在台灣LINE的訊息傳遞使用率高達92%,因此也成為了歹徒宵小犯罪利用的途徑。本文即探討對於藉由LINE為犯罪媒介的各種犯罪手法,應該如何去防範,或是進一步去萃取手機所遺留之相關跡證,並完整地擷取、分析出能有力佐證非法企圖的數位證據。
而最重要的聊天紀錄則儲存於chat_history表格裡,如圖15所示。裡面包含訊息是由誰傳送、內容、傳訊時間,透過ID的比對即可驗證其是否透過LINE來進行犯罪聯絡。
 |
| ▲圖15 聊天紀錄儲存於chat_history表格內。 |
實例演練
犯罪人「大宥」結合了社交工程手法假冒身分與網頁掛馬的方式行犯罪之圖,藉由臉書、Google Hack Search等手法來蒐集被害人小穎及其好友小承的名稱、大頭貼、相關資料。
然後,透過下載並換上小承之大頭貼,暱稱改成與其相同來進行身分冒充,再去向小穎傳送「Facebook免費送貼圖,只要將此訊息轉寄周圍十五個好友,就可以免費領取價值一百的貼圖表情,領取網址為xxxxxx」訊息,或是請求匯款、買點數、代收驗證碼等,利用小穎信任或是佔便宜的心態去騙其點選網址、植入木馬程式進行小額付款或濫發簡訊的動作,如圖16、圖17所示。
 |
| ▲圖16 夾帶惡意程式假網址。 |
 |
| ▲圖17 假冒身分手法。 |
點選連結後會出現超人氣的貼圖為誘餌,且出現Facebook登錄釣魚假網頁,然而因為手機端的畫面很小,使用者常忽略去注意網址列的網址是否正確,一心只想著要拿免費的貼圖便不自覺上鉤了,甚至被盜取Facebook的帳號密碼,其犯罪的流程,如圖18所示。
 |
| ▲圖18 犯罪流程圖。 |
在整個事件的鑑識過程中,透過對犯罪者大宥的手機進行備份還原的工作,比對其與被害者小穎間的關係,找出隱藏的數位跡證,並調查其犯罪的過程。透過前述的備份擷取手法來萃取出原始的聊天紀錄,如圖19所示。先藉由表格chat_history去查看和犯罪相關的聊天內容,像是聊天內容1和2的聊天對象皆是chat_id為uf8ea519f907da7ed2f3decc57fb09c9,並詳細記錄下來。
 |
| ▲圖19 查看chat_history。 |
再來,至名稱contact的表格裡,比對其chat_id所對應的name,即可得知聊天對象於LINE裡的名稱為小穎,如圖20所示。
 |
| ▲圖20 到contact表格內比對。 |
透過以上鑑識程序,記錄下聊天的內容和對象,並避免去破壞證據的原始性與完整性而影響其證據能力,即使大宥不斷抗辯根本沒有任何與小穎聊天的行為,但是透過聊天紀錄的還原,就可以發現並推斷其非法行為的關聯性,以進一步作為法院可採信的數位證據。
預防作為
除了事後的犯罪調查外,於事前上,被害人對於自身手機應用程式的使用更應該加強警覺心,建立高度危機意識,以減少受騙、盜用的情形再度發生,可採取以下做法來防範:
1. 定期更改使用社群軟體的密碼,以避免遭破解及利用,並避免重複使用同一組密碼,以防遭盜用時擴散至其他App中。
2. 取消公開個人ID功能,可以防止被完全不認識的陌生人加為好友,降低被詐騙的可能性。
3. 關閉「允許自其他裝置登入」的功能,避免當駭客、犯罪者取得帳密時,從其他裝置登入。
4. 對於任何不明、未經確認的網址不輕易點開,且因Android系統讓軟體開發者可自由開發App,暗藏惡意程式情況也較iOS系統嚴重。因此應避免安裝官方平台Google Play以外的App,減低中毒機會。
5. 若無小額付款功能之需求,可向所屬電信公司申請取消小額付款功能,以防受騙上當。
結語
近年來,行動運算重心漸漸偏向社群軟體,在台灣,甚至有高達七成的網路使用者每天使用即時通訊軟體,加上與NFC小額付款、行動錢包結合,金錢交易的虛擬化,更是難以防範和調查,然而因其資料庫、機房遠在國外,與ISP業者或軟體供應商的合作調查困難,加上其獨有的加密聊天訊息方式,即使捕捉到封包數據,也都是無法辨識的加密格式,因此也成為了詐騙型犯罪的溫床。
本文藉由取得Root權限的Android手機來進行情境模擬,透過Titanium備份LINE資料庫和SQL Browser來取得、分析、探勘犯罪的聊天對象、紀錄等,如範例中的chat_id、content都可將詐騙的過程紀錄一一指證出來,再去追查其中的犯罪真相,找到可當作呈堂以證明犯罪事實的證據。
<本文作者:中央警察大學資訊密碼暨建構實驗室(ICCL),民國87年12月成立,目前由王旭正教授領軍,實驗室成員共有20名,並致力於資訊安全、資料隱藏與資料快速搜尋之研究,以確保人們於網際網路世界的安全。(http://hera.im.cpu.edu.tw)>