刑事警察局vol.93

參、我國偵破跨國重大案件之實例 105 年臺灣金融史上第一次發生駭客入侵銀 行網路盜取鉅額款項的案件，本案係由東歐跨國 駭客盜領集團「 COBALT 」駭入臺灣第一銀行的 41 臺 ATM ，竟不須使用提款卡，發動網路攻擊 令 ATM 自動吐鈔，即成功盜領新臺幣 8,327 萬 7,600 元案，案件經過及相關分析詳如表 1 。 臺灣警方成功逮捕第一銀行 ATM 盜領案 3 嫌經過 主嫌 國際網路犯罪集團「 COBALT 」俄羅斯籍主嫌 Denys Katan 虛擬 IP 位址 10.224.21.11 第一駭入時間 105 年 5 月 31 日 22 時 36 分入侵第一銀行倫敦分行電話錄音主機並建立 連線 第二駭入時間 105 年 7 月 5 日製作專供犯無故干擾他人電腦與設備罪之電腦程式（即 「 cnginfo .exe 」、「 cngdisp.exe 」、「 cngdisp_new .exe 」、「 cleanup .bat 」）並放入該伺服器內 車手盜領時間 105 年 7 月 10 日 5 時 30 分 處理贓款角色 Gas Chromatography 入境臺灣時間 105 年 7 月 9 日起陸續入境臺灣 事發經過 Denys Katan 在倫敦利用電話錄音伺服器，由內部電腦連線至指定 ATM 執行吐鈔程式，遠端遙控臺北及臺中 22 家第一銀行分行的 41 臺「 ProCash 1500 」型 ATM ，集團各國籍車手 15 人盜領新臺幣 8,327 萬 7,600 元，並 於案發第 3 天出境，另集團各國籍 7 人入境臺灣處理贓款及分工洗錢 犯罪手法 利用滲透測試軟體「 Cobalt Strike 」，其攻擊手法以夾帶惡意程式魚叉式 釣魚郵件（ Spear Phishing ） email 各國銀行員工，以詐術使其不自覺觸發 電腦程式，成功入侵銀行內部網路，遠端控制員工電腦，隨即部署相關程 式感染其他電腦並取得管理者權限，遙控受感染電腦，進而控制 ATM 伺服 器。 臺北市政府警察局 信義、中山、大安等分局 第一時間調閱監視器，透過清查飯店住宿紀錄，過濾分析出 22 名外國籍 嫌犯身分，循線於 7 月 17 日逮捕 3 名洗錢嫌犯，分別為羅馬尼亞籍嫌犯 COLIBABA MIHAIL 、摩爾多瓦籍嫌犯 PENCOV NICOLAE 及拉脫維亞籍 PEREGUDOVS ANDREJS 刑事局偵九大隊及科研 科 從嫌犯 COLIBABA MIHAIL 手機雲端郵件，搜尋到涉案情節明確的 email ，發信人署名為 Denys Katan ，於 105 年 7 月 11 日發給 MIHAIL ， 內容指示 MIHAIL 後續如何進行洗錢 調查局新北市調查處、 防制電腦犯罪及資安鑑 識實驗室 從其中一臺 ATM 找出因自毀程式執行失效而遺留的惡意程式，釐清網路 入侵及遠端操控，查出其使用之網路駭侵工具、吐鈔程式、滅證程式及連 線中繼站 IP 等資訊，與 COBALT 犯罪集團手法及特徵高度相符 裁判字號 臺北地方法院 105 年訴字第 426 號刑事判決 違反法條 中華民國刑法第 359 條（破壞電磁紀錄罪）、中華民國刑法第 339 條之 2 （以不正方法由自動付款設備取得他人之物者處罰） 合作執法機關 歐洲刑警組織（ Europol ）暨網路犯罪中心（ European Cybercrime Centre ， EC3 ）、 FBI 、羅馬尼亞、摩爾多瓦、白俄羅斯、西班牙國家警 署 表 1 ：跨國駭客盜領集團「 COBALT 」駭入臺灣第一銀行網路案分析 47 偵 FORUM