調查局情資奏功,一銀ATM詐領案主嫌之一西班牙落網

發布日期 2018/03/26 18:19:03 更新日期 2018/03/26 18:19:12 公共事務室
105年7月發生駭客入侵第一銀行網路,致ATM遭詐領損失新臺幣(下同)8,327萬7,600元,經臺灣臺北地方檢察署指揮偵辦,專案會議分工由調查局負責鑑識網路入侵軌跡與追緝幕後操控者、警方追查車手行蹤與贓款並即時追回7,748萬餘元。調查局歷經1年8個月調查及國際合作,查明該案係由國際網路犯罪集團「COBALT」幕後操控,其主嫌之一俄羅斯籍男子Denys已遭西班牙國家警署逮捕,並確認無國人涉入該犯罪集團。
調查局情資奏功,一銀ATM詐領案主嫌之一西班牙落網

   105年7月發生駭客入侵第一銀行網路,致ATM遭詐領損失新臺幣(下同)8,327萬7,600元,經臺灣臺北地方檢察署指揮偵辦,專案會議分工由調查局負責鑑識網路入侵軌跡與追緝幕後操控者、警方追查車手行蹤與贓款並即時追回7,748萬餘元。調查局歷經1年8個月調查及國際合作,查明該案係由國際網路犯罪集團「COBALT」幕後操控,其主嫌之一俄羅斯籍男子Denys已遭西班牙國家警署逮捕,並確認無國人涉入該犯罪集團。
  「COBALT」係以攻擊金融機構為主要目標,其利用商業滲透測試軟體「Cobalt Strike」,經客製化惡意程式後陸續自105年起攻擊各國銀行網路,其攻擊手法(詳如圖示)主要以夾帶惡意程式之釣魚郵件寄給銀行員工,以詐術使其不自覺觸發程式後,犯罪集團即成功入侵銀行內部網路,遠端控制員工電腦,隨即佈署相關程式以感染其他內部電腦、取得管理者權限,並伺機瞭解ATM管理及操作模式。案發之際,犯罪集團主嫌即由外部控制銀行內部電腦,再由內部電腦連線至指定ATM執行吐鈔程式,經僱用之外籍車手於ATM前取得現鈔後隨即離境,再將取得之不法所得交由其他共犯洗錢。該犯罪集團足跡橫跨歐亞,受害國家逾40國,超過100家金融機構被駭,總計不法所得高達10億歐元(折合新臺幣約360億元)。
    調查局於一銀ATM詐領案中查明犯罪集團駭侵軌跡,釐清入侵與吐鈔手法,發現其使用之網路駭侵工具、吐鈔程式、滅證程式及連線中繼站IP等皆與COBALT犯罪集團手法及特徵高度相符,即透過合作管道與相關國際警察組織等交換情資並分析該集團行為,經歐洲刑警組織(Europol)網路犯罪中心(European Cybercrime Centre,EC3)及西班牙國家警署主導,臺灣及各國政府執法機關、私人資安公司及「歐洲銀行聯盟」(European Banking Federation,EBF)通力合作,終由西班牙國家警署於其境內逮捕該案主嫌,經訊問其對一銀ATM詐領案犯行坦承不諱,並曾於案發時與帶頭車手Babii取聯,Babii將贓款置於臺北車站置物櫃後離境,等待洗錢共犯後續處置。另本局駐美法務秘書協助提供相關犯罪資料,本案車手之一Berkman於107年2月間入境美國佛羅里達機場時,為美國海關邊境保護局驅逐出境並遣返俄羅斯。
    調查局將持續深入追查本案其他在逃主嫌,並透過相關司法互助機制追回剩餘贓款約579萬元,亦籲請受駭客攻擊之全國公、私部門,立即與法務部調查局檢舉專線0800-007007聯繫,共同合作遏止不法暨維繫國家資通安全。