ACFE APAC Conference
小妹身為台灣舞弊防治與鑑識協會的理事,借這次參加線上舞弊研討會的機會,跟各位分享一些新資訊,也幫協會打打廣告。
美國舞弊稽核師協會(Association of Certified Fraud Examiners,ACFE)是國際上公認最重要的反舞弊專業組織,在美、加、中、英、紐、澳、中東等國有龐大的會員組織,協會的宗旨在致力於打擊白領犯罪,成員背景則包含了會計人員、審計人員、稽核人員、電腦鑑識人員、企業安全主管、企業法務遵循主管、刑事調查官、檢察官、律師、執法人員、犯罪學者等。ACFE擁有聲譽極高的會員網絡力量,一起為降低全球舞弊風險及成本並建立群眾對舞弊稽核師(Certified Fraud Examiners ,CFE)之信心和CFE行業的客觀、獨立而努力。
ACFE對於會員及舞弊稽核師(CFE)之專業養成計劃除完整的CFE認證考試制度外,也出版各類舞弊相關手冊指南、期刊、月刊及各類電子新聞及資料給會員參考以期增加相應的知識與技能,同時也會定期舉辦會議、講座、論壇、研討會、線上課程、舞弊資料庫、舞弊風險評估工具、培訓班及網路書店等資源供會員使用及參與,以學習行業最新動態並透過CFE社交群加強專業及經驗。其中Fraud Conference,小妹在幾年前無聊找藉口要進修自費到新加坡參加後,就愛上了它;ACFE安排相關的內容非常用心,當然品牌經營也很到位,每次參加會議就會送有協會logo的背包,背在身上就有一種特殊的榮譽感。
ACFE每年都會在各地舉辦Fraud Conference,亞太區近幾年主要在新加坡、香港、雪黎等地舉辦,而2020 Fraud Conference Asia-Pacific因為疫情的關係,改為線上舉辦,雖然有點可惜,但是內容一樣精彩,除了共通大場會議外,還分了A、B兩邊進行研討,詳細的內容可以參考其網站。
這一系列有幾個題目我覺得都不錯,蠻想分享給各位的,除了本次要分享的社群網路分析偵測舞弊外,後續如果有時間我再陸續分享相關研討會內容及心得,包括舞弊協會每年都會分享在訪談舞弊者時的重要技巧(如何偵測欺騙)、以及智慧調查、區塊鏈用於舞弊偵測等。
Network Analysis in Fraud Investigations
本次研討會分享的講者為Wishnu Agung Baroto,他的背景主要是資訊背景,並擁有CHFI/CISA等數位鑑識及電腦稽核的重要證照。在這次的分享,他透過一個案例來說明整體數位鑑識的流程,包含資料收集、網路分析、及電子郵件等過程,以下就摘錄其重要內容跟各位分享吧。
資料:
講者在分享中提到資料的類型分為結構化與非結構化資料,結構化資料在鑑識調查中多半是從系統資料庫中可以取出之資訊,包含ERP系統、人事薪資系統,有的時候我們在調查時也會詢問企業是否有workflow相關的系統。而非結構化資料,則包含了電子郵件、聲音檔、影片檔、報告、通訊軟體對話紀錄等。
早期的資料分析多著重在結構化的資料分析,但其實舞弊調查分析人員很早就在處理非結構化的資料,由其數位鑑識的人員要從繁雜的電腦檔案當中分析出於案情有關的資訊,更是需要強大的工具、技能及經驗才能達成。
在筆者的經驗中,我們通常會剖析案情的資訊後,鎖定可能牽涉的資訊系統、檔案、或人員等。然後,我們便會基於我們對於企業流程的瞭解,初步透過結構化的資料進行分析,尋找異常交易的離群值,這些離群值可能就會包含與舞弊有關的事實。
在非結構化資料的部份,在前期瞭解案情的過程除了確認相關範圍外,我們也會根據案情的狀況擬定關鍵字,在進行非結構化資料分析時,我們就會透過我們所定的關鍵字,使用鑑識相關分析工具進行與案件有關的資料分析。包含透過關鍵字進行篩選有關的檔案、電子郵件、通訊軟體訊息、報告等檔案;以快速找到我們在意的相關紀錄進行瞭解。但許多鑑識工具還會提供智慧功能,包含協助將企業的各種非結構化資料整合後,進行內容分析及分類,將可能同類型的資訊提供給調查員參考,萬一我們調查陷入焦灼時,可以透過系統的幫助有意義地擴大可能的調查範圍,而不致於漫無目地的地毯式搜索。
而相關結構化或非結構化分析之外,在舞弊調查很常見的就是透過網路分析來輔助調查。
社群網路分析:
在筆者前期的文章【資料分析-02_利用社群網路分析有效規劃分組上班】曾經利用過社群網路分析的方式來協助驗證分組辦公安排的適當性,其實社群網路分析用在舞弊調查是很常見的,不知各位是否有印象,小時候警察破獲大型犯罪集團案件時,其記者會上除了擺放了贓物外,有時會再繪製一張犯罪集團的金流圖,或者通訊圖等。所以相信各位對此一定不陌生,但是它到底要怎麼用呢?
