網路世界犯罪萬變 案件偵查不離其宗
鉅亨網新聞中心 2017-05-17 09:08
網路世界犯罪萬變 案件偵查不離其宗。(夏明珠專題報導)
銀行搶匪多數會戴面罩遮臉,開贓車逃逸,綁匪經常用拼貼印刷字體的信來勒贖,闖空門的小偷則專找門窗沒關好的房子下手,網路犯罪歹徒,手法也差不多,他們會用軟體隱藏身份,誤導調查單位,他們綁架檔案,勒索贖金,專門找電腦系統有漏洞的公司和個人下手。
上個星期對全球展開攻擊的電腦勒索軟體,同樣是一種古老犯罪的現代型態。調查單位也遵循真實世界中,一直以來的辦案手法,也就是先封鎖案發現場,採集證據,循線索追查犯罪源頭。雖然和傳統犯罪,有那麼多類似之處,網路攻擊因為多了數位武器,它的破壞力更強,破案也更難。
這波勒索軟體攻擊,估計全球有二十多萬台電腦受害,災情沒有先前擔心的那麼嚴重,現在怕的是後面還有變種。英國通訊總部情報與網路部門的一位資安專家說,在網路上犯罪,歹徒連出家門都不需要,在這種狀況下,要逮到他,難度當然會高很多,更別說像這種大型、複雜以及全球性的犯罪,若要偵破,勢必需要跨國合作,而基於國家安全考量,國與國之間,在相關的資訊共享上,通常都有所保留,這個障礙必須要先突破。
目前,針對防治網路犯罪制定的國際協定,只有布達佩斯公約,布達佩斯公約的簽約國以西方民主國家為主。俄羅斯和中國都拒絕簽署,主要原因是它准許數位型態的熱追緝,熱追緝是指警方在公共場所追緝犯罪嫌疑人時,假使嫌犯跑進民宅,因為狀況緊急,警方可以在沒有令狀的情況下,進入民宅逮捕嫌犯。引用到網路犯罪偵辦上,布達佩斯公約簽約國,可以在情況緊急的前堤下,不事先照會,就侵入管轄國的網路,追查罪犯。專家說,要有效打擊網路犯罪,各國必須要有願意在網路主權上做犧牲的共識。
如同真實世界的犯罪現場,虛擬世界的犯罪調查,第一步也是要確定嫌犯是否仍在伺機而動,也就是在開始追查嫌犯以前,要先確定他是否仍然隱身在系統內,等待再次出擊的機會。如果答案是肯定的,那他藏在哪裡,該如何將他隔絕,以免造成進一步傷害,是偵辦的第一步,就像警察進入竊案或是命案現場,會先搜查,看看歹徒有沒有躲在衣櫥裡一樣,網路犯罪調查人員也會先檢查中毒系統的伺服器、網路作業暫存區以及電子信箱,確定是否有尚未啟動的潛伏病毒。
在排除這個可能性之後,鑑識工作才能展開,首先要尋找數位指紋,也就是駭客遺留的線索,以想哭勒索軟體為例,駭客透過 email 發送的病毒鏈結,就是關鍵跡證之一,駭客知道 email 會透露很多線索,他們會盡可能的掩蓋這些線索,就像搶匪會用贓車或是假造車牌,誤導警察一般,駭客也一樣,不過有經驗的調查人員,有的是辦法找到蛛絲馬跡,他們會追查發送病毒的 Email 信箱,是不是有綁社群網站帳號以及是否曾涉及其他犯罪等等。它們會過濾過往案件,看是是否出現過類似的手法,犯罪模式分析,經常會有意想不到的收穫,曾有一次由政府主謀的網路犯罪,最後查出背後是俄羅斯,調查人員發現駭客只在早上九點到下午五點上線,和公務員一樣,而且九到五是莫斯科時間,另一起案子的駭客,每逢中國國定假日就停工,兩年前,Sony 電影公司被駭,追查發現病毒曾經在北韓使用過。
目前這波勒索軟體攻擊,歹徒的勒索信,用了二十多種語言,有人懷疑駭客可能是中國人,因為中文的勒索信,寫得比英文版的好。
在證據到達可以縮小調查範圍的階段後,調查員就會透過偽裝,混進駭客經常流連的網路聊天室,有人開玩笑說,這些駭客群聚的聊天室,搞不好有一半是調查員偽裝的。
說到底,電腦世界的犯罪偵查,和實體世界一樣,調查人員往往得耐心等待歹徒犯錯,一個曾任職 FBI 的幹員說,很多案子都是因為歹徒一不小心露出馬腳才被偵破。
- 掌握全球財經資訊點我下載APP
上一篇
下一篇