【大紀元11月27日訊】〔自由時報記者蘇恩民、劉慶侯╱台北報導〕檢警偵辦林啟順入侵網路銀行案,發現兩個現象,十分可疑,其一,林啟順測試被害人密碼,絕大多數第二次便能準確猜中;其二,數千名被害人所使用的電子郵件信箱,清一色都是雅虎奇摩的免費信箱;專案小組研判,這兩大疑點,應與歹徒如何取得被害人帳號、密碼,有極重要關聯,不排除全案另有其他共犯。
專案小組歸納出前述兩項疑點,主要是根據林啟順電腦檔案內的建檔資料,以及建華銀行等網路銀行協助提供內部安全控管資料;但因林啟順落網後,始終不願翔實供出作案關鍵手法,辦案人員目前仍無法知悉其電腦內所存放的數萬筆被害人資料,究竟從何而來。
檢警指出,林啟順曾於今年三月間,因涉嫌詐領他人網路銀行存款相關犯罪而被捕,當時他的作案方式,主要是先蒐集、竊取銀行寄發給民眾的信用卡帳單,再根據文件中的信用卡帳號、身分證字號、生日等資料,登錄網路銀行,或進入電話語音認證系統,逐一測試被害人的密碼。
林啟順取得帳號、密碼後,即以「合法」姿態,冒充被害人名義進入銀行網站,隨即變更、竄改被害人密碼及住居地等資料,再利用各式網路理財功能,盜領被害人存款,或辦理預借現金牟利。
問題是,前次犯案過程中,林啟順主要根據被害人的身分證資料、生日、甚至四個數字排列組合方式,不斷測試被害人的網路銀行密碼,才能成功盜取被害人存款,但根據建華銀行提供的資料顯示,林啟順這次作案,幾乎都是在第二次輸入正確的密碼,且不少被害人的密碼,並非設定生日、身分證字號等「懶人密碼」,顯示林啟順事前應已掌握某些可靠資訊。
其次,檢警過濾林啟順的電腦檔案,發現幾乎所有被害人的電子郵件信箱,都是從雅虎奇摩網站申請而來的免費信箱,辦案人員認為這種「巧合」,十分不尋常,似乎透露某種關聯性,專案小組不排除全案可能另有其他尚未曝光的共犯,在幕後協助提供犯案所需關鍵情資,將根據現有情資,深入追查、還原事件真相。
〈自保之道〉懶人密碼 千萬別用
〔記者蘇恩民╱特稿〕國內金融機構自九十年五月爆發首宗網路銀行詐騙案以來,已經出現不少存款人或信用卡持有人遭冒名盜領、盜刷的案例,但分析歹徒能夠得逞的原因,除了銀行帳單列印等作業疏失外,被害人不注重密碼管理,恐怕才是導致自己成為被害人的最關鍵因素。
從最近幾年層出不窮的各式網路金融犯罪案例,可知目前網路銀行、線上購物等電子交易環境,仍無法保障交易資料絕對安全,一般人或企業,若無法避免這類網路交易需求,最起碼也要做好密碼設定及管理,才能使財物損失的風險降至最低,因為一旦密碼遭破解,歹徒便能堂而皇之進入銀行網站,輕易竊取、竄改被害人所有個人金融理財資料。
一般而言,密碼設定及管理,應該謹記下列六項原則:一、絕對避免設定「懶人密碼」,亦即勿以生日、電話、統編等個人或公司基本資料有關的數字設為密碼,以免遭歹徒輕易猜出。
二、不要為了方便記憶,而使用連續或相同的數字作為密碼,例如:1234、ABCD、8888等,且盡可能英文與數字交互使用,其中英文最少兩位,數字最少一位。
三、請勿洩漏密碼給其他任何人,包含銀行行員,也不要將密碼寫在明顯易見之處。
四、一般電子郵件等網站密碼(可能是明碼),應避免與網路金融交易的密碼相同,以免遭歹徒收集、比對、猜中而盜用。
五、線上交易一旦完成,或登入網路銀行網站期間暫時離開座位,應養成先登出網路銀行的習慣,且最好不要在網咖等公用電腦使用有交易功能的網站,以免帳號密碼遭歹徒利用木馬程式還原取得。
六、應該經常不定時變更密碼。
〈透視手法〉破解金融密碼 就像玩四星彩
