跨國網路犯罪
」
谷歌起訴中國駭客平台!揭開全球「釣魚即服務」帝國黑幕
美國科技巨頭谷歌(Google)近日在美國紐約南區聯邦地區法院(United States District Court for the Southern District of New York,SDNY)對一群位於中國的駭客提起民事訴訟,指控他們運營1個名為「Lighthouse」的「釣魚即服務」(Phishing-as-a-Service,PhaaS)平台,該平台已在全球超過120個國家騙取逾百萬名使用者的資料。據《The Hacker News》報導,這起案件揭示了1個龐大且成熟的跨國網路犯罪生態系統,以及1個將網路詐騙工業化、制度化的「黑色服務產業」。透過販售「釣魚套件」(phishing kits)與網路基礎設施,「Lighthouse」協助詐騙者進行大規模釣魚簡訊攻擊(SMS phishing),偽裝成各國知名品牌,如美國高速公路收費系統「E-ZPass」與美國郵政署(United States Postal Service,USPS),誘騙受害者點擊惡意連結,以「未繳通行費」或「包裹待領取」等理由竊取金融資訊。雖然詐騙手法並不複雜,但這套系統化的服務卻在3年間累積超過10億美元的非法收益。谷歌總法律顧問普拉多(Halimah DeLaine Prado)表示:「他們非法使用Google與其他品牌的商標與服務,在虛假網站上展示我們的標誌,藉此誤導受害者。我們發現至少有107個網站模板在登入頁面上使用Google品牌設計,目的就是讓人誤以為這些網站是合法的。」谷歌指出,公司正依據美國《反勒索及腐敗組織法》(Racketeer Influenced and Corrupt Organizations Act,RICO Act)、《蘭哈姆法》(Lanham Act)以及《計算機欺詐和濫用法》(Computer Fraud and Abuse Act,CFAA)採取法律行動,試圖拆解這個龐大的網路詐騙基礎設施。「Lighthouse」並非孤立運作。根據調查,它與其他PhaaS平台如「Darcula」與「Lucid」共同構成了一個以中國為基地、互相協作的網路犯罪生態系。這些平台透過蘋果(Apple)iMessage與Google Messages的進階通訊解決方案(Rich Communication Services,RCS)功能,向美國及全球用戶發送成千上萬的「釣魚簡訊」(smishing)訊息,目標是竊取用戶的個資與財務資料。安全研究人員將這一系列行動歸類為一個名為「Smishing Triad」的詐騙聯盟。根據網路安全公司「Netcraft」在2024年9月的報告,Lighthouse與Lucid已被連結至超過17,500個釣魚網域,攻擊316個品牌、橫跨74個國家。其釣魚模板以訂閱制出售:每週88美元、1年則高達1,588美元。對此,瑞士網路安全公司「PRODAFT」在2024年4月的報告中指出:「雖然Lighthouse獨立於名為XinXin的組織運作,但它與Lucid在基礎設施與攻擊目標上的高度重疊,顯示出PhaaS生態系中各團體之間的合作與創新正日益深化。」根據安全單位估算,自2023年7月至2024年10月間,中國的「釣魚簡訊」集團可能已在美國境內竊取介於1,270萬至1億1,500萬張信用卡與金融卡資料。這些資料不僅被轉售,還被用於更複雜的詐騙技術,例如利用「Ghost Tap」工具,將被竊的信用卡資訊直接新增至iPhone或Android手機的數位錢包中,用於詐欺交易。僅在2024年初至今,美國資安公司「帕羅奧圖網路」(Palo Alto Networks)旗下服務「Unit 42」就追蹤到「Smishing Triad」使用超過194,000個惡意網域,偽裝成銀行、加密貨幣交易所、郵件與包裹運送服務、警方、國營企業及電子收費系統等多種機構,以迷惑受害者。
