【數位時代第150960430


撰文/編輯部


2006年底,一波新的網路犯罪手法,開始入侵拍賣網站、主要航空公司與20餘家網路銀行。負責偵辦的刑事警察局偵九隊估計,目前全台損失金額超過千萬元,後續損失可能持續增加。偵九隊也承認說:「這種手法,連我們都可能上當。」


 


二○○六年十月底,刑事警察局專門偵辦網路犯罪的偵九隊電話響起。如同其他日子,又是一通民眾報案或各地警察分局無法處理的棘手案子,偵九警員開始辦案,卻循線查出台灣近年網路犯罪的經典大案。


 


「至少上千筆帳戶資料遭外洩,損失金額已逾千萬元,」刑事警察局科技犯罪防制中心主任李相臣表示,去年底接獲報案的這起最新網路犯罪,包括國內最大拍賣網站、主要航空公司網站及近二十家網路銀行全都遭殃,「為近年最經典的一波。」


 


李相臣解釋,新興的犯罪手法,使網路安全防範難上加難,「現在只撈到這一些,後面可能要乘五、乘十倍,是誰受害我不知道,但已經發現有大批資料遭竊,只要是拍賣網站、網路銀行的用戶,我都拜託你改密碼,改一下無損失,未來一定還有更多遭竊資料還沒撈到,」李相臣指著桌上長長的受害名單說。


 


假網站誘騙消費者填資料


 


這種新興手法,是利用英文字如i與l、n與h的相似度,虛造網站,竊取民眾資料,例如taiwanbank.com與taiwanbahk.com這兩個網站,當下分辨得出後者是釣魚網站嗎?在入口網站上打入「旅遊」、「銀行」等關鍵字,點選搜尋結果前,會懷疑網站的真偽嗎?


 


最新網路犯罪的手法就是釣魚與關鍵字廣告,即便網路釣魚(Phishing)三年前在全球已達高峰,最新手法更精密,利用相似度極高的網址、網頁,或花錢向國內最大入口網站購買關鍵字的假網站,誘騙使用者輸入帳號、密碼等資訊。


 


「連我都很難防,」李相臣表示,這次釣魚、關鍵字假網頁的手法已非防火牆可防堵,也因此影響範圍難以估計,目前掌握數名嫌犯,「一定會破案,」將放長線釣大魚,把幕後犯罪集團擒拿到案。


 


每半年手法翻新防不勝防


 


春節九天假期,過完大年初一,偵九隊位於忠孝東路四段的辦公室又燈火通明,要把金額已破千萬元的世紀網路犯罪劃下句點。


 


「傳統劫色搶財的暴力手段,十年前和十年後都一樣,網路犯罪則毫無模式可尋,」偵九隊三組組長孔令果形容,網路犯罪有高度匿名性,追得到是機器、IP、設備。


 


偵九隊警員的一天,從電腦的虛擬世界到最真實的槍戰都可能,偵查員追蹤IP後,也需申請監聽、搜索、甚至埋伏、攻堅,把藏在機器後面的人逮捕到案才算數。早上八點半到晚上九點,偵九隊白天猛查電腦,晚上埋伏抓人,「每半年犯罪手法都會翻新,」(他是誰)王志超表示,網路犯罪動機不明,犯罪數只增不減,讓加起來不到四十名的偵九隊、科技中心警員加班成便飯,耐心也是破案的關鍵。


 


去年台灣網路犯罪報案逾二萬件,破案率近五成。最新這起經典大案去年底爆發,二月初偵九隊已掌握數名嫌犯,李相臣說:「台灣偵查破案技術不輸歐美。」


 


台灣罰則太輕、無專職機構


 


網際網路應用有如原子彈爆發,迅速擴散,根據comScore Networks最新調查,今年全球十五歲以上的上網人口逾七.四億,較一年前成長一○%,但網路安全教育的進展卻慢如牛步。全球網路發達的國家如日本、南韓都難逃駭客魔掌,台灣同屬寬頻網路的高度使用市場,還面臨另外兩大劣勢,威脅每位網路使用者,甚至不用網路的民眾。


 


「台灣刑法對網路犯罪的刑罰很輕,頂多判一、二年,」李相臣表示,法律對網路犯罪的寬容,形成網路安全的一大先天漏洞,無法嚇阻犯罪。李相臣舉美國為例,若入侵網路銀行等金融機構屬公訴罪(台灣僅為告訴乃論罪),且網路犯罪刑罰為台灣的二到三倍,「台灣的網路刑責輕,抓過來又如何?」


 


提高刑罰的修法曠日廢時,加上台灣沒有像美國聯邦通訊委員會(FCC)專職管理網路安全的政府單位,形成第二大漏洞,不過若能即時修補,可視為改善網路安全的急救措施。


 


李相臣表示,刑事警察局為偵辦網路犯罪的單位,但網路安全的教育、管理一直為三不管地帶,呼籲國家通訊傳播委員會(NCC)應出面,在歹徒有機可乘之前,先由主管機關確保網路銀行、關鍵字的遊戲規則無漏洞可鑽。


 


網路銀行成犯罪第一目標


 


金融機構負責保管人民的財產,網路銀行也是駭客最眼紅的攻擊目標,「銀行轉帳很快,不同帳戶每天偷幾萬元,你會每天去查你的銀行帳戶嗎?」李相臣表示,這一波駭客攻擊中,不乏知名銀行的帳號、密碼,在使用者端遭竊。


 


偵九隊偵查員私下表示,台灣金融機構面對網路詐欺的爭議款項,通常都會認帳了事,以免事情鬧大,影響大眾不願使用網路銀行、網路交易,反而更不划算。不過銀行業者表示,安全機制有在做,例如匯豐銀行提供客戶動態密碼產生機,登入網路銀行有第三層保障;中國信託的網路銀行轉帳時,透過手機發送一次性密碼認證;花旗銀行的多重認證新機制剛上線,轉帳需通過問題認證,答案只有使用者知道。


 


花旗銀行網路銀行副總裁黃宏杰表示,業者能做的是提高駭客入侵的困難度,每半年請獨立公司做駭客測試,建議民眾定期更換密碼等保護措施下,仍可安心使用網路銀行。


 


比起殺人奪命等傳統刑案、動搖國本的千億元經濟犯罪,網路犯罪簡直小巫見大巫,不過卻是人人都可能「中獎」。專業駭客與無辜使用者大戰,偵九隊只能扮演糾察隊的角色,真正網路安全需回歸大眾的使用習慣。


 


偵九隊偵查員說:「我電腦只裝一家防毒軟體,照樣在網路上買東西、使用網路銀行,也沒怎樣。」網路時代早已來臨,提高警覺,安全的網路時代也會到來。

arrow
arrow
    全站熱搜

    魯版主-國營事業 發表在 痞客邦 留言(1) 人氣()