暗網金融參雜勒索詐騙　濫用加密貨幣犯罪可追查

金融科技（FinTech）於2010年開始受到廣大討論，而金融科技的目標為運用科技手段使得金融服務變得更有效率；2020年，學者Lai等人將金融科技賦予學術上的定義，分別為人工智慧（Artificial Intelligence）、區塊鏈（Blockchain）、雲端運算（Cloud Computing）和大數據（Big Data）四大範疇（金融科技的ABCD），此四大範疇皆大幅推動金融交易模式數位化，而在金融交易模式數位化的過程中，虛擬貨幣交易開始蓬勃發展，而隨著區塊鏈技術孕育而生的加密貨幣，其特性吸引了大量的使用者投入，更加速了虛擬貨幣交易的版圖。

在加密貨幣的架構下，使用者無須仰賴任一第三方公正機構來維護個人信譽，只須透過數位化的個人簽章執行轉移，交易紀錄連同電子簽名將被記載在虛擬帳本裡。換言之，任何交易將不受政府監管，在雙方互信、社群內互信且可驗證的基礎下即可完成交易，這滿足了一般人參與科技業的金融事務的願望。過去像電影《歡樂滿人間》或是日劇《半澤直樹》中，銀行掌握著一般人民的生計與生活的景象，有機會被加密貨幣交易打破，而有越來越多的使用者認為，試著參與比特幣可以接觸到那些將成為新世界贏家的人，有助了解如何保持控制權，加密貨幣因而造成大轟動。

近期與加密貨幣相關最受人矚目的消息，不外乎是加密貨幣交易所FTX破產的新聞，造成海內外多位知名人士的巨額財產損失。加密貨幣交易所的相關新聞（無論是破產或被網路攻擊）雖然時有所聞，但未上檯面的犯罪更是層出不窮，受害者亦不是全為加密貨幣投資者，犯罪者也不一定是加密貨幣交易所的擁有者。由於其系統架構與流程設計，加密貨幣所產生的金流，並非金融機關可以掌控的資料，各國檢警單位亦無太多線索可循，所以利用加密貨幣指使被害人利用加密貨幣交付贖金，儼然成為犯罪集團的第一選擇。本文將針對加密貨幣的背景技術、相關的犯罪實例、加密貨幣犯罪趨勢進行介紹。

背景知識介紹

以下將針對加密貨幣相關的背景知識，包括關鍵技術與其特色進行簡介。

區塊鏈

區塊鏈是藉由密碼學機制，把區塊串在一起，並保護區塊上的內容，每一個區塊包含前一個區塊的交易資料、時間戳記，利用雜湊加密，如此設計使區塊具有難以竄改的特性。用區塊鏈技術所串接的分散式帳本，能讓交易兩方有效地記錄交易，且保持交易正確性。

區塊鏈有去中心化、不可竄改、可追溯、開放性與匿名性等特性，詳如以下說明。

‧去中心化：即不需要透過第三方來當中間人，可以直接兩個人做點對點的交易。此為最常被拿來使用的特性，直接把現在的交易機制，變回過去以物易物的方式。遙想過去常常在學校的電子留言板上，經常會看見「面交」的貼文，其交易的物品與價格皆由賣家自訂，只要有買家覺得合理，就可以在雙方合意的情況下約定時間與地點，一手交錢一手交貨。Yahoo!奇摩拍賣、eBay等則是為上述模式提供了網路平台，賣方可將商品上架，買方可瀏覽商品後訂購，允許不用面對面的情況下進行交易，是類網路平台亦逐漸增加相關審核機制，以保障買方與賣方權益。區塊鏈的去中心化又去除了平台的元素，讓兩方直接透過網路進行交易。

‧不可竄改：區塊鏈會把完成的交易資訊放在區塊內，且包含時間戳記，兩兩區塊間用密碼學的方式做加密，然後將之上鏈。當有人想要竄改區塊內的資訊時，必須把竄改的區塊與其之後的區塊全部改掉才能成功。此特性之所以能成立，乃是因為加入「雜湊」機制。雜湊函數可以將任何長度的內容，運算成一串固定長度的字串，看起來就像隨機產生的字串。雜湊函數與一般數學函式不同，是一個不可逆的函數，亦即無法從一個雜湊值回推出原本的運算值；雜湊函數具有唯一性，只有一模一樣的資料經過雜湊函數的運算，才會產生完全相同的雜湊值，只要資料內容有任何一個位元的變動，產生的雜湊值就不同，此特性對於區塊鏈的正確性非常重要，對於有意竄改交易資料的攻擊者，在時間複雜度上是困難的問題，故不會是任何網路攻擊者選擇的攻擊方式。

‧可追溯：區塊鏈不僅包含訊息，亦會在交易的當下記錄時間，並以「時間戳記」的方式寫進區塊內，猶如簽收紙本文件時印章加註時間，所以不僅可以保存交易的資訊，也能回溯歷史交易資訊，當發生交易糾紛的時候可作為釐清的證據。

