Wireshark 數位鑑識 即時通訊 IM

監看LINE語音通話流量 蒐證揪出拍賣詐欺罪犯

這裡將介紹一套簡單易用的自主蒐證方法,藉由Wireshark封包分析軟體錄製封包,並透過WHOIS資料庫逐一過濾,找出可疑對象之IP位址,在第一時間主動蒐集網路詐欺之不法數位證據,以提供偵查人員作為案件調查之參考。
步驟4:反查相關資訊,找出關鍵證據

A君馬上將所擷取到的可疑IP位址42.72.68.118輸入到WHOIS資料庫中反向追查,如圖14所示,可發現此IP位址為國內龍頭電信業者所配予不法分子所使用。


▲圖14 利用WHOIS資料庫反向追查可疑IP。

A君立即將此IP位址及相關資訊提供給調查人員,經ISP業者提供不法分子之相關資料給調查人員後,迅速將不法分子緝捕到案。

不法分子起先矢口否認涉案,調查人員遂將不法分子所使用的智慧型手機扣留,並立即查詢比對該智慧型手機的IP位址。經比對後發現結果如圖15所示,不法分子所使用的智慧型手機IP位址與A君所錄製到的可疑IP位址是吻合的,同樣都為42.72.68.118。調查人員提出此關鍵證據後,不法分子百口莫辯,自知已行跡敗露、難逃法網,始坦承犯行,伏首認罪。


▲圖15 比對不法分子手機之IP位址。

綜上所述,A君利用架設網路監控環境,成功地透過Wireshark錄製LINE網路電話封包,並順利擷取不法分子之手機IP位址,接著利用WHOIS資料庫反向追查其IP位址後,將相關資訊及線索提供給調查人員,配合ISP業者所提供的資料,順利地找出利用假網拍交易手法詐騙的不法分子,並提出關鍵證據,令不法分子對所涉案情坦承不諱,有效遏止犯罪並減少他人被害的風險與可能造成的損失。

結語

由於網路詐欺犯罪有證據容易滅失及不易蒐集保全等特性,故增添了偵辦的困難度,因此如何有效利用現有的鑑識技巧,開發新進的鑑識技術即是突破網路詐騙犯罪的關鍵。本文主要是利用假拍賣詐欺的不法分子喜好使用即時通訊軟體的特性,說明一套簡單易用的鑑識方法,不但可協助鑑識人員建立網路封包分析環境,更可藉以偵測網路上的異常行為與蒐集不法數位證據,經由封包分析,找出可疑IP位址和相關資訊,透過簡單易學的免費工具提升鑑識效率,期能有效降低類似案件的發生,以減少經濟損失。

<本文作者:中央警察大學資訊密碼暨建構實驗室(ICCL),民國87年12月成立,目前由王旭正教授領軍,實驗室成員共有20名,並致力於資訊安全、資料隱藏與資料快速搜尋之研究,以確保人們於網際網路世界的安全。(http://hera.im.cpu.edu.tw)>


追蹤我們Featrue us

本站使用cookie及相關技術分析來改善使用者體驗。瞭解更多

我知道了!