二○○六年十月底,刑事警察局專門偵辦網路犯罪的偵九隊電話響起。如同其他日子,又是一通民眾報案或各地警察分局無法處理的棘手案子,偵九隊警員開始辦案,卻循線查出台灣近年網路犯罪的經典大案。
「至少上千筆帳戶資料外洩,損失金額已逾千萬元,」刑事警察局科技犯罪防制中心主任李相臣表示,去年底接獲報案的這起最新網路犯罪,包括國內最大拍賣網站、主要航空公司網站及近二十家網路銀行全都遭殃,「為近年最經典的一波。」
李相臣解釋,新興的犯罪手法,使網路安全防範難上加難,「現在只撈到這一些,後面可能要乘五、乘十倍,是誰受害我不知道,但已經發現有大批資料遭竊,只要是拍賣網站、網路銀行的用戶,我都拜託你改密碼,改一下無損失,未來一定還有更多遭竊資料還沒撈到,」李相臣指著桌上長長的受害名單說。
假網站誘騙消費者填資料
taiwanbank.com與taiwanbahk.com這兩個網站,當下分辨得出後者是釣魚網站嗎?在入口網站上打入「旅遊」、「銀行」等關鍵字,點選搜尋結果前,會懷疑網站的真偽嗎?
最新網路犯罪的手法就是釣魚與關鍵字廣告,即便網路釣魚(phishing)三年前在全球已達高峰,最新手法更精密,利用相似度極高的網址、網頁,或花錢向國內最大入口網站購買關鍵字的假網站,誘騙使用者輸入帳號、密碼等資訊。
「連我都很難防,」李相臣表示,這次釣魚、關鍵字假網頁的手法已非防火牆可防堵,也因此影響範圍難以估計,目前掌握數名嫌犯,「一定會破案。」將放長線釣大魚,把幕後犯罪集團擒拿到案。
每半年手法翻新防不勝防
春節九天假期,過完大年初一,偵九隊位於忠孝東路四段的辦公室又燈火通明,要把金額已破千萬元的世紀網路犯罪劃下句點。
「傳統劫色搶財的暴力手段,十年前和十年後都一樣,網路犯罪則毫無模式可尋,」偵九隊三組組長孔令果形容,網路犯罪有高度匿名性,追得到是機器、IP、設備。
偵九隊警員的一天,從電腦虛擬世界到最真實槍戰都可能,偵查員追蹤IP後,也需向檢察官申請監聽、搜索、甚至埋伏、攻堅,把藏在機器後面的人逮捕到案才算數。
早上八點半到晚上九點,偵九隊白天猛查電腦,晚上埋伏抓人,「每半年犯罪手法都會翻新,」偵九隊隊長王志超表示,網路犯罪動機不明,犯罪數只增不減,讓加起來不到四十名的偵九隊、科技中心警員加班成便飯,耐心也是破案的關鍵。
去年台灣網路犯罪報案逾二萬件,破案率近五成。最新這起經典大案去年底爆發,二月初偵九隊已掌握數名嫌犯,李相臣說:「台灣偵查破案技術不輸歐美。」
台灣罰則太輕、無專職機構
網際網路應用有如原子彈爆發,迅速擴散,根據comScore Networks最新調查,今年全球十五歲以上的上網人口逾七.四億,較一年前成長一○%,但網路安全教育的進展卻慢如牛步。
全球網路發達的國家如日本、南韓等都難逃駭客魔掌,台灣還面臨另外兩大劣勢,威脅每位網路使用者,甚至不用網路的民眾。
「台灣刑法對網路犯罪的刑罰很輕,頂多判一、二年,」李相臣表示,法律對網路犯罪的寬容,形成網路安全的一大先天漏洞,無法嚇阻犯罪。李相臣舉美國為例,若入侵網路銀行等金融機構屬公訴罪(台灣僅為告訴乃論罪),且網路犯罪刑罰為台灣的二到三倍,「台灣的網路刑責輕,抓過來又如何?」
提高刑罰的修法曠日廢時,加上台灣沒有像美國聯邦通訊委員會(FCC)專職管理網路安全的政府單位,形成第二大漏洞,不過若能即時修補,可視為改善網路安全的急救措施。
李相臣表示,刑事警察局為偵辦網路犯罪的單位,但網路安全的教育、管理一直為三不管地帶,呼籲國家通訊傳播委員會(NCC)應出面,在歹徒有機可乘之前,先由主管機關確保網路銀行、關鍵字的遊戲規則無漏洞可鑽。
網路銀行成犯罪第一目標
金融機構負責保管人民的財產,網路銀行也是駭客最眼紅的攻擊目標,「銀行轉帳很快,不同帳戶每天偷幾萬元,你會每天去查你的銀行帳戶嗎?」李相臣表示,這一波駭客攻擊中,不乏知名銀行的帳號、密碼,在使用者端遭竊。
