網路世界犯罪萬變 案件偵查不離其宗

網路世界犯罪萬變 案件偵查不離其宗。（夏明珠專題報導）

銀行搶匪多數會戴面罩遮臉，開贓車逃逸，綁匪經常用拼貼印刷字體的信來勒贖，闖空門的小偷則專找門窗沒關好的房子下手，網路犯罪歹徒，手法也差不多，他們會用軟體隱藏身份，誤導調查單位，他們綁架檔案，勒索贖金，專門找電腦系統有漏洞的公司和個人下手。

上個星期對全球展開攻擊的電腦勒索軟體，同樣是一種古老犯罪的現代型態。調查單位也遵循真實世界中，一直以來的辦案手法，也就是先封鎖案發現場，採集證據，循線索追查犯罪源頭。雖然和傳統犯罪，有那麼多類似之處，網路攻擊因為多了數位武器，它的破壞力更強，破案也更難。

這波勒索軟體攻擊，估計全球有二十多萬台電腦受害，災情沒有先前擔心的那麼嚴重，現在怕的是後面還有變種。英國通訊總部情報與網路部門的一位資安專家說，在網路上犯罪，歹徒連出家門都不需要，在這種狀況下，要逮到他，難度當然會高很多，更別說像這種大型、複雜以及全球性的犯罪，若要偵破，勢必需要跨國合作，而基於國家安全考量，國與國之間，在相關的資訊共享上，通常都有所保留，這個障礙必須要先突破。

目前，針對防治網路犯罪制定的國際協定，只有布達佩斯公約，布達佩斯公約的簽約國以西方民主國家為主。俄羅斯和中國都拒絕簽署，主要原因是它准許數位型態的熱追緝，熱追緝是指警方在公共場所追緝犯罪嫌疑人時，假使嫌犯跑進民宅，因為狀況緊急，警方可以在沒有令狀的情況下，進入民宅逮捕嫌犯。引用到網路犯罪偵辦上，布達佩斯公約簽約國，可以在情況緊急的前堤下，不事先照會，就侵入管轄國的網路，追查罪犯。專家說，要有效打擊網路犯罪，各國必須要有願意在網路主權上做犧牲的共識。

如同真實世界的犯罪現場，虛擬世界的犯罪調查，第一步也是要確定嫌犯是否仍在伺機而動，也就是在開始追查嫌犯以前，要先確定他是否仍然隱身在系統內，等待再次出擊的機會。如果答案是肯定的，那他藏在哪裡，該如何將他隔絕，以免造成進一步傷害，是偵辦的第一步，就像警察進入竊案或是命案現場，會先搜查，看看歹徒有沒有躲在衣櫥裡一樣，網路犯罪調查人員也會先檢查中毒系統的伺服器、網路作業暫存區以及電子信箱，確定是否有尚未啟動的潛伏病毒。

在排除這個可能性之後，鑑識工作才能展開，首先要尋找數位指紋，也就是駭客遺留的線索，以想哭勒索軟體為例，駭客透過 email 發送的病毒鏈結，就是關鍵跡證之一，駭客知道 email 會透露很多線索，他們會盡可能的掩蓋這些線索，就像搶匪會用贓車或是假造車牌，誤導警察一般，駭客也一樣，不過有經驗的調查人員，有的是辦法找到蛛絲馬跡，他們會追查發送病毒的 Email 信箱，是不是有綁社群網站帳號以及是否曾涉及其他犯罪等等。它們會過濾過往案件，看是是否出現過類似的手法，犯罪模式分析，經常會有意想不到的收穫，曾有一次由政府主謀的網路犯罪，最後查出背後是俄羅斯，調查人員發現駭客只在早上九點到下午五點上線，和公務員一樣，而且九到五是莫斯科時間，另一起案子的駭客，每逢中國國定假日就停工，兩年前，Sony 電影公司被駭，追查發現病毒曾經在北韓使用過。

目前這波勒索軟體攻擊，歹徒的勒索信，用了二十多種語言，有人懷疑駭客可能是中國人，因為中文的勒索信，寫得比英文版的好。

在證據到達可以縮小調查範圍的階段後，調查員就會透過偽裝，混進駭客經常流連的網路聊天室，有人開玩笑說，這些駭客群聚的聊天室，搞不好有一半是調查員偽裝的。

現在的網路犯罪，破案難有部分原因是因為比特幣的使用，這種虛擬貨幣的帳戶和交易很難追查。

說到底，電腦世界的犯罪偵查，和實體世界一樣，調查人員往往得耐心等待歹徒犯錯，一個曾任職 FBI 的幹員說，很多案子都是因為歹徒一不小心露出馬腳才被偵破。