社群網路(Social network)係一套用於系統化理解和識別參與者之間聯繫的關係方法。節點通常是指個人或組織。社群網路代表各種社會關係,經由這些社會關係,把各種人們或組織的關聯串連起來。簡單地說,社群網路是一張標示出所有與節點相關連結的地圖。而節點的中間度(centrality)可以用來衡量它的結構重要性,講者介紹了三種比較常見指標,筆者參考東吳巨資老師上課的講義再多做一些補充說明:
1. 分支度(Degree):
該節點擁有多少個對外連結,有較多的連結數代表有較高的分支中間度;若考量方向性,則內支中間度(in-degree centrality)高者在群體中往往具有較高威信,因為大家都喜歡接近他們,而外支中間度高(out-degree centrality)者,則代表他們的行為能影響很多人。
2. 中介度(Betweenness):
頻繁地被其他節點間之最短路徑經過的節點為中心;如果一個點能中介於其他兩群體間,會使這個節點更加有力量,可以控制訊息的流動,擁有很高度中介度的節點都通也被稱為關鍵者(Key-players)。
3. 接近度(Closeness):
測量一個節點到網路中其他節點的距離。如果N個節點與其他節點之間的平均距離短,則節點N具有較高的緊密度中心度。
電子郵件:
講者表示,由於舞弊者還是很常使用電子郵件,因此分析電子郵件成了舞弊調查人員的必要執行項目,通常透過電子郵件我們可以取得很多有用的資訊,包含電子郵件收件者、存取電子郵件的設備類型、email伺服器的資訊、ISP業者的log資訊等。
此外講者亦介紹了Email的各項協定(SMTP、POP3、IMAP),以及如何解析電子郵件的內容;而通常在Client-based email分析的方式上,主要是將email從伺服器上export出來後,再分析其內容,多半會下載存成.pst, .mdb, .ost檔等類型;此外,講者也簡單介紹webmail analysis,若是各位讀者有興趣想進一步瞭解細節,可以參考【A Practical Approach to Webmail Forensics Techniques | Lucideus Research】的內容,會有更完整的流程說明喔。
Case Study
接下來講者透過一個案例分享來說明整體分析的流程,案件主要是一宗逃漏稅的調查,調查人員除了公司相關紙本紀錄外,亦進行的數位鑑識的分析(詳下圖)。
電子郵件社群網路分析與傳統的數位鑑識流程稍有不同,在資料處理中還需要將電子郵件的資料另外匯入電子郵件用戶端的軟體(如: MS outlook, outlook express, Mozilla Thunderbird等)進一步處理。此外,在傳統的分析與報告部份,講者將其改為中心度(Centrality分析),以及視覺化呈現等流程。
1. Acquisition(資料擷取) & Importation (資料匯入):
一開始需要進行初步辨識的過成,調查團隊透過DART工具分析運作中的電腦,確認嫌疑人使用Gmail進行溝通,因此團隊使用outlook設定email相關協定,將收件夾與寄件備份等資料夾都儲存下來後,再使用FTK Imager工具,製作硬碟複本,並確保資料的完整性。
2. Processing (資料處理):
資料處理過程中,包含了extract data from image、open in outlook、export metadata、result等過程,透過相關鑑識工具的協助,使調查人員取得了email的相關資訊(from, to, cc, bcc等),並將相關metadata資訊產生csv檔以便進行後續分析使用。
3. Analysis (分析) & Centralities (中心度) & Visualization (視覺化呈現):