偵九隊偵查員私下表示,台灣金融機構面對網路詐欺爭議款項,通常會認帳了事,以免影響大眾不願使用網路銀行、網路交易。不過銀行業者表示,安全機制有在做,例如豐銀行提供客戶動態密碼產生機,登入網路銀行有第三層保障;中國信託的網路銀行轉帳時,透過手機發送一次性密碼認證;花旗銀行多重認證新機制剛上線。
花旗銀行網路銀行副總裁黃宏杰表示,業者能做的是提高駭客入侵的困難度,每半年請獨立公司做駭客測試,建議民眾定期更換密碼,仍可安心使用網路銀行。
比起殺人奪命等傳統刑案、動搖國本的千億元經濟犯罪,網路犯罪簡直小巫見大巫,不過卻是人人都可能「中獎」。專業駭客與無辜使用者大戰,偵九隊只能扮演糾察隊的角色,真正網路安全需回歸大眾的使用習慣。
偵九隊偵查員說:「我電腦只裝一家防毒軟體,照樣在網路上買東西、使用網路銀行,也沒怎樣。」網路時代早已來臨,提高警覺,安全的網路時代也會到來。
**破解最新網路犯罪 手法
**1
駭客手段:向知名入口網站購買關鍵字
利用使用者對知名入口網站的信任度,花錢購買如「銀行」、「機票」、「信用卡」、「房貸」等與金流相關的重要關鍵字,爭取查詢結果頁面的曝光率。一旦點選將進入精心仿做的假網頁,不知不覺中騙取帳號、密碼,或植入木馬程式監控日後鍵盤活動。
解決方法:
刑事警察局與入口網站業者溝通,要求業者加強審核,例如非銀行業者不得購買「銀行」的類似關鍵字。
破解最新網路犯罪 手法
2
駭客手段:釣魚網站精準度加倍
網路釣魚為網路犯罪的元老級手法,不過手段愈來愈高超,絲毫不減殺傷威力,尤其善用英文字如i與l、n與h的相似度,釣魚網址以假亂真,連結後的釣魚網頁相似度更大幅提高。尤其網路查詢頻率高,看準一般人忙碌的使用習慣,更無法一一判別每個網址的正確性。
解決方法:
點選任何網址前務必看清楚,絕不點選不明郵件附上的超連結網址,以免被植入木馬程式。最好直接輸入官方網址。
台灣歷年
網路犯罪大事記
(整理:何旭如)
1995 破獲首宗網路駭客案,愛普生(Epson)公司電腦系統遭離職員工入侵,延遲交貨時間
1997 軍火教父網站,台灣首次有人公然在網路上販賣槍枝,企圖利用網路規避司法管轄
1998 5月 黃姓軍醫入侵中華電信等大型網路公司,竊取客戶資料
1999 10月 查獲首宗網路銀行犯罪,詐騙客戶帳號、密碼
2001 6月 接連3個月接獲全台上千通遊戲玩家報案,虛擬寶物遭竊,新的犯罪型態產生
2002 2月 運用美國FBI電腦修復技術,破獲台灣辣妹自拍網
2003 9月 大陸駭客奇襲,88家台灣公民營單位遭植入木馬程式,受害單位包括中華電信、威盛、警政署、國防部等
2003 11月 破獲兩岸三地地下期指交易所,該網路下單結合六合彩、香港賽馬、大陸足球等
2005 7月 電腦奇才蘇姓建中畢業生以1分鐘時間,侵入大學指考中心。2年前就曾侵入總統府網站,張貼「4月1日,全國放假一天」
2006 1月 北部某知名大學張姓大二學生為展現「最厲害電腦工程師」實力,以「隱碼攻擊」,侵入台大、師大、公司網站,竊取帳號、密碼
2006 10月 以釣魚、假關鍵字手法,竊取逾千筆全台最大網拍、主要航空公司網站、網路銀行帳號、密碼,另一波犯罪型態浮上檯面,此案堪稱是台灣網路犯罪經典大案
**偵九隊
偵查拆解
**(整理:何旭如)
報案 民眾電腦被駭、帳號密碼被偷、網路銀行遭不明轉帳,打110報案
調查 各地派出所、警察分局網路犯罪小組進行偵查
→結案
→棘手案件送偵九隊處理
追查 偵九隊偵查員開始做電腦苦工,追查IP線索,科技犯罪防制中心支援分析光碟、硬碟資料
抓人 找到涉案機器、設備、IP後,申請搜索、監聽,開始找嫌犯,真槍實彈到網咖等犯案地點埋伏或攻堅
破案 破案,釐清犯案手法,受害民眾向網路業者、銀行等獲得賠償
