案例2 : 網購詐騙 - 使用工具為 wireshark

案例情境與分析

某A在拍賣網站看到一個名牌包包，價錢遠低於市售行情，當他要下標購買時，卻發現賣家僅願意以LINE為通訊聯絡方式。透過LINE私下洽談交易細節後，某A依照賣家所提供匯款帳號，將交易金額匯款到賣家所指定的帳戶中，但隨著時間一天天的過去，始終未收到商品，同時亦發現賣家早已將帳號刪除，再也無法聯繫。

鑑識人員鑑識步驟

1：架設封包錄製環境

鑑識人員首先完成了封包錄製環境的架設，在某A的筆記型電腦裡安裝了最新版本的Wireshark與電腦版LINE應用程式，立即著手準備進行封包錄製工作。此時需特別注意的是，由於LINE在透過行動網路使用網路電話傳遞語音的訊息才是沒有加密的，因此必須讓嫌犯以行動網路使用網路電話功能通訊，這樣一來所錄製到的封包，才能有助於進一步相關證據的蒐集與分析。

2：錄製及分析網路電話封包

鑑識人員在各網路拍賣平台進行巡視，希望能發現以相同手法進行詐騙的不法分子，果然很快就發現與相同款式的名牌球鞋正以低價刊登販售，便裝作買家與不法分子以LINE聯繫，並以手機故障無法輸入文字為由，要求不法分子以LINE的網路電話功能進行交易洽談，不法分子欣然同意並隨即撥打網路電話欲進一步商談交易細節，鑑識人員立即執行Wireshark軟體全程錄製雙方通訊時產生的網路電話封包

3：擷取及過濾可疑手機IP位址

待通話結束之後，鑑識人員立即查看封包錄製結果並進行分析。發現僅剩下192.168.43.230與42.72.68.118這兩個IP位址有著大量且頻繁的通訊行為，然而192.168.43.230為A君本身所使用來錄製封包的筆記型電腦IP位址，因此可以判斷不法分子所使用的IP位址即為42.72.68.118