金融法制暨犯罪防制中心今辦研討會 審檢警調業界探討跨國網路犯罪
財團法人金融法制暨犯罪防制中心今天(14日)舉辦「跨國網路犯罪之防制與挑戰」研討會,邀請基隆地檢署檢察長余麗貞、法務部調查局調查官葉琨煒、橋頭地檢署檢察官鄭子薇及刑事局國際刑警科偵查第1隊隊長張瑋倫等人,針對遊戲點數犯罪現況及防制、Deepfake犯罪與防制挑戰、網路博弈犯罪手法分析與偵查技巧、與打擊跨國洗錢犯罪的執法挑戰等主題進行講解。研討會一開始邀請刑事局副局長李文章、司法院刑事廳長彭幸鳴廳長致詞,李文章首先點出近期電信網路詐騙案件發生頻率上升,最近1週假投資詐騙案件共有613件,不法利得高達8億7500萬元,呼籲民眾不要認為自己不會成為受害者,應提高警覺避免受騙。彭幸鳴廳長則指出,現今個人資料竊取問題嚴重,金融秩序的健全發展需要受到重視,並點出台灣在洗錢防制方面已與國際接軌,未來如何繼續防免是需要持續努力的目標。余麗貞檢察長舉智冠公司為例,提出強化防制作為能大幅減少相關詐欺案件,並提出我國應訂立遊戲點數管理規範,避免詐欺濫訴狀況不斷重複上演;葉琨煒調查官則從Deepfake原理技術開始介紹,並舉出散布不實消息等Deepfake犯罪案件類型,強調此類型犯罪日漸興起,法律面及技術面該如何因應是現今急需重視議題。基隆地檢署余麗貞檢察長建議經濟部工業局應訂立《遊戲點數管理規範》,主管機關應強化防制作為才能大幅減少網路詐欺案件。(圖/黃威彬攝)鄭子薇檢察官從線上博弈造成相關社會犯罪案件出發,強調線上博弈造成社會問題日漸嚴重,她進一步指出,第3方支付與電子支付等虛擬支付恐淪為犯罪集團洗錢工具,該如何落實身分驗證與帳戶警示,將是未來需要妥善規劃的方向;張瑋倫隊長則針對電信詐欺近年來的犯罪手法演變進行解說,並提出地下匯兌與電子錢包被犯罪集團使用為洗錢工具手法,提出未來此類犯罪案件偵查情資結合的建議。研討會最後邀請到中央警察大學犯罪防治學系主任賴擁連、高檢署檢察官林彥良、調查局洗錢防制處科長陳國進、刑事局國際刑警科偵查第1隊隊長張瑋倫、台新銀行資安長陳詰昌,及達文西個資暨高科技法律事務所所長葉奇鑫進行綜合座談,與會人士針對現今日漸增加的跨國網路犯罪行為,該如何從法制面與實務面上防制進行意見分享。林彥良檢察官認為,跨國網路犯罪與洗錢犯罪是現今日益嚴重的重大社會問題,應受到高度重視;陳國進科長認為,如何在個資保護與協助偵查提供資料之間取得平衡是不容易的;張瑋倫隊長認為,此類犯罪打擊的實務問題在於資訊流通不夠即時,無法第一時間介入調查;葉奇鑫所長指出,偵辦跨國犯罪最困難的點是相關業者的不配合,如何透過業者取得相關資訊是偵防的一大問題;陳詰昌資安長則指出,台新銀行已準備和檢警單位簽訂合作備忘錄,協助相關單位進行偵查。賴擁連主任最後指出,現今犯罪型態日新月異,已不如傳統犯罪型態單純,如何在虛擬世界進行犯罪偵防,將是未來不可避免的重大挑戰。
電信詐騙單周財損高達8.4億 刑事局全面打擊
刑事警察局副局長李文章表示,刑事局昨天(13日)最新統計資料顯示,7月4日到10日全國電信網路詐騙案件共613件,財損達8億4700萬元,而刑事局有1000多人,1年預算不過20億元,電信詐騙1個月的財損竟「可養刑事局1年」,顯示電信網路詐騙問題十分嚴重,都在ING中。李文章在財團法人金融法制暨犯罪防制中心今天召開「跨國網路犯罪之防制與挑戰」研討會致詞時,表示上述意見。