事實經過 1 :
王 先生早上起床後,上網看到一封銀行來信,通知信用卡帳繳款已快過期,若不趕緊連上所附連結網址去處理,恐怕會被罰款,或影響信用度。忙碌的 王 先生不記得自己是否有付款延誤,就很自然地按鍵連結到該銀行網站。看到這確實是往來銀行網站, 王 先生就按照網站所提供的步驟,輸入戶頭名字與密碼,將所有的資料填完,以為如此就可以了事。完全沒有料到,自己已經被網路釣魚 ( Phishing )釣走身分資料。
事實經過 2 :
李 小姐下班後喜歡到她自己喜歡的網站到處悠遊。她訂購了幾本書,買了幾樣小禮物,這時候,隱藏在她電腦系統中的按鍵小偷軟體 (Keylogger) ,一一記錄她的每一個按鍵,並傳送到遠方的蘇俄或東歐犯罪集團的資料庫。 李 小姐完全不知情,在幾個鐘頭之內自己的信用卡和個人資料,將轉手多次,在全世界各地被複製盜用。
事實經過 3 :
陳經理是資訊業專家,電腦裡裝有從防病毒軟體、防火牆,到與公司直接連結的專線 VPN 各式防護配備,確保上網萬無一失。但道高一尺 魔高一丈,這一天,他鍵入一個自己熟悉的網站網址,連接上看來一模一樣的首頁,可是網址上似乎多了一些東西。機警的陳經理立刻停止上網,打電話詢問該網站公司,原來該網站近來常常被人截機 (Session Hijack) 。也就是說,明明陳經理輸入正確的網站資料,卻有更厲害的不法之徒在傳遞途中將這個選擇截走,轉接到誤導的網站,以竊取他的資料。
法律解析:
網際網路風行迅速改變人類的生活習慣,帶來了許多新機會與新生態, 但也衍生在網路世界( Cyber Space )裡為非作歹的大量不法之徒。早期的駭客( Hacker ),大多是無聊的電腦專家或自以為最聰明的學生,四處傳送自己憑小聰明撰寫的病毒。他們隱藏在自己的小空間裡,靠著擊破網路安全而取得短暫滿足,這個時期的網路安全問題,以防範、尋找、懲罰這些為破壞而破壞的業餘玩家為主。隨著網際網路變成無限的商機,造就不少網路新貴,建立許多商業模式,駭客看了不禁眼紅,也跟著精進自己的功力,駭客組織利用程式漏洞或系統漏洞來入侵,且常以所「駭」的網站數目多寡來比較實力。這幾年的劇烈畸變,形成真正的「道高一尺,魔高一丈」。 以往電子檔案的流傳是靠磁片,但磁片容量有限且容易故障,有了網路之後,則可提供共享軟體及免費軟體的下載服務,例如電玩程式、作業系統程式或電腦輔助教學軟體,隨著檔案形式的多樣化,可供下載的檔案也變多了,例如影音檔案、 mp3 、圖形檔等。經由網路來下載檔案既快速又方便,但是快速方便的背後仍隱藏相當的危機,以電腦病毒為例,除了可以透過電子郵件傳送,更經常經由檔案下載的管道散播到使用者的電腦中。
所謂木馬程式, Trojan horse ,原出自西元前九、八世紀之古希臘荷馬史詩,描述西元前十二世紀希臘國王攻打特洛伊城,因久攻十年不下,遂造一大型木馬於馬腹內暗藏軍士後退去;嗣特洛伊人將木馬引入城內,隱身馬腹內之軍士即乘機離開馬腹,自城內與仍在城外之古希臘軍隊應合破城,又稱為木馬屠城。此處借該史詩暗喻,其概念似遠端管理程式,係指電腦在無預警之情形下遭植入安裝木馬程式或後門程式,其後果可能藉由電腦對外連線傳遞電腦使用人不欲洩漏於外或應隱藏、非以明碼方式呈現之資訊,例如連線密碼、信用卡號碼等,或將前揭應秘密之資訊集中儲存在電腦硬碟特定資料夾中,再伺機至本機存取,網路駭客即常會利用垃圾郵件的方式,引發收件者開啟來路不明的郵件與檔案,或以熱門的程式供免費下載為餌,引發消費者下載安裝,再乘機植入惡意程式如鍵盤側錄程式及木馬程式等,然後伺機開啟後門,將個人機密資料傳送出去,使網路安全公信力受挑戰。
以下是今日的網路安全問題特點:
