http://www.cib.gov.tw/tw/news/news01_2.aspx?no=419


發稿時間 2004/6/9 上午 10:29:22
標題 「兩岸駭客聯手入侵國內網路銀行客戶，台灣駭客落網，刑事局呼籲全國網路銀行客戶全面更改帳戶密碼」
查獲時間 民國93年06月04日上午00時00分
查獲地點 花蓮市
查獲嫌犯 陳○○(男，三十歲)
查獲贓證物 (一) 電腦伺服器主機四台、ADSL數據機四台、網路交換機一台。
(二) 國內各家網路銀行帳戶密碼、各大知名網路公司帳號密碼數萬筆。
(三) 郵件帳號資料四千五百萬筆。
(四) 銀行存簿。

查獲單位 台灣士林地方法院檢察署、刑事警察局偵九二組、行政院資通安全會報、財政部金融局、財金資訊公司









(一) 刑事警察局偵九隊專案小組在士林地檢署白檢察官忠志指揮下，會同行政院資通安全會報、財政部金融局、財金資訊公司等單位，全力偵辦發生於今年三月間的網路駭客大盜入侵國內數十家網路銀行客戶帳戶，將至少數百萬元客戶存款盜領一空案，在歷經二個多月來不眠不休的追查後，終於宣告偵破。警方於昨日持搜索票馳赴花蓮直搗黃龍，當場破獲該駭客盜領集團的台灣地區犯罪工作室與布滿密密麻麻網路線路之電腦機房，現場起出做案用之網路伺服器主機四部、數據機四台、網路交換機一台、國內各家網路銀行客戶帳號密碼及知名網路公司拍賣帳號密碼數萬筆、郵件帳號名單四千五百萬筆…等，並將涉案盜領轉帳的台灣主嫌陳○○逮捕到案。偵九隊經過連夜偵訊調查，終於解開這起「木馬駭密碼、存款盜光光」的重大金融犯罪案真相，陳嫌係與大陸駭客勾結，先取得最新型木馬程式，加以偽裝成各種標題聳動誘人的廣告信後大量散發，吸引好奇的民眾開啟郵件在不知不覺中下載木馬程式常駐電腦中，再俟機擷取被害人於網路上使用之網路銀行網址及帳號、密碼等機密資料，自動回傳給位於中國大陸之伺服主機，待陳嫌登入該主機收取帳號密碼等資料後，再透過台灣主機層層轉接遙控位在世界各地之跳板主機，侵入國內網路銀行客戶帳戶中盜轉存款至台灣人頭帳戶，最後由車手在大陸地區的ATM提款機提領現金，藉以逃避警方追查，經查被害客戶中甚至有存款金額高達新台幣二億元者。
(二) 網路科技日新月異，網路銀行的出現使民眾不需出門到銀行抽號碼排隊，只要在家彈指一按透過網路即可完成轉帳、匯款等麻煩工作，科技進步雖帶給人們便利，但也潛藏許多危機與風險。刑事局偵九隊在九十三年三月下旬陸續接獲國內多家銀行報案，指稱網路銀行客戶的存款在莫名其妙的情況下，遭不明人士利用非約定帳號轉帳機制陸續轉出新台幣數萬元至數十萬元不等金額至人頭帳戶，並有在中國大陸銀行ATM提領情事發生。以往國內雖亦曾發生過網路銀行客戶存款遭盜領，但多屬客戶本身密碼保存不慎外洩，或使用「懶人密碼」被試破而遭盜領，但此次發生的網路銀行帳戶遭盜領案，受害銀行各家皆有，且受害民眾數目及部分遭盜領金額之規模頗大，顯示絕非單一個案，而是金融犯罪集團有計畫且全面性的入侵網路銀行帳戶犯案，鑑於此種新型犯罪手法竊取善良百姓的辛苦積蓄，屬不易查覺的狡黠型犯罪案件，嚴重影響網路金融交易秩序，引起政府高度重視，財政部金融局決議全面停止網路銀行「非約定帳戶轉帳」功能，並要求刑事局偵九隊儘速破案。案發後，刑事局長侯友宜立即指示偵九隊成立專案小組全力追查，並報請臺灣士林地方法院檢察署白檢察官忠志指揮偵辦。