內容摘要
Phishing 「 網路釣魚」, 是利用知名品牌所建立的信賴感,以及幾可亂真的偽造電子郵件與偽造網站做為誘餌,愚弄網路使用者洩漏重要的個人機密資料,例如銀行帳戶號碼及個人密碼、信用卡號碼等,再利用詐騙取得的上述個人機密資料,侵入被害人的銀行帳戶中,藉以轉帳取得金錢。
Phishing 與英文 fishing 釣魚發音相同,兩者意義也近似,若引用中文典故:「姜太公釣魚,願者上鉤」是最佳翻譯,也就是歹徒利用上述詐騙的手段,守株待兔,以騙取被害人主動洩漏自己的重要個人機密資料。
依據刑法第三百五十八條之規定:「無故輸入他人帳號密碼、破解使用之電腦之保護措施或利用電腦系統之漏洞,而入侵他人之電腦或其相關設備者,處三年以下有期徒刑、拘役或科或併科十萬元以下罰金。」
「 網路釣魚」的詐騙者, 利用偽造電子郵件與偽造網站做為誘餌,以達觸犯「不正利用電腦或其相關設備取財罪」之結果,網路使用者不可不慎。
案例事實
王至浩是上一波「網路泡沫化」的犧牲者,他原本任職於一家頗為知名的網路資訊公司,正當一切前途看好之際,沒想到不到二年光景,網路幻夢破滅之後公司倒閉,加上國內經濟衰退與產業外移,王志浩從一名網路技術人員,一夕之間變成了無業遊民,已經半年賦閒在家。
由於求職的不斷碰壁,家中妻小的食指浩繁,在經濟的沈重壓力下,王至浩被迫鋌而走險,其在網路上架設一個與國內知名的萬利銀行網站首頁完全相同的網頁,並以該銀行的名義,發出數十萬封偽造的電子郵件, 該郵件標題為「銀行系統轉換,重新登錄」,要求該銀行的網路銀行用戶,點選該郵件上的網頁鏈結,進行網路銀行帳戶號碼與個人密碼的重新確認。
黎淑芬就讀於北部某大學國際企業系三年級,她也是上述萬利銀行網路銀行的用戶,她收到上述的電子郵件並依照其上的指示,發現所鏈結的網頁確實是與萬利銀行的網站首頁一模一樣,因此不疑有他,便在該網頁上登錄了自己的銀行帳戶號碼與個人密碼,王志浩利用上述騙得的帳號與密碼,將黎淑芬的帳戶餘額新台幣五萬餘元,轉帳至自己所設的一個銀行人頭帳戶中。
隔天黎淑芬發現後,她馬上打電話與該銀行聯繫,並且向警方報案處理。
法律分析
2005 年 6 月初,刑事警察局偵查第九隊宣布,破獲國內首起利用「網路釣魚」手法,竊取網友銀行帳戶金錢的犯罪案件,上述利用「網路釣魚」手法,進行網路犯罪的行為,已經在世界各國蔓延,引起國際社會的高度重視。
「 反網路釣魚工作小組 」(簡稱 APWG )是一國際性組織,其成立目的在於打擊利用偽造電子郵件或網站進行 網路 詐欺,包括誘騙取得他人銀行帳號及密碼或身分資料等詐騙行為,目前已有超過 250 個企業會員及 1000 家技術廠商加入該組織。
根據上述 APWG 的定義, Phishing 即「 網路釣魚」, 是利用知名品牌所建立的信賴感,以及幾可亂真的偽造電子郵件與偽造網站做為誘餌,愚弄網路使用者洩漏重要的個人機密資料,例如銀行帳戶號碼及個人密碼、信用卡號碼等,再利用詐騙取得的上述個人機密資料,侵入被害人的銀行帳戶中,藉以轉帳取得金錢,據統計此類詐騙行為成功機率幾達 5% 。
Phishing 與英文 fishing 釣魚發音相同,兩者意義也近似,若引用中文典故:「姜太公釣魚,願者上鉤」是最佳翻譯,也就是歹徒利用上述詐騙的手段,守株待兔,以騙取被害人主動洩漏自己的重要個人機密資料。
上述「網路釣魚」是一種新興網路詐騙手法,輕則讓網路使用者不自覺地洩漏了個人姓名或電子郵件地址,而成為垃圾郵件業者的名單,嚴重一點,網路使用者的電腦,可能會被植入木馬程式,電腦系統中的重要資料遭竊,然而最危險的情況是:誘騙網路使用者的銀行帳戶號碼及個人密碼、信用卡號碼或身分證字號等重要個人機密資料,釣魚者再伺機竊取金錢或有價資訊。
網路釣魚者所用的「誘餌」千奇百怪,包括偽裝成知名銀行或線上服務業者,通知不知情的網路使用者,其上述重要個人機密資料已經過期、無效或需要更新,或者是基於安全理由,必須再次進行身分驗證,因而要求網路使用者重新確認銀行帳戶號碼、個人密碼或信用卡號碼,只要網路使用者一時不察,經由電子郵件指引的網址,鏈結到一個偽造的維妙維肖的網頁,根據網頁上的指示登錄個人機密資料,該網路使用者就成了歹徒眼中「願者上鉤」的肥美大魚。
由於資訊化社會的發展,許多的文字或圖像都已經加以電子化,故依據刑法第二百二十條之規定:「 在紙上或物品上之文字、符號、圖畫、照像,依習慣或特約,足以為表示其用意之證明者,關於本章及本章以外各罪,以文書論。錄音、錄影或電磁紀錄,藉機器或電腦之處理所顯示之聲音、影像或符號,足以為表示其用意之證明者,亦同。 」故一般電子郵件或網頁內容,因係 電磁紀錄或藉電腦之處理,所顯示之聲音、影像或符號,足以為表示其用意之證明者,以「文書」論。