1. 網路病毒或入侵不再是單一攻擊,而是混合綜合式( Blended )攻擊。以往電腦使用者以為安裝病毒過濾軟體,就可以高枕無憂。事實上,病毒入侵只是網路安全問題的一環,更多的攻擊來自於不當使用、竊取、詐騙,以及結合這些不法企圖的攻擊。也就是說,今日的網路安全已從單純的電腦或伺服器防毒,擴大到全面性的網路防衛,更拉高到服務與應用的層次。例如有一種 Troj/BankAsh-A 病毒是最新的「移花接木」網路攻擊手法,會引導原來準備前往合法銀行網站的顧客,到犯罪集團所擁有的假網站去。英國有幾家著名大銀行都是上述病毒準備攻擊的對象。這個病毒透過垃圾電子郵件寄給顧客。和引導受害人誤按假網站的「釣魚」不同,這種攻擊行動倚靠病毒本身。使用這種軟體比最近幾次釣魚攻擊行動更陰險,因為這種軟體可以透過病毒、蟲或電子郵件張貼方式進入使用者的個人電腦,網際網路瀏覽器卻不知道病毒潛伏在他們的電腦中,俟受害人準備上網路銀行時,趁機引導顧客誤上假網站。一旦密碼資料被竊,受害人戶頭即空無一物。
2. 今日的電腦及網路攻擊和詐騙,絕大多數是為了謀取不法利潤,有別於以往駭客尋求的是個人樂趣與技術挑戰;更令人頭痛的是,這些在網路為非作歹的不法之徒已經組織化,力量不容忽視。這不禁令人擔心這是否是網上黑手黨、網上販毒團的雛形?甚至有人開玩笑,這些犯罪集團遲早會召開網上犯罪國際會議,互通有無、建立標準。
3. 犯罪手法的升級,有錢能使鬼推磨,網上非法集團功力日漸高強,配備齊全,無孔不入,無所不在。許多網路安全專家坦承,不論怎麼防範,都會被非法集團破解。他們甚至承認,許多網路犯罪程式與設計寫得既好又精簡,而且推出速度迅速,應變敏捷,令人嘆為觀止。資料顯示,約 20% 上網人口現在不敢在網上銀行開戶,或進行網路交易,其實,大部分網路銀行或購物網站的資料輸入網頁都會採用這種有加密的 https 網址,而非一般的 http 。網路安全問題無法改善,這個現象可能進一步惡化。其他方面的損失也許不大,但對網路安全的公信力卻造成很大的挑戰。
儘管電腦病毒或是駭客是屬於外來的威脅,但在使用的過程中,還是可以透過一些小技巧,來避免電腦安全危機。
• 隨時安裝電腦系統的修正程式,修補系統與軟體的漏洞,減少駭客或病毒的入侵;
• 定期更新系統,使系統軟體處在最佳狀態;
• 擁有安全掃瞄與評估的軟體機制,如掃毒軟體的自動偵測,可以針對可疑的程式動作進行偵察;
• 定期更新防毒軟體的病毒碼;
• 加裝個人防火牆,防火牆是一種安裝在個人電腦上的程式,如同在電腦與網路之間築起一道牆,保護電腦降低被攻擊或植入程式的機會。
個人應該養成安全的使用習慣:
• 使用密碼管理電腦使用者,並且密碼避免過於簡單或容易猜測;
• 不要隨便安裝或執行來路不明的程式。如不明來源郵件的附加執行檔;
• 過濾有害郵件,對於不明來源的郵件先加以過濾;
• 關閉瀏覽器的任意開啟視窗程式,避免受到不良網站的惡意程式攻擊;
• 訂定嚴謹的存取規定,如使用者憑證。
網路交易問題層出不窮,大部分的買賣雙方都是以電子郵件做聯繫,買賣資料被攔截或複製都有可能會發生,加上網路交易安全機制不夠完善,提高網路交易的風險,不法人士利用不法取得資料冒充賣方寄出匯款通知信給得標的買方,導致買方因而遭到詐欺,因此,在匯出款項之前,最好再核對賣方的資料,例如:
• 寄件者的姓名和結標商品頁面所提供的賣方姓名是否一致;
• 寄件者的 email 和結標商品頁面所提供的 email 是否一致;
• e-mail 中所提供的匯款帳號,和賣方在得標通知信的「賣方留言」所提供的是否一致;或是選擇「貨到付款」的交易方式較有保障。
故意散布電腦病毒導致他人電腦中之電磁紀綠遭到刪除或變更,或是取得所要的電磁紀綠,或是未經授權刪除他人電腦中沒有文義性的電子檔案,例如部分系統檔,均可能構成刑法第 359 條之無故取得、刪除或變更他人電腦或其相關設備之電磁紀錄,致生損害於公眾或他人者,處五年以下有期徒刑、拘役或科或併科二十萬元以下罰金。在上述的三個案例的相對人除了觸犯上述之無故取得、刪除或變更電磁紀綠罪外,另外,也可能構成刑法第 339 條之詐欺罪。若在散布電腦病毒之前有破解、破壞或以其他方法規避他人著作之防盜拷措施行為,則另觸犯著作權法第 80 條之 2 的規定,依同法第 96 條之 1 第 2 款規定,得處一年以下有期徒刑、拘役或科或併科新臺幣二萬元以上二十五萬元以下罰金。