調查局今(26)日表示,2016年7月發生駭客入侵第一銀行網路,ATM遭詐領損失8千多萬元事件,經1年8個月調查及國際合作,查明該案係由國際網路犯罪集團「COBALT」幕後操控,主嫌之一、俄羅斯籍男子Denys已遭西班牙國家警署逮捕,並確認無國人涉入該犯罪集團。
調查局表示,「COBALT」犯罪足跡橫跨歐亞,受害國家逾40國,超過100家金融機構被駭,總計不法所得高達10億歐元(折合新台幣約360億元)。
發生在2016年7月9日、10日的一銀盜領案震驚社會,這是台灣金融史上第一次,東歐駭客集團暗中駭入台灣大型銀行的41台ATM,從倫敦的電話錄音伺服器,遠端遙控北中兩地22家一銀分行的41台ATM,還派出十多名車手兵分多路,神不知鬼不覺進行盜領。一銀損失高達新台幣8,327萬7,600元。
案發後北檢積極指揮偵辦,並交由專案會議分工由調查局負責鑑識網路入侵軌跡與追緝幕後操控者、警方追查車手行蹤與贓款並即時追回7,748萬餘元。遭捕的部分成員包括拉脫維亞籍男子安德魯等3人遭判刑,去年8月最高法院維持二審見解,依無故變更、刪除他人電腦之電磁紀錄罪,判處3人各4年6月到4年10月徒刑,併科罰金30萬元到50萬元,執行期滿或赦免後均驅逐出境。但主嫌犯仍在逃。
調查局表示,涉案的「COBALT」係以攻擊金融機構為主要目標,其利用商業滲透測試軟體「Cobalt Strike」,經客製化惡意程式後陸續自2016年起攻擊各國銀行網路,其攻擊手法(詳如圖示)主要以夾帶惡意程式之釣魚郵件寄給銀行員工,以詐術使其不自覺觸發程式後,犯罪集團即成功入侵銀行內部網路,遠端控制員工電腦,隨即佈署相關程式以感染其他內部電腦、取得管理者權限,並伺機瞭解ATM管理及操作模式。
調查局說明,案發之際,犯罪集團主嫌即由外部控制銀行內部電腦,再由內部電腦連線至指定ATM執行吐鈔程式,經僱用之外籍車手於ATM前取得現鈔後隨即離境,再將取得之不法所得交由其他共犯洗錢。
調查局說明,一銀ATM詐領案發生後,該局中查明犯罪集團駭侵軌跡,釐清入侵與吐鈔手法,發現其使用之網路駭侵工具、吐鈔程式、滅證程式及連線中繼站IP等皆與COBALT犯罪集團手法及特徵高度相符,即透過合作管道與相關國際警察組織等交換情資並分析該集團行為,經歐洲刑警組織(Europol)網路犯罪中心(European Cybercrime Centre,EC3)及西班牙國家警署主導,台灣及各國政府執法機關、私人資安公司及「歐洲銀行聯盟」(European Banking Federation,EBF)通力合作,終由西班牙國家警署於其境內逮捕該案主嫌Denys。
調查局表示,經訊問後,Denys對一銀ATM詐領案犯行坦承不諱,並曾於案發時與帶頭車手Babii取聯,Babii將贓款置於台北車站置物櫃後離境,等待洗錢共犯後續處置。
調查局另表示,經該局駐美法務秘書協助提供相關犯罪資料,本案車手之一Berkman於2018年2月間入境美國佛羅里達機場時,為美國海關邊境保護局驅逐出境並遣返俄羅斯。
調查局強調,將持續深入追查本案其他在逃主嫌,並透過相關司法互助機制追回剩餘贓款約579萬元,亦籲請受駭客攻擊之全國公、私部門,立即與法務部調查局檢舉專線0800-007007聯繫,共同合作遏止不法暨維繫國家資通安全。