經專案人員逐一清查發現，自本(九十三)年二月二十日起，某金控網路銀行客戶便已遭到盜取存款，且此犯罪侵害一直悄悄的在網路上逐漸蔓延並持續至三月二十四日(總統大選後)，遭盜取帳號密碼之銀行客戶各家都有。偵九隊專案小組首先至各受害銀行網路防火牆稽核紀錄檔並無異狀，初步排除銀行伺服器主機被駭的可能，在進一步會同銀行資訊人員兵分多路前往全國各受害民眾家中電腦勘查後，發現這些電腦皆遭人植入特定惡意木馬程式，只要一連上網路，這些木馬就會自動蒐錄民眾所使用的各種網路銀行、郵件、通訊帳號密碼及個人機密檔案，並主動將這些機密資料傳送到大陸某特定網路主機中，甚至會等候電腦使用空檔時間俟機向位於國外的網路主機報到聯絡，使駭客可遠端遙控該電腦成為一跳板主機，受害民眾除了蒙受財產損失外，更可能在不知不覺中成了犯罪跳板及代罪羔羊仍不自知。
(三) 由於所有入侵主機的IP來源遍及美國、俄羅斯、阿根廷、印度、韓國、香港及中國大陸地區，警方難以實地查訪，且所有盜轉之存款均轉到十餘位台灣人頭名下共計一百多個人頭金融帳戶，藉以逃避追查，使偵辦進度陷入膠著，唯因民眾存款遭盜領後係由大陸的車手在對岸的ATM提款機提領，警方初步研判本案應是兩岸駭客結合詐騙集團聯手犯案，且部分電腦都集中在深夜時段密集向特定主機發送訊息，顯示該駭客應是晝伏夜出的夜行者，為了設法突破瓶頸，專案小組人員運用最新型網路資訊追?技術，鎖定一匿稱為「Lock」之駭客涉有嫌疑，偵查人員遂輪流於深夜時段至駭客交流聊天室上線監控，發現該名「Lock」駭客上線來源係跳經數個國外主機，與犯案駭客手法雷同，繼全面清查「Lock」（真實姓名為陳○○）對外通訊聯絡歷程等資料後，終於鎖定其上線網點來自東部花蓮地區，偵九隊派員前往花蓮歷經月餘跟監埋伏守候，發現陳某並無特定工作但手頭寬裕，且查得陳某帳戶中確有大筆可疑資金自中國大陸地區匯入後，研判陳某涉嫌重大，見時成熟，持搜索票前往陳○○住處及工作室機房執行拘提、搜索，並當場逮捕陳姓主嫌。陳嫌到案後原本矢口否認涉及本案，堅稱僅幫人設計駭客程式及發送廣告信賺取外快，且當警方搜索其電腦主機時拒不配合勘驗，經偵九隊偵查員設法破解其資料庫密碼後，當場查獲存有數萬筆各家網路銀行（郵局）、拍賣網站、電子郵件、遠端主機、商業資料庫甚至色情網站的各式帳號密碼，舉凡是以帳號、密碼登入的網站機密皆已輕易被陳嫌「駭」到手，令警方為之咋舌，陳○○眼見?證如山無法狡辯，只好俯首認罪。
(四) 警方深入追查後發現，陳嫌先透過大陸駭客取得台灣地區計四千五百萬筆電子郵件帳號，再利用渠工作室中的四台伺服器主機，自九十三年二月中旬開始發送電子郵件，一直持續到三月中旬，總計散發了一千八百多萬份的有效電子郵件名單（平均每個人最少會收到兩封以上含木馬病毒之廣告信），而陳嫌所使用之木馬程式係向一名中國大陸高手級駭客（代號cc）取得，然而陳嫌在試用階段發現該木馬會遭防毒軟體圍堵，遂透過該名駭客輾轉找到一名現職大陸公安資訊技術人員協助「加殼」（駭客術語，英文名稱為SHELL，意指將木馬程式予以重新編碼包裝），藉以躲過防毒軟體的偵測，陳嫌得此利器後，趁九十三年二月十三日（星期五）來臨前，偽製主旨為「2/13黑色星期五，將有43隻電腦病毒發作，微軟用戶快下載修補程式」之郵件，將木馬程式偽裝成微軟公司「系統更新程式.exe」、防毒軟體公司「解毒程式.exe」，使受害人不察而點選該程式icon，或將木馬程式偽裝成「信用卡號產生器.exe」、「信用卡號確認程式.exe」、「最新的註冊機破解補丁.exe」放在工具軟體ftp網站，誘騙被害人下載執行，更令人驚訝的是，陳嫌甚至還將木馬偽裝成「色情網頁圖片檔.html」，再放到中國大陸色情網站上（http：//www.