一般電子郵件鑑識調查少不了要透過關鍵字搜尋分析,不過本篇想要著重在社群網路分析上,故筆者就不再者裡詳述講者分享細節了。
在相關的分析工具上,講者使用的是MALTEGO進行社群網路分析,其將前階段的相關資料匯入工具分析後,可以看到初步的網路圖 (如下圖)。
但通常這樣的圖意義並不是很大,因此調查團隊再透過所掌握的案件資訊,將節點賦予有意義的資訊(如下圖),使得幾個人員的溝通就呈現出來,尤其可以看出兩個已經鎖定的嫌疑犯相關通訊的情況。
經過將節點有意義化後,雖然可以看出相關人員間的聯繫狀況,但畢竟還是太過複雜,因此有必要再透過前面所介紹的中心度,將一些重要節點更加突出來進一步分析出關鍵的人物。
在筆者的經驗裡,我們中心度分析完後,我們以相關的資訊決定優先調查的順序,畢竟如果碰到大型或複雜的案件,有時候電腦蒐證回來就是一大堆,到底該先從誰的電腦著手,真的是非常頭痛的一件事。所以通常會以分支度較高的人為中心往外的直接關聯高者,優先進行確認。而中介度(Betweenness)高的人,有時候也會是我們關注的對象,畢竟可能兩個團體間的資訊會透過他們傳遞,因此分析他們的電腦,有時可能會讓我們能發現更多訊息。
但詳細應該怎麼進行,筆者認為需視不同案件的情況,調查團隊與資料分析團隊共同商討後,再決定執行的方式,才會更加有效率與效果。
最後講者的總結中,再次強調了儘管現在犯罪者多使用手機,但email仍舊是一個重要的工具,如果掌握的當(搞清楚到底主要用哪個信箱),那麼還是有很多資訊是可以取得的。此外,在講者分享的案例中使用工具,也不是唯一,坊間仍有許多可以使用的工具(免錢或商業的都有)。下圖是講者在案例分享中所使用的工具,提供各位參考。
心得分享
小妹在東吳巨資期間,上課最有啟發的一門課莫過於社群網路分析了,除了老師講課生動有趣外,當時身為鑑識團隊主管的我,簡直就是找到一個新天地,因此回公司後,總想著找資料分析團隊同仁研究出一些更好的舞弊偵測方式。
在舞弊調查中,我們最痛苦的莫過於一開始的範圍界定(到底要蒐幾個人的電腦? 分析多少台伺服器的log? 分析多久的時間區間?),這個都有賴於對於案情理解以及客戶資訊提供的完整度。而另一個頭痛的問題,常常會碰到客戶告訴我們他們懷疑舞弊者與外面某些公司有關聯,所以才會圖利對方,但他們通常就是沒有證據才會找我們。因此小妹有陣子想辦法透過爬蟲抓取開放資料中公司行號的資訊,再透過文字探勘分析新聞中可能提到的公司、重要人員間的關係,在大型的調查案件中再結合客戶提供的資訊,透過社群網路分析,嘗試地找出一些蛛絲馬跡,實驗在幾個案子上,成效還不錯。不過在想要把它自動化、工具化後,小妹就離開前公司了,希望未來還有機會可以找到同好繼續研發與實驗。
參考資料
[1] ACFE簡介, https://www.acfetaiwan.com.tw/acfe簡介
[2] 2020 ACFE FRAUD CONFERENCE ASIA-PACIFIC, https://www.fraudconference.com/asiapac2020.aspx
[3] A Practical Approach to Webmail Forensics Techniques, Lucideus. https://medium.com/@lucideus/a-practical-approach-to-webmail-forensics-techniques-lucideus-research-6162c309ef8b
[4]有用的社交網路分析、連結分析和視覺化軟體, https://blog.csdn.net/wgh100817/article/details/101720272
滿滿的數位鑑識實戰經驗 應該出書