一銀ATM被駭案是我國首次被國際駭客盜領,驚動層峰,所以警、調最優秀的幹員參與辦案。警方負責刑案,調查局負責資安鑑識調查。由於車手在犯案後3天全數撤離,辦案之初,全無線索並不順利。

之後,調查局發現一銀倫敦分行是駭客入侵的端點之一,找出了惡意程式,確認ATM遭駭,於是調查局轉而聚焦清查一銀內網的各種異常連線記錄,終於找到了在7月9日時,有大量來自海外一銀倫敦分行連線到台灣ATM的記錄,發動大量連線的系統是倫敦分行的電話錄音伺服器,推斷一銀倫敦分行就是造成這次駭客入侵的端點之一,駭客入侵伺服器做為跳板,再攻入總行的ATM。

不過,調查局不排除,除了一銀倫敦分行之外,駭客還從其他可能的受駭主機端點入侵,但是從APT(進階持續性威脅)攻擊的角度分析,應是透過魚叉式釣魚郵件(Spear Phishing)方式,先入侵倫敦分行行員的個人電腦,再藉由內部橫向移動的方式,進一步掌控倫敦分行內網主機以及電話錄音系統。

另一方面,支援警力開始由ATM盜領現場畫面前後擴展,調集犯案地點附近的1200多部錄影監視器逐一過濾,投入警力運用影像比對,找到第一組犯案租車車號「5088-99」後,再以車追人,追蹤車手往返交通工具、住宿飯店,再由人追出通聯電話,再用電話進行關聯分析,第一時間確認犯嫌掌握入出境資料,勾勒出犯案全景。

警方蒐集各分行被盜領的時間、地點、城市等資訊,推論出車手計有5組,台中2組、台北3組;做案時間區分兩個時段盜領,每段最多4組,而幕後配合駭客不可能共用,由此推斷駭客應有4組配合車手作業。警調既已精準研判,便掌握破案時程。

#犯案