*****.cn），利用被害人好奇的心理，只要點選超連結上網瀏覽，就會立即中毒被載入木馬程式，初期雖不會馬上發作或產生任何異狀，但會默默潛伏於系統程式中，只要被害人在電腦中使用某知名公司所出產的相關軟體如IE（網頁瀏覽器）、word（文書編輯器）、outlook（郵件收信器）等軟體輸入任何「帳號」、「密碼」，木馬程式即會連同相關「網址（www）」或「路徑（path）」一起記錄下來，如此一來不僅「網路銀行」帳號密碼會被竊，就連時下最流行的「拍賣網站」、「線上遊戲」、「電子郵件」、「即時通訊」、「網路硬碟」、「網路主機」、「ADSL連線」或加密過的文書、試算、資料庫等檔案等所使用的帳號、密碼都無一倖免，據陳嫌自己估計，自今年二月至今，至少已得手約數十萬筆民眾帳號密碼，但警方查到的只有數萬筆而已，陳嫌對此供稱其中約十萬筆網路銀行帳號密碼已轉交給大陸駭客運用，俟機盜領存款，因自己未留備份所以不在渠資料庫中，警方為此感到頭疼與緊張，若陳嫌所言為真，則這數十萬筆機密資料已在對岸人士手中，若其中包含有公務單位的機密檔案，則對台灣的財金、資訊、治安甚至國防都可能造成一定影響。
(五) 警方發現，本案疑似因為大陸駭客貪心先行盜轉存款，才使得案情提早曝光，但已引起銀行及警方注意，採取防制措施與追查行動，許多人頭帳戶皆被凍結並遭警方約談到案，致使盜領案損失未擴大，陳嫌還慶幸案發後因適逢總統大選期間警力較不足，認為警方無力查緝，殊不知刑事局偵九隊早已動員全部偵查人力進行地毯式搜證，運用最新追?技術逐一縮小範圍並鎖定陳嫌涉案後予以拘捕，並清查於台灣地區是否有其他在逃共犯中，此正所謂魔高一尺，道高一丈。由於陳嫌供稱所駭得的網路銀行客戶帳戶及密碼幾乎涵蓋各家國內及外商銀行，警方研判受害者可能不只原先已報案的銀行及存款戶，因為有些銀行為避免引起存戶恐慌及影響信譽，決定自行賠償遭駭客戶的損失，因而使盜領案未完全浮上抬面，但也使許多民眾未隨之提高警覺性，甚至連被盜領了仍未發覺，因為陳嫌就供稱，渠有次曾侵入一名銀行客戶的帳戶後，看到裏面的存款居然高達新台幣二億元，原本以為做這一票就夠本了，只是沒想到該帳戶對於「非約定轉帳」設有金額限制，每次轉帳金額不得超過五萬元、每天累計不超過十萬元、每月累計不超過二十萬元，才使得盜領金額未擴大。更誇張的是，就在警方勘驗陳嫌電腦主機時，發現國外遠端主機還不停地傳送民眾的銀行帳號、密碼資料進來，讓專案人員看了不禁為這些民眾的財產安全捏把冷汗。所幸案發後經台新商業銀行主動與刑事局合作，除積極處理回復客戶損失，並協助警方勘驗受害客戶電腦，將側錄之木馬程式交由知名防毒軟體解析編製病毒碼，目前各家防毒軟體皆可偵測到此木馬病毒，若有定時更新病毒碼的民眾應不需擔心。刑事局在此亦特別感謝台新、富邦、彰化等三家銀行勇於面對盜領案件，提供相關資料供警方偵辦參考並密切與警方配合，終於能將不法之徒繩之以法。警方將持續清查其他受害銀行客戶，並籲請未報案的其他銀行及受害者能主動與警方聯繫，訴諸司法途逕，向不法集團成員求償，不要姑息不法份子恣意肆虐。