即將接任警政署保安警察第3總隊長的李文章指出,手機和電腦網路發展快速,每個人早上起床後就會使用手機無數次,網路和手機帶給大家生活上的方便,但缺點是電信網路詐騙猖獗,讓人防不勝防,如果不注意網路安全性和個資風險,被害人「有一天將會是你!」台灣電信詐騙單周財損8億4700萬元,電信詐騙單月財損竟「可養刑事局一年」。(圖/報系資料照)李文章透露,相關情資顯示,目前跨國電信犯罪的機房主體在柬埔寨,以往台灣詐騙集團的機房專門騙大陸人,大陸詐騙集團的機房則用來騙台灣人,現在可能都跑到柬埔寨了!李文章坦言,打擊電信網路詐騙的工作非常艱鉅,不法集團利用司法接軌漏洞,衍生「跨境化」的電信網路犯罪,導致被害人提告和求償都相當不方便,讓台灣和世界各國執法機關都頭痛不已。李文章指出,傳統實體案件較嚴重的犯罪,通常是情殺或仇殺等犯行,至於毒品案件通常受傷害都是吸毒的人,對民眾財損也沒這麼嚴重,但是現在網路科技犯罪卻是一枝獨秀,刑事局已列為防制重點,要再更努力打擊不法。對於網路博弈的橫行問題,李文章表示,現在很多網路博弈公司採取「薩摩亞模式」,也就是公司設在賭博合法化的地區,但周邊服務就設在別處,傳言101大樓就有好幾間,台灣只做客服和軟體維護,但賭博網站不設在台灣,只設在薩摩亞等賭博合法的地方,「規模做得很大,已淪為洗錢工具」。至於所謂「BTM」更淪為跨境洗錢模式,李文章解釋,「BTM」像是「ATM(自動提款機)」,只是B指的是比特幣「bitcoin」的英文縮寫,只要引進一台「BTM」,民眾投幾百萬現金下去,就可以領比特幣,非常便利,不像到銀行臨櫃,提50萬元還要登記,這些跨境洗錢模式都在ING中。
網路犯罪「成也證據、敗也證據」 司院刑事廳長彭幸鳴籲精確蒐證
財團法人金融法制暨犯罪防制中心今天召開「跨國網路犯罪之防制與挑戰」研討會,司法院刑事廳長彭幸鳴致詞表示,台灣和世界各國同樣面臨跨國網路犯罪氾濫問題,根據她承辦網路犯罪洗錢案件經驗,一旦案子到了法庭上,就是「成也證據,敗也證據」,因此前方執法蒐集的證據,在後方是否經得起法庭上檢辯交鋒的挑戰,就是犯罪能否定罪關鍵,希望透過相關研討會,促進審檢警等執法人員相互了解,促進精確蒐證技能。彭幸鳴指出,網路犯罪的傳統概念,不脫洗錢、詐欺、貪腐等,隨著國際金融自由化的程度日益提高,金融商品與網路科技也蓬勃發展,跨國網路犯罪手法日益翻新,明顯有鏈條化、產業化的趨勢,還擴及到加密貨幣犯罪、性私密影像散布、身分盜用、電子犯罪和資料盜竊等,無一不是我們應該正視的當務之急。過去這兩年疫情期間,網路交易更受仰賴,有業者利用民眾宅在家的機會,透過線上博奕謀取暴利,衍生跨境詐欺、洗錢、組織犯罪等問題。同時,投資加密貨幣風險,也隨之升高,比特幣等虛擬通貨的暴漲暴跌,可能成為洗錢防制漏洞,英、美各國對虛擬通貨的監管力道也日趨嚴格,台灣也從2021年7月起,將虛擬貨幣交易平台納入《洗錢防制法》歸管。彭幸鳴表示,司法院製作《洗錢防制法》第14條的「量刑審酌事項」,期待建立量刑準則,使罰當其罪。(圖/黃威彬攝)台灣在2019年第3輪洗錢防制評鑑中,獲得亞太會員國最佳成績等級,證明我國相關法制及執法水準,與金流透明度,都接軌國際。對我國金融秩序的健全發展與穩定,有正向的影響,更實質涉及外商投資對我國的金流環境評估,使我們的金融機構或企業在邁出國際化的腳步時,能夠獲得全球的信任,這是各部會、各相關單位及金融業有目共睹的努力成效。彭幸鳴表示,司法院為發揮洗錢犯罪預防功能,法院量刑更公平、透明,因此製作《洗錢防制法》第14條的「量刑審酌事項」,使罰當其罪,供實務參考。去年還提出《刑事案件妥適量刑法》草案,同時持續精進法院的量刑改革,包括建置量刑資訊系統、以及邀集審、檢、辯、學及相關政府部門代表,舉辦焦點團體會議,每年還會在法官學院開設金融專業研習課程,促使法官、司法事務官、及法官助理的本質學能與時俱進。