今年2月,臺灣地區知名教學醫院「馬偕醫院」遭駭客入侵,受到勒索軟體 「瘋狂獵人」(Crazy Hunter) 攻擊,導致門診系統大規模當機,影響病患就醫權益。
雖然國內資安專家及時攔截部分攻擊,但目前發現疑有 1660 萬筆病人資料仍遭竊,並在黑市開價 10萬美元(約新台幣328萬元) 出售。
這批外洩個資來自台北馬偕、台北兒童醫院、淡水醫院、新竹醫院、新竹兒童醫院、台中醫院,其中可能包含姓名、身分證號碼、手機號碼、住家地址、病史、醫療報告等詳細資訊,檔案總量達 32.8GB。
駭客兜售個資,詐騙集團已收購!
根據駭客在黑市上的發言,已經有疑似詐騙集團的匿名者成功以10萬美元購得這批病患個資,顯示國內廣大病患的個人資訊很可能已經落入不法人士手中。
這意味著,病患和家屬將面臨極大的詐騙風險,因為詐騙集團可以透過這些詳細資訊,精準鎖定受害者,讓他們更難察覺異常。
民眾須警惕!這些個資可能被用於詐騙手法
可以遇見的,當這批個人資訊以及對應的醫療情報外洩後,可能成為詐騙集團的「工具」,衍生出以下 六大類詐騙手法,鷹眼觀察請民眾務必提高警覺:
1. 假醫療費詐騙
詐騙集團可偽裝成醫院行政人員,致電病患或家屬,謊稱病歷資料異常、手術費用未結清,要求患者或家屬匯款至指定帳戶。
由於對方可以提供精確的患者病歷資訊,可以輕易取信於受害者,導致大筆金錢損失。
2. 假藥品銷售詐騙
詐騙者可以利用病史資料,假冒醫療單位推銷「專屬藥品」、「特效治療方案」,並誘導病患購買。這類詐騙不僅導致金錢損失,更可能影響健康,甚至造成嚴重後果。
3. 親友詐騙
當這些不法分子掌握精準的病患資訊後,可假冒患者親友,致電家屬,謊稱病患突發危急,需要立即支付醫療費用,要求轉帳。這種詐騙方式尤其容易騙倒年長者,導致家屬財產損失。
4. 詐騙貸款與保險理賠
詐騙集團可能利用外洩的個資,冒用患者身份進行假貸款申請或保險詐騙,影響患者的信用紀錄。例如過去曾有些不肖業者偽造患者病歷,假稱患有特定疾病,向保險公司申請理賠,導致受害者個資遭濫用。
5. 精準釣魚詐騙(Spear Phishing)
詐騙者可以使用病患個人情報,發送偽造的醫院通知,例如「你的健康檢查報告異常,請點擊以下連結查看結果」,誘導受害者點擊惡意連結,進一步竊取網銀帳號、信用卡資訊。這種攻擊手法精準度高,特別容易騙倒不熟悉網路安全的民眾。
6. 個資轉賣,擴大詐騙範圍
這批病患個資可能再一次被轉賣至其他詐騙集團、行銷公司、非法仲介,導致受害者經常接到詐騙電話或垃圾簡訊。讓病患不僅要擔心財產損失,還可能面臨持續騷擾,個資長期處於危險之中。
如何自保?避免成為詐騙目標
面對馬偕這次外洩大量病患情報的資安事件,個資外洩可能帶來的風險,民眾應採取以下 五大防範措施,保護自己與家人:
✅ 接獲醫院來電時,先主動聯繫醫院確認:切勿直接依照對方提供的資訊行動,應撥打醫院官方電話查證。
✅ 不點擊不明連結,不回應不明簡訊或來電:若收到疑似醫療相關的通知,應親自前往醫院或撥打官方電話確認。
✅ 警惕陌生來電,尤其是要求匯款的電話:若有人假借醫療名義要求付款,應提高警覺,不輕易轉帳。
✅ 提醒家中長輩,教導防詐意識:詐騙集團最常鎖定年長者,家屬應主動提醒長輩 「醫院不會主動打電話要求匯款」,避免受騙。
✅ 定期檢查個人信用報告與帳戶異常交易:若發現有未授權貸款、保險申請,應立即向金融機構反應,避免被盜用身份。
政府與醫療機構須強化資安防護
此次醫療個資外洩事件暴露出中華民國醫療機構在資安管理上的重大漏洞,政府應加強監督資安措施,並要求醫院採取以下行動:
- 提升系統防駭能力:加強資料加密、異地備援、雙重身份驗證,防止駭客輕易竊取個資。
- 強化醫院內部員工資安意識:減少因社交工程攻擊導致的資安事故,例如員工誤點惡意郵件連結。
- 建立醫療個資外洩應變機制:當發生個資外洩時,醫院應 立即通知病患,提供防範建議,而非事後才讓受害者自行發現問題。
- 提高違規罰則:政府應對未妥善保護病患個資的醫院,設立更高罰款標準,以強化個資保護機制。
- 對民眾公開:政府應該將此次資安危機的處理過程,全面向民眾公開,讓大眾能明確知曉自己的醫療個資遭盜用,需要更加防範。
- 請求賠償:協助民眾針對個資被竊所造成的損失,要求醫院提出明確的賠償方案,讓資方能更加慎重面對民眾權益。
結語:提高警覺,保護個資安全!
醫療個資不只是隱私問題,更是詐騙集團牟利的「犯罪工具」。這次馬偕醫院個資外洩事件,恐怕只是冰山一角,未來仍可能發生類似攻擊。
民眾應保持警覺,切勿輕信可疑來電、簡訊或網路連結,政府與醫療機構則應共同加強資安防護,才能避免更多人受害!