‧開放性：無論是公有鏈、私有鏈或聯盟鏈，只要加入區塊鏈的網路節點，因為去中心化特性，任何網路節點都可以參與區塊鏈交易的過程，這使得區塊鏈必須是開放的。區塊鏈的交易包含了「驗證」，傳統交易機制需要第三方為這筆交易驗證，證明交易的正確性，而區塊鏈沒有所謂的「公正第三方」架構，所以驗證機制即仰賴網路其他節點擔任「礦工」，共同驗證交易的正確性，故區塊鏈具備開放性。

‧匿名性：區塊鏈利用雜湊值、非對稱式加密機制等手段，實現資料開放的前提下，保護個人交易隱私，所以在區塊鏈上可以看到所有交易紀錄，但無法知道擁有者身分。匿名性是區塊鏈很重要的特性，因交易資料連結到個人的話，對使用者而言為機密敏感資料，而匿名性可保護交易雙方的個人隱私，同時礦工無法得知交易所牽涉的使用者。

上述特性不僅加速相關產業的應用（諸如檢警單位的證據保全、醫療產業的電子病歷等），也吸引更多的使用者投入並使用。

加密貨幣

在傳統集中式的銀行與經濟體系中，企業董事會或政府透過印刷法定貨幣或增加數位銀行分類帳的方式，來控制貨幣的供應。2008年開始的比特幣（Bitcoin）是第一種以加密貨幣型態存在的數位貨幣，正式實現以網路為媒介的以物易物交易模式，可說是開山之祖，而類似的加密貨幣如雨後春筍般，目前已有數千種以上。只要有資訊背景，任何新的加密貨幣可以在任何時間被任何人建立出來，甚至不受政府與法規的制約與規範，且提出更多功能、更完善的隱私保護、更快的區塊生成時間，以及支援智慧型合約、不同的演算法與共識機制等。

對於欲使用加密貨幣者，其入門門檻也相當低，只要個人使用信用卡即可在加密貨幣交易所，例如幣安（Biance）購買，並可下載任何錢包應用程式（App）建立屬於自己的錢包，即可在區塊鏈進行交易，與銀行開戶須具備雙證件等繁雜手續來得單純很多，因此吸引許多使用者使用。

加密貨幣犯罪趨勢分析

多家資安分析公司指出，加密貨幣進行的犯罪與產值相當可觀。如圖1所示，於犯罪發生的加密貨幣交易總值，從2017年的46億美元成長到2021年的140億美元，種類亦呈現多樣發展，舉凡惡意程式、竊盜、電子郵件社交工程、勒索軟體、暗網，甚至是兒少虐待相關犯罪，藉由加密貨幣交易的情事時有所聞。

如圖2所示，詐欺為最常利用加密貨幣進行的犯罪之一，其目的不外乎是洗錢，其案件多到歐盟各成員國也已經可以識別出加密貨幣相關的洗錢手法，其慣用手法還是那一招：社交工程，藉以取得被害者的信任，誘使被害者投入更多的金錢；毒品販賣也已使用加密貨幣作為交易管道，使得檢警單位追查困難。

「暗網」原指只能透過Tor網路和I2P（隱形網計畫）等網路存取的服務，但也被非法犯罪活動利用。根據統計，2020年發生在暗網的加密貨幣交易量預估約為17億美元，可見得「暗網市場」的活絡。

之所以利用加密貨幣相關犯罪的趨勢逐年升高，其中一個原因是不肖之徒利用加密貨幣之匿名性與去中心化的環境，隱匿自己的行蹤，逃過金融機關與檢警單位的追蹤，甚至不僅僅是利用原有的匿名性，有技術的宵小還會利用Tor網路，讓交易行為隱藏在特定的網路環境中，使得相關調查工作更加困難。既得利益者完全把加密貨幣作為交易管道，包含前述之暗網、勒索軟體、毒品槍枝交易、網路攻擊、兒少性侵害、惡意電子郵件等，即便有許多資安專家了解其內部運作，但要將真實世界中的犯罪者擒拿到案，真的考驗相關單位的智慧。

情境案例說明

接下來，以勒索軟體與隨機勒索訊息進行案例分享。

勒索軟體

勒索軟體（Ransomware）的猖獗，讓大多數資訊使用者人心惶惶，其中的原因不外乎入侵點不易察覺、聳動駭人的警告畫面、被鎖定檔案難以解密、解密要價不低廉等。對於網路犯罪調查者或資安事件處理者而言，某些勒索軟體很難徹底清除，也很難進行獨立追蹤調查。

