centrelink账户,将这些账户连接到虚假的myGov账户,申请价值数千澳元的税收或福利金。
这种做法被称为“未经授权的链接”——即真正的myGov客户服务账户,在未经授权的情况下被另一方链接到“假”的myGov账户。
据监察专员伊恩·安德森(Iain Anderson)的一份报告,许多受害者的账户被锁定,福利金款项被暂停,遭到进一步伤害。
该报告发布之前,大量机密信息,包括MyGov的登录信息在网上出售,由此引发一项调查。
READ MORE
报税季有哪些骗局?澳大利亚人需要注意哪些迹象?
该报告发现,“myGov 目前的安全控制措施,未能充分保护人们在身份被盗时避免接到未经授权的链接”。
监察专员向澳大利亚民政部(Services Australia)提出了四项建议,以提高其安全水平,所有建议都被接受。
政府服务部长比尔·肖顿(Bill Shorten)今年4月表示,澳大利亚民政部及其合作伙伴在2023年对6000多起试图冒充MyGov的骗局做出了回应。
黑客如何利用myGov账户?
监察专员表示,他收到了受骗子影响的人们的投诉,骗子利用窃取的个人信息,通过myGov访问他们的Centrelink、国民医保和税务局在线账户。
窃取个人信息的方式各异,包括有针对性的攻击、网络钓鱼诈骗、通过暗网购买某人的信息,或者从家庭或商业垃圾中找到的文件中收集个人信息,又或者是从邮箱中窃取个人信息。
然后,不法行为者以受害者的名义提交了虚假的Centrelink福利金、预付款等申请,并将他们的政府养老福利金转至他处。
在澳大利亚民政局及其员工完成调查之前,一些受害者无法申请经济援助,例如儿童保育津贴。
READ MORE
诈骗新招:先付费再追回?澳反诈中心紧急预警
报告发现了什么?
调查发现,一旦个人数据被盗,myGov的安全控制措施无法保护人们的账户不被链接和利用。
该报告还发现,没有足够的安全检查来确保客户的真实性,特别是在更改银行详细信息时。
它强调,未经授权的链接是一个严重问题,可以通过要求更多的证据来解决——将国民医保和Centrelink账户与myGov中心枢纽联系起来。
该报告写道:“我们发现,总而言之,目前的安全措施主要是阻止欺诈者进入真正的客户myGov账户,但不一定能阻止他们通过未经授权的链接从侧面进入客户服务账户。”
该报告建议改变澳大利亚民政局管理账户链接安全的方式,包括对每笔高风险交易进行双因素验证,包括更改银行账户详细信息。
该报告还建议设立一个正式程序,调查和纠正违规行为,并就加强各服务部门之间的信息共享寻求进一步的外部法律咨询。
民政部如何回应?
澳大利亚民政部代理首席执行官贾罗德·霍华德(Jarrod Howard)表示,欢迎专员调查。
他在报告所附的信件中写道:“澳大利亚民政局致力于保护人们免受身份盗窃和诈骗侵害。”
“调查为我们提供了有用的建议,让我们知道如何进一步加强 myGov 平台的安全性,以及会员服务在提升安全方面的作用,并使我们确信,我们已采取一系列措施,走在正确的道路上。”
欢迎下载应用程序SBS Audio,关注Mandarin。您也可以通过苹果播客、Spotify等播客平台随时收听和下载SBS普通话音频故事。
