Sunday, March 31, 2019

Digital Forensics:Powershell Forensic

Digital Forensics:Powershell Forensic

   วันนี้ Admin ไปเจอ เครื่องมือสำหรับ Forensics โดยใช้ powershell ใครที่ถนัด Powershell  มาทางนี้ครับ  ชื่อว่า PowerForensics มี Module หลายตัวให้ศึกษา แต่เนื่องจากผู้ที่ศึกษาต้องมีพื่้นความรู้เรื่อง Windows File system ระดับหนึ่งก่อน ถึงจะเข้าใจว่าแต่ละคำสั่งใช้ทำอะไร ผมบอกเลยเรื่องนี้ยาก  แต่เครื่องมือใช้งานง่าย  เอาว่าผมข้ามไปอธิบายวิธีการติตตั้งและใช้งานเลยครับ

สิ่งที่ต้องเตรียม

- Powershell   ใน windows 7, 8 ,10 ,Up 
- เครื่องสำหรับทดสอบ Windows windows 7, 8 ,10  Up
- PowerForensics  download จาก github
 - ให้ท่านศึกษาเพิ่มเติมเรื่อง Windows File System , NTFS, MFT  ก่อนทำเรื่องนี้

หมายเหตุ  หากท่านมี Toots ตัวอื่นก็สามารถใช้งานแทนได้

 Step 1 ไป download   PowerForensics จาก github

Step 2   ทำการแตกไฟล์ไว้ที่ Foder C:\Program Files\WindowsPowerShell\Modules\


Step 3  ทำการ Import-Module โดยใช้คำสั่งดังนี้
#Import-Module 'C:\Program Files\WindowsPowerShell\Modules\PowerForensicsv2'

Step 4  ทำการเรียกดูคำสั่งที่อยูู่ใน PowerForensicsv2  โดยใช้คำสั่งดังนี้
#Get-Command -Module PowerForensicsv2
Step 5 ทำการเรียกดูตำแหน่งและรายละเอียดของ Timestamp ของ โปรแกรม  notepad.exe ใน  MFT  โดยใช้คำสั่ง  Get-ForensicFileRecord -Path C:\Windows\notepad.exe


Step 5 ทำการเรียกดูตำแหน่งและรายละเอียดของ Timestamp ของ  MFT ใน C:\  โดยใช้คำสั่ง  Get-ForensicFileRecord -Path c:\$mft

Step 6 ทำการเรียกดูตำแหน่งและรายละเอียดของ Timestamp ของ  Index 0  โดยใช้คำสั่ง  Get-ForensicFileRecord -Index 0

 Step  7 ทำการใช้  FTK Imager  เปิด ดู Timestamp ของ  $MFT ใน C:\


 ศึกษาเพิ่มเติม:
https://docs.microsoft.com/en-us/powershell/module/Microsoft.PowerShell.Core/Import-Module?view=powershell-6
https://github.com/Invoke-IR/PowerForensics/releases
http://www.invoke-ir.com/2016/02/


หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น

* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ


#WindowsForensic #ComputerForensics #dfir #forensics #digitalforensics #computerforensic #investigation #cybercrime #fraud #Powershell Forensic

Saturday, March 30, 2019

Digital Forensics from IT Masters Short Courses

Digital Forensics: Digital Forensics from IT Masters Short Courses

หลักสูตรอบรมออนไลน์  Digital Forensics  (อัปเดต) หลักสูตรออนไลน์ฟรีของ IT Masters


Digital Forensics Courses Free Online

Photo: itmasters.edu.au  


เนื่องจากการโจมตีทางไซเบอร์ที่ซับซ้อนมากขึ้นเหล่านี้ การสืบสวนทางนิติดิจิทัลจึงกลายเป็นเรื่องปกติมากขึ้น นั่นเป็นเหตุผลที่เรากำลังปรับปรุงหลักสูตรระยะสั้น Digital Forensics   

การอัปเดตหลักสูตรระยะสั้นยอดนิยมของเราในปี 2015 หลักสูตรระยะสั้นนี้มีการแนะนำวิชา Digital Forensics ทั้งหมดมาปรับใหม่

Photo: itmasters.edu.au  


ในแต่ละสัปดาห์ตลอด 4 สัปดาห์เพื่อเรียนรู้เกี่ยวกับ:

  • มุมมองระดับสูงของสาขานิติเวชดิจิทัล 
  • การสืบสวน ตรวจจับ และป้องกันอาชญากรรมทางดิจิทัล
  • รูปแบบกระบวนการนิติดิจิทัล
  • การรวบรวมหลักฐานทางอิเล็กทรอนิกส์
  • โซเชียลมีเดีย อุปกรณ์มือถือ และนิติวิทยาศาสตร์บนคลาวด์


 


Question

Hands on Labs

 Final Test
Exam
ข้อสอบ Digital forensics



Which of the following is not a hashing algorithm?

a. CRC-32
b. MI6
c. MD5
d. SHA512

Answer: B

Which method of acquisition is always the most preferred?