(六) 就在不久之前，雅虎奇摩公司曾發生「網路拍賣」及「網路郵件」帳號大量被人竊取並被「分身」冒用為詐騙的人頭戶，使許多原帳號的「本尊」成為警方追查的冤大頭，所幸在雅虎奇摩公司積極查證下釐清事實並協助受害者向警方報案，因該公司伺服主機經查亦未遭入侵，原本偵九隊偵查人員懷疑歹徒是使用猜「懶人密碼」的方式來入侵他人帳號做案，但經查許多原帳號的「本尊」當初設定的密碼非常複雜，絕不可能被猜中，令警方百思不得其解，直到偵破此次駭客盜領案後，發現陳嫌所竊得的密碼資料庫中包含大批雅虎奇摩公司及另一家知名拍賣網站的帳號密碼，且該拍賣網站詐欺案案發時間亦集中在今年二月中旬後至三月底之間，與盜領案帳號密碼外洩時間相符，至此終於使一切真相大白。由於該詐欺案張姓主嫌已到案收押，偵九隊將進一步瞭解本盜領案陳姓主嫌與張嫌之間有無共謀或犯意聯絡關係，並感謝雅虎奇摩公司積極負責的處理態度，使拍賣網站中的賣方與買方免於進一步被騙受害。
(七) 在現今幾乎人人依賴網路服務但「網路憑證」（簡稱CA，即Certificate Authority）尚未普及的時代，網路帳號、密碼是唯一的網路身分識別工具，但單靠此種僅由一連串簡單字母、數字、符號組合而成的安全機制來為大眾資訊安全把關，顯然仍嫌不足，這亦是政府現今大力推行「網路自然人憑證」的主因，以此次外洩至對岸的數十萬筆機密帳號密碼為例，輕則淪為犯罪集團犯罪工具，重則使國家安全備受威脅，警方雖設法欲將這十萬筆資料追回，但亦有心理準備，若未能成功追查掌握到這些機密資料的流向並確保無安全之虞，極可能須上報行政院資通安全會報採取必要安全防制措施。
(八) 本次盜領案受害範圍之廣、侵害對象之多、影響層面之大、犯罪手法之罕見、運用技術之高深皆屬首見，為免對國家財經秩序造成隱患，刑事警察局偵九隊傾全力偵辦此一重大金融犯罪案件，最後終能宣告破案，對於不法集團企圖藉由網路資訊的便捷性及隱匿性，以非法的手段，入侵個人電腦，俟機竊取被害人所有上網私密資料，並盜取金融存款，破壞金融秩序，影響社會安定之犯罪行為，予以迎頭痛擊，對遏阻犯罪集團繼續利用此一手法犯案有積極正面意義，警方將持續與國內金融業界密切合作，全力維護金融業界持續推動網路銀行服務業務的秩序，防杜不法情事的發生，以確保民眾資通安全。

行政院國家資通安全會報呼籲
自去年底組織型駭客大規模攻擊事件發生後，國家資通安全會報即積極追蹤攻擊途徑與手法，並於今年初陸續發現駭客利用電子郵件夾帶惡意程式攻擊之實證，再與近來多起網路銀行遭冒領與攻擊等事件相印證，研判此類攻擊已成為駭客組織之慣用手法，本會報已採集惡意程式樣本，進行行為分析並整理相關防範措施，提供社會大眾加強安全防護。
經檢測惡意程式樣本後，研判屬後門程式入侵攻擊，駭客主要是利用標題聳動之電子郵件，如”傳言金正日已身亡”、”安全提醒諾基亞手機又在港爆炸”、”陳總統就職演說之搶鮮版”等，誘使使用者開啟郵件附檔後進行入侵攻擊。當後門程式入侵成功後，會主動嘗試與駭客連線，使駭客能將竊聽與監控工具程式安裝於受害系統上，達到其竊取使用者帳號與密碼等資料之目的。
國家資通安全會報已將收集之惡意程式樣本提供防毒軟體廠商列入檢測範圍，並邀集相關單位與學者專家研提下列建議供大眾參考，以提昇全民危機意識，加強資通安全防護措施。
壹、 立即執行微軟系統與辦公室軟體之弱點補強作業，以防範惡意電子郵件攻擊。
貳、 不明郵件一律刪除，以避免遭受駭客攻擊。
參、 不任意下載或安裝不明軟體，如電腦遊戲或工具軟體等，以防駭客入侵。
肆、 重要資料不放置網路上，以防資料外洩。
伍、 不在安全防護不足之網際網路環境中使用電子交易，如網咖等，以防資料遭竊聽冒用。
陸、 安裝個人防火牆，以加強個人電腦安全防護。