〔記者劉慶侯、蘇恩民╱台北報導〕「只要給歹徒身分證號碼和出生年月日,對方就有三次機會,可以試著破解民眾自己登錄的金融密碼」;警方指出,林嫌就好像每天在網上玩「四星彩」一般,但只要讓他猜中一次,那銀行和民眾可就要損失不貲了。
此外,林嫌最惡劣的是,一旦侵入冒貸成功後,還會假裝是銀行人員,打電話給被害人查帳,讓對方真的以為銀行錯誤入帳後,才要求轉匯至其他指定帳戶;此舉不僅趁機詐欺對方錢財,還等於利用被害人充當人頭戶「過水」洗錢。
警方表示,曾是偽卡盜刷集團成員的林啟順,共有兩個步驟蒐集身分證、信用卡等資料;第一、是透過不明管道,向各汽車修理廠、公司行號收購、蒐集客戶刷卡資料或單據,再根據單據上登錄的客戶資料,判斷出對方所屬持卡銀行。
第二,利用網路「身分證字號產生器」軟體,選取城市及獲取身分證號碼後,以病患或親友名義,打電話向當地最大的醫療院所查詢或謊稱掛號,事後再以撤銷掛號或探病作藉口,伺機騙取身分證號碼者真正的姓名及出生年月日。
在取得相關資料後,只要被害人是以生日、卡號、車號等「懶人密碼」,設定作為自己的金融密碼,林嫌一旦順利破解,就可利用網路銀行或銀行語音電話等系統,輕易的以被害人身分,向銀行申辦各項業務。
隨後,林嫌會先逐一將被害人的金融卡、信用卡、提款卡全喬理遺失補發,再把未來補發的卡片及單據送達地址,全數改到自己設定的租住處,被害人和發卡銀行完全被矇在鼓裡。
同時,林嫌會私下以一個月作期限,以防被害人發現自己的帳戶存款不足或信用卡額度已爆,以便在期限內儘量的盜刷、盜領。
此外,林嫌若發現被害人的信用貸款額度夠高,還會立即申領貸款,一旦貸款匯入被害人戶頭內,林嫌便會假稱是銀行人員,表示有一筆帳款錯置,要求對方刷提款卡查帳,再請對方以轉匯方式將款項轉入其人頭帳戶。
〈一網打盡〉入侵網銀 三種手法
記者蘇恩民╱特稿
駭客蒐集被害人帳號、密碼,據以入侵網路銀行的手法眾多,令人防不勝防,多數被害人經常存款已遭盜領一空仍不自知,過去甚至發生過歹徒利用被害人網路銀行帳戶內存款,替被害人作主購買證券基金的案例,可見網路金融犯罪具有隱蔽性高的特性,值得有關單位注意。
一般而言,歹徒取得網路銀行使用者的帳號、密碼或信用卡持有人資料的手法,通常可分為三大類,包括「苦力型」、「社交工程」及「駭客攻擊」。
所謂「苦力型」,是指歹徒憑藉自身勞力,收集被害人金融往來資料,例如信用卡公司寄發給客戶的信件,再根據相關文件內記載的帳號,登入銀行網站,逐一測試密碼,直到猜中為止;這類取得被害人帳號、密碼模式,必須耗費龐大時間、人力,因此除非是有組織的集團犯案,否則危害通常不至於太大。
「社交工程」說穿了就是一種騙術,亦即歹徒利用人性貪婪、輕信等弱點,偽裝自己的身分,通常利用電話,談話中向被害人或金融機構套出犯案所需帳號、密碼,由於歹徒必須事先知悉被害人的基本資料,因此這類犯罪往往是熟人所為。
至於「駭客攻擊」行為,因各網路銀行為免遭駭客入侵,均不惜鉅資設立固若金湯的防火牆,故歹徒常轉向使用者下手,先利用駭客程式,取得被害人帳號、密碼,再冒名進入銀行網站,遂行詐欺、盜領、洗錢等犯罪。這類駭客常以電子郵件,引發網友開啟來路不明的檔案,伺機植入惡意程式如鍵盤側錄程式(key-logger)及木馬病毒(TrojanVirus)等,一旦使用者不慎掉入陷阱,駭客即可輕易開啟後門(Backdoor),竊取被害人電腦內的個人機密資料。
駭客也可能利用系統漏洞,製作成病毒程式大量散播,以最短時間內感染其他電腦系統,並將木馬程式藏匿其中伺機竊取個人重要資料,或建立色情網站、網路商店等,引誘網友線上消費並輸入信用卡號及密碼,輕易取得使用人的私密資料。
(http://www.dajiyuan.com)
