Quantcast
Channel: iThome
Viewing all articles
Browse latest Browse all 31362

資安周報第42期:一銀ATM案彆扭起訴,凸顯電腦犯罪法規落伍了

$
0
0

從第一銀行在今年七月爆發的ATM盜領案,日前已經由臺北地檢署依照電腦犯罪專章的條文,從重起訴遭到逮捕的來臺處理贓款嫌犯安德魯、米海爾和潘可夫等三人,並求處有期徒刑十二年。

不過,從這起案件中,我們可以發現臺灣電腦犯罪法規的老舊和不足。舉例來說,因為一銀盜領案引發社會極大關注,檢察官第一時間就指揮警調單位進行犯罪偵察和儘速調查並對相關的數位裝置(ATM和相關電腦及伺服器等)進行數位鑑識,連第一銀行在英國分行的電話主機都順利帶回臺灣做數位鑑識,才得以順利釐清整起犯罪事件的可能原貌。。

其次,檢方這次起訴,只能針對在臺灣被逮捕的三人做起訴,因為沒有和其他國家有跨國網路犯罪司法互助協定,不僅無法追查和起訴其他已經出境的車手和協助處理贓款的嫌犯,甚至連隱身幕後不詳的網路犯罪主腦,也無法有後續的追查甚至起訴,顯見在網路犯罪無國界的同時,跨國網路犯罪司法互助有其必要性。

第一銀行ATM盜領案只起訴逮捕3人

第一銀行爆發臺灣有史以來最嚴重的網路犯罪案件,在七月初由跨國網路犯罪集團鎖定第一銀行41臺ATM,盜領83,277,600元的網路犯罪事件,其中,車手15名已經先後離臺,後來又有7名處理贓款的嫌犯來臺,而臺灣警方則逮捕其中安德魯、米海爾和潘可夫等三名嫌犯。

臺北地方法院檢察署襄閱主任檢察官張介欽表示,由於三名逮捕嫌犯和國際犯罪集團具有犯意連結和行為分擔,且據信是犯罪集團的核心成員之一,便對三人從重求刑,求處十二年有期徒刑。

但是,包括達文西科技法律事務所主持律師葉奇鑫、以及具有CISSP資安認證的眾律國際法律事務所合夥律師徐仕瑋都認為,雖然檢方有心想要針對逮捕嫌犯求處重刑,但就實際上而言,目前臺灣的電腦犯罪專章並無法專門針對車手,以及例如此案來臺處理贓款的嫌犯們求處更嚴重刑責的條文,除了有許多必須附帶的舉證問題之外,也涉及跨國司法互助的合作事項。

隨著網路犯罪成為越來越普遍的刑責之一,葉奇鑫和徐仕瑋則指出,實務上,因為電腦犯罪專章的罪刑都比較輕,檢察官起訴往往都從其他刑責比較嚴重的法條做起訴,但從2003年電腦犯罪專章最後修訂後,迄今已經超過13年的時間,已經到可以重新評估所有條文的刑度,以及思考是否要在電腦犯罪專章中,另外新增數位或電腦證據法以及電腦犯罪跨國司法互助的條文,藉此補強現行電腦犯罪專章不足之處。

日前遭到臺北地方法院檢察署檢察官正式針對遭到逮捕的一銀ATM盜領案的三名嫌犯起訴,分別以刑法第339條之2「以不正方法由自動付款設備取得他人之物」、刑法第358條「無故利用電腦系統漏洞而入侵他人電腦」、第359條「無故變更他人電磁記錄」、第360條「無故以電腦程式干擾他人電腦與相關設備」、第362條「製作專攻犯妨害電腦使用罪章的電腦程式」等罪。

張介欽表示,由於這三名嫌犯從通聯紀錄中發現和其餘在逃的19名嫌犯往來密切,行為分擔且有犯意連結,從這些專業分工的精密犯罪手法來看,可以判定這三名嫌犯認定為犯罪集團的核心販子,對此,檢方最後針對三名嫌犯,都從重求處有期徒刑12年。

這次檢方大幅引用刑法犯罪專章中的法條,原本單一法條的懲罰平均為有期徒刑3年~5年以下的刑期,而因為此次犯罪集團總共從臺北市、新北市和臺中式等20間分行、共計41臺ATM中竊取金錢,從而加重求處的刑度。

建議電腦犯罪專章增訂數位證據法和跨國電腦犯罪司法互助

電腦犯罪專章在2003年的最後修訂,是葉奇鑫當年擔任檢察官時的重要代表作之一。葉奇鑫認為,當年在修法時,為了讓既有的電腦犯罪專章在論罪時,可以更有彈性,法條修訂時就讓所謂的電腦犯罪具有更廣義的意涵,包括現在的手機或者是未來的物聯網,都屬於電腦或相關設備者的範疇之中,涵蓋範圍目前看來都包括在內。

