一銀8,300萬ATM盜領案

專案探討

台灣第一次的ATM網路金融犯罪

2016年7月6到9日,有群駭客集團車手悄悄地分別由香港、杜拜、土耳其、宿霧及雪梨入境桃園國際機場來到台灣,利用星期天10日及11日的颱風假,街上人少,歹徒選擇台北市早上9點多在四平街市場附近的一銀吉林分行ATM提款機,先來一次現金提取演練,過程完美無暇。這些人信心滿滿的等待黑夜來臨,進行台灣金融史上第一次駭客盜領銀行案。

嫌犯利用惡意軟體「ATM spitter」攻擊一銀提款機,在亞美尼亞、白俄羅斯、英國、保加利亞、愛沙尼亞、喬治亞、吉爾吉斯共和國、摩爾多瓦、荷蘭、波蘭、羅馬尼亞、俄羅斯和西班牙等國家的金融機構皆發生類似侵駭事件。

網絡攻擊的起源可以追溯到第一商業銀行倫敦分行的一處電話客服中心。當地的工作人員皆收到一封據稱來自歐洲中央銀行的電子郵件,一位不小心的員工打開了附檔的惡意軟體,透過微軟Office的漏洞,該犯罪組織取得並掌控了受感染網路的特定功能,在這個例子裡則是針對一銀的ATM自動提款機。

車手

犯罪集團從倫敦一臺電話錄音伺服器(10.224.21.11),遠端遙控台北及台中兩地第一銀行22家分行的41台ATM,20多名國外車手兵分多路到達指定的提款機前,不需提款卡與輸入任何密碼,甚至不用接觸ATM就能領錢。

確認嫌犯

一開始調查的方向包含了廣泛的數位證據,包括來自電信公司,CCTV影像與照片,生物識別,警方報告和在犯罪現場發現的物品等。另外根據漫遊資訊,檢調單位縮小了嫌疑人住宿的飯店清單。多達22位嫌疑犯認為與該次的網路攻擊有關。通過分析嫌疑人的潛在位置和出入境記錄後,警方確定被盜領現金仍在台灣,且一些嫌疑人尚未出境,當時透過媒體發布了其中一個嫌疑人的照片,來自拉脫維亞的Peregudovs Andrejs。

主要嫌疑人的行程

案發後的前幾天,Andrejs隨身攜帶2千萬的現金並持續更換飯店以利掩蓋蹤跡。透過鎖定的通聯記錄再加上計程車司機的指認,Andrejs雖有嘗試著停用手機避免被發覺位置,但最後還是在宜蘭的餐廳直接被警方逮捕。

幫兇的行程

當查閱了台北車站的監視器影像後,警方確定了另外兩名嫌疑人,羅馬尼亞的Colibaba Mihail和摩爾多瓦的Pencov Nicolae。當所有媒體注意力集中在對Andrejs的追捕時,這兩位男子被錄到從車站的置物櫃中帶走了兩個手提箱。

警察立刻針對這兩位嫌犯設立了一個秘密的監控行動,當確認他們入住酒店時,警方立刻進行逮捕行動,事後在兩個行李箱中發現被盜領的六千萬新台幣。

透過數位鑑識調查嫌犯蹤跡

所有被查扣的手機透過4PC提取資料後,皆使用Cellebrite Analytics關聯性分析軟體進行分析。數位鑑識團隊發現,其中兩名嫌疑人有相互聯繫,並依據GPS位置紀錄,在某些時間點彼此有出現在同樣的地方。此外,嫌犯在進入台灣之前有類似的旅行路線,包括最近在中亞,東南亞和中國都有停留。在3個嫌犯的手機上都發現了犯罪的數位證據,包括大量台幣現金照片。而在Andrejs的手機上,進一步發現了剩下的現金藏匿地點。

手機上的網頁搜尋關鍵字

透過分析Mihail和Nicolae手機上的關鍵字搜索記錄,很明顯他們已經在2016年4月搜索了世界各地的ATM資訊。還發現,在2016年7月進入台灣之前,他們在搜索引擎上研究了台灣海關出關時可以申報的最高現金額度,台灣比特幣購買以及台灣電信公司通聯記錄規範等資訊。

數位鑑識團隊在Mihail的手機上搜尋關鍵字”Тайване”(台灣),發現案發後他在微信中提及要求洗錢的緊急對話紀錄,還發現了一些疑似同夥護照以及大量現金的照片。

法院判決

三位被告則堅稱無辜,在審判中表示,不隸屬任何國際犯罪集團。但根據強而有力的實體以及數位證據,最後三位被告皆被判了五年的徒刑。可惜的是牽涉本案的另外19位外籍車手,皆已潛逃出國,未來希望與國際警方合作之下,可將這個犯罪集團一網打盡。

數位鑑識的運用

如果沒有Cellebrite Analytics關聯性分析軟體,警方可能要花費更多的時間在嫌犯的手機上找出關聯性證據,無法在最短的時間確認偵查方向,進而逮捕嫌犯。根據台北刑事調查局(TCIB),這個案例說明了傳統調查方式與新的數位調查方式的差異,如何在關鍵時間點有效並快速分析大量的數位資訊,並找出關聯性。擁有先進的Cellebrite工具以及經過培訓的數位鑑識專家,是數位時代成功調查的關鍵。