2013年，CryptoLocker堪稱勒索軟體的里程碑，不僅利用名為GameOver Zeus Trojan的木馬程式傳播，一旦入侵受害者電腦，還會擅自更換受害者電腦的桌布，並跳出警告訊息，甚至規定於一定期限內以比特幣付款，否則將電腦內指定的檔案加密。相較於過去的提供某家金融機關帳號或西聯匯款，於此開始利用加密貨幣，指使使用者付贖金，因為此種方式不僅可以和西聯匯款達到警方與銀行無法追蹤及攔截的效果，還省下了使用者填單與外出的時間。

大部分勒索軟體行為模式，是透過惡意電子郵件讓受害者點擊信中超連結、圖片或附件檔案後，自動下載並執行一個代理程式，連線至外部中繼站下載加密勒索軟體主程式，此主程式會開始掃描電腦所存文件後加密，並跳出警告訊息，其目的為索取大量金錢（圖3），可能利用常用匯款手段，指使受害者付款。

十年前的加密勒索軟體TorLocker（圖4）就開始指示受害者利用比特幣付款至指定帳戶以換取解密提示，甚至建議受害者安裝洋蔥路由器（The Onion Router，簡稱Tor網路），不僅利用了區塊鏈的匿名特性，還利用Tor網路提供的隱藏使用者真實位址功能，使得網路犯罪調查工作是難上加難。作者於當時自行測試以及經手調查的案件當事人指出，因為電腦安裝Tor瀏覽器後變得難以正常操作，故未遇到付款換取提示之情事。

根據資安業者ESET調查，TorrentLocker主要鎖定攻擊歐洲國家，包括英國、澳洲、加拿大、捷克、義大利、愛爾蘭、法國、德國、荷蘭、紐西蘭、西班牙和土耳其等，而其中支付贖金的人數占了受害者的1.5%（圖5）。至今，加密勒索軟體相關事件幾乎都指示受害者以比特幣進行交易。

隨機勒索訊息

除了加密勒索軟體，還有其他網路犯罪也利用加密貨幣指示受害者付款。以下為作者接觸到的案例，某網站的管理員於公務信箱收到以下截圖之信件（圖6），內容為通報網站漏洞，被宣稱網站已被惡意竄改。從內文即可看出數個不尋常之處，包括英文字母O轉換為數字0、英文大小寫切換等。信中指出若需要協助網站修復，請先以比特幣匯款至指定比特幣錢包位址（37RMM7CSuKuJRvgxWiQFv6DQoN26R97yuv）。

持續針對該錢包位址，先利用Google搜尋進行調查，查到一家位於秘魯的餐廳的網站，發現其留言區不斷地被張貼類似主旨的訊息（Your Website Has Been Compromised），雖然內文為西班牙文，使用尋找功能依然找到使用同樣比特幣位址的留言（圖7）。

比特幣濫用資料庫（Bitcoin Abuse Database）為一個濫用比特幣錢包位址資料庫，類似黑名單機制。實體銀行會有一份銀行帳號黑名單，只要詐欺受害者想要匯款至黑名單內的帳戶，系統會跳出告警，向行員表示此為有問題的帳戶，行員即可報警並啟動通報應變機制，與警方協同勸導與阻止被蒙在鼓裡的受害者付款，以避免受害者蒙受幫助詐欺與洗錢的刑責。

比特幣濫用資料庫也是類似的機制，只要有交易紀錄，並經由受害者主動通報，該平台即會有該筆遭濫用的比特幣錢包位址之紀錄，並供其他使用者查詢。雖在比特幣濫用資料庫搜尋上述案件錢包位址（37RMM7CSuKuJRvgxWiQFv6DQoN26R97yuv），無法搜尋到相關紀錄，但該網站有留其他比特幣錢包位址，於比特幣濫用資料庫有查詢到相關結果（圖8）。由使用者回報的情形可大致觀察出，指定比特幣錢包進行交易的犯罪情事來源，包括勒索軟體、惡意電子郵件、社群軟體等，如圖9所示。

結語

一般使用者在享受加密貨幣方便性的同時，依然需要維持良好的資訊使用習慣與資訊安全意識：面對足夠吸引的訊息時，填入個人資料及付款前必須一再思考，有必要時應向對方謹慎求證；切勿輕信電子郵件、即時通訊軟體、社交軟體的訊息，也避免隨意點擊訊息中的超連結，以降低遭綁架的風險及不幸遭綁架後的損失，否則不僅僅可能落入網路釣魚的陷阱，亦有可能因此感染惡意程式，如同勒索病毒，造成難以收拾的後果。

＜本文作者：社團法人台灣E化資安分析管理協會（ESAM, https://www.esam.io/）林子煒（https://elliotlin49.wixsite.com/elliotltw）目前為逢甲大學創能學院助理教授，主要研究領域為網路安全、應用密碼學、智慧醫療照護系統、行動商務、人工智慧技術應用分析等，並兼任逢甲大學資訊總處資訊安全中心主任，主要辦理校內資訊安全技術規畫部署與規章制度辦理等。＞