不過,當年修正電腦犯罪專章時,最主要是要定義什麼是電腦犯罪?廣義的電腦犯罪只要是犯罪的工具,有牽涉到電腦或網路時,就是電腦犯罪;但是狹義的電腦犯罪則是指專門以電腦或網路為攻擊對象的犯罪手法。葉奇鑫說:「刑法的電腦犯罪專章所指稱的犯罪行為,都是以狹義的電腦犯罪為主。」

時至今日,不敢說當年的修法相當完善,但幾個主要的電腦犯罪行為,大體都包含在內。但他也坦言,從這次第一銀行ATM盜領案臺北地檢署的起訴書來看,是否真的可以如檢察官所言,真正將來臺灣處理贓款的三名嫌犯,和其他已知車手嫌犯和在逃處理贓款嫌犯,以及更多不詳的未知網路犯罪集團主嫌視為一體,甚至是檢察官所指稱的犯罪集團核心成員呢?

他認為,要做這樣的起訴,檢察官不僅需要提供更多的證據,來證實逮捕嫌犯和犯罪集團的關連性外,專查案件的過程中也發現,因為數位或者是電腦證據的不足,往往讓這樣的電腦犯罪案件,無法真正對所謂的犯罪者,讓其獲得應有的懲罰。

徐仕瑋則表示,電腦犯罪的目的其實就是要針對資訊安全的機密性(Confidentiality)、完整性(Integrity)和可用性(Availability)不足之處做處罰,這樣的想法也是參考歐盟網路犯罪公約的精神。不過,他覺得臺灣電腦犯罪在處罰的刑度上,當時的立法者因為無法想限現今網路犯罪手法的一日千里,在衡量刑度上都偏輕,例如,此次地檢署引用的刑法第339條之2「以不正方法由自動付款設備取得他人之物」,其實本文只有3年以下有期徒刑、拘役或30萬元以罰金,是因為當時立法者認為,這樣的犯罪手法頂多就是竊取他人的提款卡盜領金錢,誰會想像得到,十多年後,遠端遙控讓ATM吐鈔這件事情,已經不是天方夜譚,而是實際發生的血淋淋事實。

也因為兩者的犯罪手法有其天差地別,徐仕瑋認為,在重新評估電腦犯罪專章條文的刑度時,一旦遇到自動化和大量化的手法時,都應該要能夠有加重其刑的條款,這才不會造成,類似此次一銀ATM盜領引用的法條刑責只有三年以下有期徒刑,其實比一般竊盜犯都是五年以下刑責還輕。

葉奇鑫另外也認為,這次一銀的案子其實是國際案件,但是臺灣沒有相關的跨國電腦犯罪司法互助的條文,也使得在追查其他在逃的國際嫌犯時有許多困難。若要評估修法可能性時,在網路犯罪是無國界的犯罪行為時,這樣的跨國司法互助行為的條文,是必須的。

不過,面對評估電腦犯罪專章修法的可能性時,徐仕瑋則認為,也應該評估如何重新更新(Renew)臺灣法官頭腦中對於各種網路犯罪的知識、手法瞭解和相關的判定,因為唯有當臺灣的法官懂得網路犯罪其實就是破壞各種系統機密性、可用性和完整性的同時,才可以真正理解,現今網路犯罪手法日新月異,有許多電影中可見的手法早已經成為現實時,對於相關的電腦犯罪的判定,才能夠越貼近真實的犯罪行為。

上週重要資安新聞(9/18~9/24):

思科揭露遭駭客工具鎖定的第二個零時差漏洞

Yahoo坦承兩年前遭駭客入侵,至少5億用戶帳號被竊

Firefox 49開始向不重要的Flash說「不」

SWIFT將供應「每日驗證報告」以防銀行被駭事件重演

DNS伺服器出包,北韓不小心被發現只有28個網站

研究:臉書粉絲頁有安全漏洞,允許駭客接管任何粉絲頁

美國三大媒體把FBI告上法院,要求揭露破解槍擊犯iPhone相關資料

劍橋大學只花100美元硬體成本就破解iPhone 5c的密碼輸入限制

抓寶可夢小心惡意程式上身,偽寶可夢指南毒害至少6千個裝置

報導:微軟再裁員,將裁撤Skype英國總部

 


Viewing all articles
Browse latest Browse all 31362

Trending Articles



<script src="https://jsc.adskeeper.com/r/s/rssing.com.1596347.js" async> </script>