刑事警察局vol.93

參、我國偵破跨國重大案件之實例 105 年臺灣金融史上第一次發生駭客入侵銀 行網路盜取鉅額款項的案件,本案係由東歐跨國 駭客盜領集團「 COBALT 」駭入臺灣第一銀行的 41 臺 ATM ,竟不須使用提款卡,發動網路攻擊 令 ATM 自動吐鈔,即成功盜領新臺幣 8,327 萬 7,600 元案,案件經過及相關分析詳如表 1 。 臺灣警方成功逮捕第一銀行 ATM 盜領案 3 嫌經過 主嫌 國際網路犯罪集團「 COBALT 」俄羅斯籍主嫌 Denys Katan 虛擬 IP 位址 10.224.21.11 第一駭入時間 105 年 5 月 31 日 22 時 36 分入侵第一銀行倫敦分行電話錄音主機並建立 連線 第二駭入時間 105 年 7 月 5 日製作專供犯無故干擾他人電腦與設備罪之電腦程式(即 「 cnginfo .exe 」、「 cngdisp.exe 」、「 cngdisp_new .exe 」、「 cleanup .bat 」)並放入該伺服器內 車手盜領時間 105 年 7 月 10 日 5 時 30 分 處理贓款角色 Gas Chromatography 入境臺灣時間 105 年 7 月 9 日起陸續入境臺灣 事發經過 Denys Katan 在倫敦利用電話錄音伺服器,由內部電腦連線至指定 ATM 執行吐鈔程式,遠端遙控臺北及臺中 22 家第一銀行分行的 41 臺「 ProCash 1500 」型 ATM ,集團各國籍車手 15 人盜領新臺幣 8,327 萬 7,600 元,並 於案發第 3 天出境,另集團各國籍 7 人入境臺灣處理贓款及分工洗錢 犯罪手法 利用滲透測試軟體「 Cobalt Strike 」,其攻擊手法以夾帶惡意程式魚叉式 釣魚郵件( Spear Phishing ) email 各國銀行員工,以詐術使其不自覺觸發 電腦程式,成功入侵銀行內部網路,遠端控制員工電腦,隨即部署相關程 式感染其他電腦並取得管理者權限,遙控受感染電腦,進而控制 ATM 伺服 器。 臺北市政府警察局 信義、中山、大安等分局 第一時間調閱監視器,透過清查飯店住宿紀錄,過濾分析出 22 名外國籍 嫌犯身分,循線於 7 月 17 日逮捕 3 名洗錢嫌犯,分別為羅馬尼亞籍嫌犯 COLIBABA MIHAIL 、摩爾多瓦籍嫌犯 PENCOV NICOLAE 及拉脫維亞籍 PEREGUDOVS ANDREJS 刑事局偵九大隊及科研 科 從嫌犯 COLIBABA MIHAIL 手機雲端郵件,搜尋到涉案情節明確的 email ,發信人署名為 Denys Katan ,於 105 年 7 月 11 日發給 MIHAIL , 內容指示 MIHAIL 後續如何進行洗錢 調查局新北市調查處、 防制電腦犯罪及資安鑑 識實驗室 從其中一臺 ATM 找出因自毀程式執行失效而遺留的惡意程式,釐清網路 入侵及遠端操控,查出其使用之網路駭侵工具、吐鈔程式、滅證程式及連 線中繼站 IP 等資訊,與 COBALT 犯罪集團手法及特徵高度相符 裁判字號 臺北地方法院 105 年訴字第 426 號刑事判決 違反法條 中華民國刑法第 359 條(破壞電磁紀錄罪)、中華民國刑法第 339 條之 2 (以不正方法由自動付款設備取得他人之物者處罰) 合作執法機關 歐洲刑警組織( Europol )暨網路犯罪中心( European Cybercrime Centre , EC3 )、 FBI 、羅馬尼亞、摩爾多瓦、白俄羅斯、西班牙國家警 署 表 1 :跨國駭客盜領集團「 COBALT 」駭入臺灣第一銀行網路案分析 47 偵 FORUM

RkJQdWJsaXNoZXIy NDEyMzQ=