偵九隊也上當的兩種手法

2007.03.15 by
數位時代
偵九隊也上當的兩種手法
二○○六年十月底,刑事警察局專門偵辦網路犯罪的偵九隊電話響起。如同其他日子,又是一通民眾報案或各地警察分局無法處理的棘手案子,偵九隊警員開始...

二○○六年十月底,刑事警察局專門偵辦網路犯罪的偵九隊電話響起。如同其他日子,又是一通民眾報案或各地警察分局無法處理的棘手案子,偵九隊警員開始辦案,卻循線查出台灣近年網路犯罪的經典大案。

「至少上千筆帳戶資料外洩,損失金額已逾千萬元,」刑事警察局科技犯罪防制中心主任李相臣表示,去年底接獲報案的這起最新網路犯罪,包括國內最大拍賣網站、主要航空公司網站及近二十家網路銀行全都遭殃,「為近年最經典的一波。」

李相臣解釋,新興的犯罪手法,使網路安全防範難上加難,「現在只撈到這一些,後面可能要乘五、乘十倍,是誰受害我不知道,但已經發現有大批資料遭竊,只要是拍賣網站、網路銀行的用戶,我都拜託你改密碼,改一下無損失,未來一定還有更多遭竊資料還沒撈到,」李相臣指著桌上長長的受害名單說。

假網站誘騙消費者填資料
taiwanbank.com與taiwanbahk.com這兩個網站,當下分辨得出後者是釣魚網站嗎?在入口網站上打入「旅遊」、「銀行」等關鍵字,點選搜尋結果前,會懷疑網站的真偽嗎?

最新網路犯罪的手法就是釣魚與關鍵字廣告,即便網路釣魚(phishing)三年前在全球已達高峰,最新手法更精密,利用相似度極高的網址、網頁,或花錢向國內最大入口網站購買關鍵字的假網站,誘騙使用者輸入帳號、密碼等資訊。

「連我都很難防,」李相臣表示,這次釣魚、關鍵字假網頁的手法已非防火牆可防堵,也因此影響範圍難以估計,目前掌握數名嫌犯,「一定會破案。」將放長線釣大魚,把幕後犯罪集團擒拿到案。

每半年手法翻新防不勝防
春節九天假期,過完大年初一,偵九隊位於忠孝東路四段的辦公室又燈火通明,要把金額已破千萬元的世紀網路犯罪劃下句點。

「傳統劫色搶財的暴力手段,十年前和十年後都一樣,網路犯罪則毫無模式可尋,」偵九隊三組組長孔令果形容,網路犯罪有高度匿名性,追得到是機器、IP、設備。

偵九隊警員的一天,從電腦虛擬世界到最真實槍戰都可能,偵查員追蹤IP後,也需向檢察官申請監聽、搜索、甚至埋伏、攻堅,把藏在機器後面的人逮捕到案才算數。

早上八點半到晚上九點,偵九隊白天猛查電腦,晚上埋伏抓人,「每半年犯罪手法都會翻新,」偵九隊隊長王志超表示,網路犯罪動機不明,犯罪數只增不減,讓加起來不到四十名的偵九隊、科技中心警員加班成便飯,耐心也是破案的關鍵。

去年台灣網路犯罪報案逾二萬件,破案率近五成。最新這起經典大案去年底爆發,二月初偵九隊已掌握數名嫌犯,李相臣說:「台灣偵查破案技術不輸歐美。」

台灣罰則太輕、無專職機構
網際網路應用有如原子彈爆發,迅速擴散,根據comScore Networks最新調查,今年全球十五歲以上的上網人口逾七.四億,較一年前成長一○%,但網路安全教育的進展卻慢如牛步。

全球網路發達的國家如日本、南韓等都難逃駭客魔掌,台灣還面臨另外兩大劣勢,威脅每位網路使用者,甚至不用網路的民眾。

「台灣刑法對網路犯罪的刑罰很輕,頂多判一、二年,」李相臣表示,法律對網路犯罪的寬容,形成網路安全的一大先天漏洞,無法嚇阻犯罪。李相臣舉美國為例,若入侵網路銀行等金融機構屬公訴罪(台灣僅為告訴乃論罪),且網路犯罪刑罰為台灣的二到三倍,「台灣的網路刑責輕,抓過來又如何?」

提高刑罰的修法曠日廢時,加上台灣沒有像美國聯邦通訊委員會(FCC)專職管理網路安全的政府單位,形成第二大漏洞,不過若能即時修補,可視為改善網路安全的急救措施。

李相臣表示,刑事警察局為偵辦網路犯罪的單位,但網路安全的教育、管理一直為三不管地帶,呼籲國家通訊傳播委員會(NCC)應出面,在歹徒有機可乘之前,先由主管機關確保網路銀行、關鍵字的遊戲規則無漏洞可鑽。