在本案例中, 王至浩在網路上架設一個與萬利銀行網站首頁完全相同的網頁,並以該銀行的名義,發出偽造的電子郵件, 依據刑法第二百一十條之規定:「 偽造、變造私文書,足以生損害於公眾或他人者,處五年以下有期徒刑。 」王至浩因而觸犯上述刑法之「偽造私文書罪」。
其次,在本案例中,王至浩利用騙得的黎淑芬之網路銀行帳戶號碼與個人密碼,侵入黎淑芬在萬利銀行的網路銀行中,依據刑法第三百五十八條之規定:「無故輸入他人帳號密碼、破解使用之電腦之保護措施或利用電腦系統之漏洞,而入侵他人之電腦或其相關設備者,處三年以下有期徒刑、拘役或科或併科十萬元以下罰金。」王至浩亦觸犯上述刑法之「無故入侵他人電腦罪」。
另外,依據刑法第三百三十九條之三第一項之規定:「意圖為自己或第三人不法之所有,以不正方法將虛偽資料或不正指令輸入電腦或其相關設備,製作財產權之得喪、變更記錄,而取得他人財產者,處七年以下有期徒刑。」
首先,就上述犯罪之客觀構成要件而言,必須是以不正方法對於電腦或相關設備,輸入虛偽資料或不正指令,事實上,本條文之「不正方法」似乎是多餘的,而且與資料的「虛偽」與指令的「不正」互相重複,因為只要資料是虛偽的或指令是不正的,便應符合本罪之客觀構成要件。其次,必須製作財產權之得喪變更記錄,因而取得他人財產或財產上不法利益或使第三人得之。
在本案例中,王至浩意圖為自己不法之所有,利用騙得的黎淑芬之網路銀行帳戶號碼與個人密碼,登入黎淑芬在萬利銀行的網路銀行帳戶中,並自該帳戶中轉出新台幣五萬餘元之金額,至其所設之銀行人頭帳戶中,製作了一份銀行轉帳記錄,因而取得了黎淑芬的財產,由此可知,王至浩之行為已觸犯上述刑法之「不正利用電腦或其相關設備取財罪」。
綜上所述, 王至浩以觸犯刑法之「偽造私文書罪」及 「無故入侵他人電腦罪」二罪為方法,以達觸犯「不正利用電腦或其相關設備取財罪」之結果,上述各項犯罪行為間,有方法與結果之牽連關係,屬刑法上所謂之「牽連犯」,應該從刑度較重之「不正利用電腦或其相關設備取財罪」處斷。
惟必須注意的是,刑法於 民國九十四年二月二日 已有修正,廢除「牽連犯」之規定,依刑法施行法第十條之一的規定,此修訂將自 民國九十五年七月一日 開始生效時施行。
專家建議
網路使用者現在還相信每一封電子郵件、每一個網站的真實性嗎?網路版的「姜太公釣魚 」正在熱烈上演,小心被騙!
過去「網路釣魚」的詐騙者,以鏈結相似的網站頁面,要求網路使用者更換密碼,不過當時的釣魚手法仍嫌粗糙,詐騙者利用網路上免費網頁空間所架設的網頁,其電腦螢幕上所顯示的網址,根本不屬於該被偽造的網站,網路使用者只要小心辨識,便不會受騙上當。
然而,最近「網路釣魚」的詐騙者手法大翻新,一名駭客先是入侵某一網路服務業者,建立偽造網站,再尋找跳板寄出大量假郵件,欺騙某家銀行用戶點選其中的網頁鏈結。此鏈結利用郵件軟體基本功能,隱藏真正的偽造網址,該家銀行用戶所見的網址,確實是該銀行網站的正確網址,實在令人防不勝防。
網路安全專家建議,網路使用者瀏覽某一網頁時,為避免可能洩漏個人機密資料,最好還是直接輸入網址,避免經由不明郵件、不明網頁的鏈結,鏈結至「自以為」是正確網站的網址,陷入「網路釣魚」詐騙者所設的陷阱中。
因此,網路使用者每次上網,應仔細檢查該網站網址,確保是正確註冊的網址,同時留意分頁網址是否會與其他免費網站鏈結,並檢查網頁內容是否製作粗糙或有不合理的呈現。
參考依據
• 刑法第二百二十條之規定:「 在紙上或物品上之文字、符號、圖畫、照像,依習慣或特約,足以為表示其用意之證明者,關於本章及本章以外各罪,以文書論。錄音、錄影或電磁紀錄,藉機器或電腦之處理所顯示之聲音、影像或符號,足以為表示其用意之證明者,亦同。 」
• 刑法第二百一十條之規定:「 偽造、變造私文書,足以生損害於公眾或他人者,處五年以下有期徒刑。 」
• 刑法第三百五十八條:「無故輸入他人帳號密碼、破解使用之電腦之保護措施或利用電腦系統之漏洞,而入侵他人之電腦或其相關設備者,處三年以下有期徒刑、拘役或科或併科十萬元以下罰金。」
• 刑法第三百三十九條之三第一項:「意圖為自己或第三人不法之所有,以不正方法將虛偽資料或不正指令輸入電腦或其相關設備,製作財產權之得喪、變更記錄,而取得他人財產者,處七年以下有期徒刑。」
• 刑法施行法第十條之一:「 中華民國九十四年一月七日 修正公布之刑法,自九十五年七月一日施行。」