網路銀行成犯罪第一目標
金融機構負責保管人民的財產,網路銀行也是駭客最眼紅的攻擊目標,「銀行轉帳很快,不同帳戶每天偷幾萬元,你會每天去查你的銀行帳戶嗎?」李相臣表示,這一波駭客攻擊中,不乏知名銀行的帳號、密碼,在使用者端遭竊。

偵九隊偵查員私下表示,台灣金融機構面對網路詐欺爭議款項,通常會認帳了事,以免影響大眾不願使用網路銀行、網路交易。不過銀行業者表示,安全機制有在做,例如豐銀行提供客戶動態密碼產生機,登入網路銀行有第三層保障;中國信託的網路銀行轉帳時,透過手機發送一次性密碼認證;花旗銀行多重認證新機制剛上線。

花旗銀行網路銀行副總裁黃宏杰表示,業者能做的是提高駭客入侵的困難度,每半年請獨立公司做駭客測試,建議民眾定期更換密碼,仍可安心使用網路銀行。

比起殺人奪命等傳統刑案、動搖國本的千億元經濟犯罪,網路犯罪簡直小巫見大巫,不過卻是人人都可能「中獎」。專業駭客與無辜使用者大戰,偵九隊只能扮演糾察隊的角色,真正網路安全需回歸大眾的使用習慣。

偵九隊偵查員說:「我電腦只裝一家防毒軟體,照樣在網路上買東西、使用網路銀行,也沒怎樣。」網路時代早已來臨,提高警覺,安全的網路時代也會到來。 

**破解最新網路犯罪  手法
**1 
駭客手段:向知名入口網站購買關鍵字 
利用使用者對知名入口網站的信任度,花錢購買如「銀行」、「機票」、「信用卡」、「房貸」等與金流相關的重要關鍵字,爭取查詢結果頁面的曝光率。一旦點選將進入精心仿做的假網頁,不知不覺中騙取帳號、密碼,或植入木馬程式監控日後鍵盤活動。 
解決方法: 
刑事警察局與入口網站業者溝通,要求業者加強審核,例如非銀行業者不得購買「銀行」的類似關鍵字。 

破解最新網路犯罪  手法

駭客手段:釣魚網站精準度加倍 
網路釣魚為網路犯罪的元老級手法,不過手段愈來愈高超,絲毫不減殺傷威力,尤其善用英文字如i與l、n與h的相似度,釣魚網址以假亂真,連結後的釣魚網頁相似度更大幅提高。尤其網路查詢頻率高,看準一般人忙碌的使用習慣,更無法一一判別每個網址的正確性。 

解決方法: 
點選任何網址前務必看清楚,絕不點選不明郵件附上的超連結網址,以免被植入木馬程式。最好直接輸入官方網址。 

台灣歷年
網路犯罪大事記
 
(整理:何旭如) 
1995  破獲首宗網路駭客案,愛普生(Epson)公司電腦系統遭離職員工入侵,延遲交貨時間 
1997  軍火教父網站,台灣首次有人公然在網路上販賣槍枝,企圖利用網路規避司法管轄 
1998  5月  黃姓軍醫入侵中華電信等大型網路公司,竊取客戶資料 
1999  10月  查獲首宗網路銀行犯罪,詐騙客戶帳號、密碼 
2001  6月  接連3個月接獲全台上千通遊戲玩家報案,虛擬寶物遭竊,新的犯罪型態產生 
2002  2月  運用美國FBI電腦修復技術,破獲台灣辣妹自拍網 
2003  9月  大陸駭客奇襲,88家台灣公民營單位遭植入木馬程式,受害單位包括中華電信、威盛、警政署、國防部等 
2003  11月  破獲兩岸三地地下期指交易所,該網路下單結合六合彩、香港賽馬、大陸足球等 
2005  7月  電腦奇才蘇姓建中畢業生以1分鐘時間,侵入大學指考中心。2年前就曾侵入總統府網站,張貼「4月1日,全國放假一天」 
2006  1月  北部某知名大學張姓大二學生為展現「最厲害電腦工程師」實力,以「隱碼攻擊」,侵入台大、師大、公司網站,竊取帳號、密碼 
2006  10月  以釣魚、假關鍵字手法,竊取逾千筆全台最大網拍、主要航空公司網站、網路銀行帳號、密碼,另一波犯罪型態浮上檯面,此案堪稱是台灣網路犯罪經典大案 

**偵九隊
偵查拆解 
**(整理:何旭如) 
報案  民眾電腦被駭、帳號密碼被偷、網路銀行遭不明轉帳,打110報案 
調查  各地派出所、警察分局網路犯罪小組進行偵查
→結案
→棘手案件送偵九隊處理 
追查  偵九隊偵查員開始做電腦苦工,追查IP線索,科技犯罪防制中心支援分析光碟、硬碟資料 
抓人  找到涉案機器、設備、IP後,申請搜索、監聽,開始找嫌犯,真槍實彈到網咖等犯案地點埋伏或攻堅 
破案  破案,釐清犯案手法,受害民眾向網路業者、銀行等獲得賠償 

每日精選科技圈重要消息