a. Live
b. Static
c. Logical
d. Illogical

Answer: B


How many disk-to-image copies should you make?

a. Never more than 1.
b. At least 2.
c. You should always use disk-to-disk rather than disk-to-image.
d. This is not a required step for digital forensics

Answer: B


Free Short Course Digital Forensics
Certificate


Lecture 1: Free Short Course - Digital Forensics

Lecture 2: Free Short Course - Digital Forensics


Lecture 3: Free Short Course - Digital Forensics


Lecture 4: Free Short Course - Digital Forensics


Ref: itmasters.edu.au

หากคุณสนใจหลักสูตรอื่น 

หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น

* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ

#WindowsForensic #ComputerForensics #dfir #forensics #digitalforensics #computerforensic #investigation #cybercrime #fraud

CASES SOLVED USING EXTENSIVE DIGITAL FORENSIC EVIDENCE

Digital Forensics:5 CASES SOLVED USING EXTENSIVE DIGITAL FORENSIC EVIDENCE

5 เคสที่ใช้วิธีการตรวจพิสูจน์พยานหลักฐานดิจิทัลคลี่คลายคดี

 

1. Matt Baker — 2010

แมตต์เบเกอร์นักเทศน์แบ๊บติสต์ถูกตัดสินว่ากระทำการฆาตกรรมภรรยาของเขาและถูกตัดสินให้จำคุก 65 ปี ในปี 2549 ภรรยาของเขาฆ่าตัวตายอย่างเห็นได้ชัดจากการกินยานอนหลับเกินขนาด การฆ่าตัวตายได้รับการยืนยันตามบันทึกการฆ่าตัวตายที่ภรรยาของเขาทิ้งไว้ 

http://stopbaptistpredators.org/article08/valley_of_the_shadow_of_death.html

ต่อมาในขณะที่วิเคราะห์คอมพิวเตอร์ของเบเกอร์ประวัติการค้นหาของคอมพิวเตอร์ของเบเกอร์พบว่าเขาได้ค้นหา“ กินยานอนหลับเกินขนาด” และได้เยี่ยมชมเว็บไซต์ยาหลายแห่งก่อนที่ภรรยาของเขาจะเสียชีวิต [2]

 2. Krenar Lusha — 2009
Krenar Lusha แห่งสหราชอาณาจักรถูกจับกุมโดยยึดตามรูปแบบการค้นหาทางอินเทอร์เน็ตของเขา ในการตรวจสอบแล็ปท็อปของเขาพบว่าเขาได้ดาวน์โหลดคู่มือของ 4300 GM เพื่อทำระเบิดและเข็มขัด

Explosive belt

 เมื่อพวกเขาตรวจค้นอพาร์ตเมนต์ของเขาเพื่อสอบสวนเพิ่มเติมตำรวจก็กู้น้ำมันเบนซินโพแทสเซียมไนเตรท 71.8 ลิตรและกระสุนปืนลูกซองสด เขายังใช้แล็ปท็อปของเขาเพื่อพูดคุยกับผู้คนผ่านทาง MSN อธิบายว่าตัวเองเป็นผู้ก่อการร้ายหรือมือปืน เขานำเสนอตัวเองเป็นคนที่ต้องการเห็นคนยิวและชาวอเมริกันถูกฆ่าตาย บทสนทนาเหล่านี้ถูกค้นคืนจากคอมพิวเตอร์ของเขาและใช้เป็นหลักฐานทางดิจิตอลในศาล [3]

 3. Larry Jo Thomas —2016
มีการโพสต์ Facebook มากกว่า 250 โพสต์ว่าเป็นแหล่งข้อมูลดิจิตอลที่รวบรวมระหว่างการตรวจสอบทางนิติวิทยาศาสตร์ในศาลวินิจฉัยอุทธรณ์ของรัฐอินเดียนา หนึ่งในกรณีที่บันทึกไว้  บน Facebook โทมัสเป็นที่รู้จักในนาม "Slaughtaboi Larro" และมีรูปถ่ายของเขาวาง ด้วยปืนไรเฟิลสไตล์ AR-15 ซึ่งโดยทั่วไปจะใช้กระสุน. 223 ลำกล้องแบบเดียวกับที่ปลอกกระสุนตำรวจพบในที่เกิดเหตุ .
 เขาโพสต์ภาพถ่ายบน Facebook ด้วยปืนไรเฟิลจู่โจมสไตล์ AR-15 เมื่อการสอบสวนคดีฆาตกรรม Rito Llamas-Jaurez เกิดขึ้น Larry ถูกตัดสินว่ามีความผิดเมื่อ Llamas-Jaurez ถูกยิงตายด้วยกระสุนสไตล์ AR-15  หลังจากนักสืบจับคู่ลายนิ้วมือของโทมัสกับกล่อง iPhone ที่พบในรถที่ Jaurez ถูกยิงและบันทึกโทรศัพท์มือถือเปิดเผยว่ามีคนที่ใช้โทรศัพท์ของแฟนสาวของเขา

https://www.indystar.com/story/news/crime/2016/03/14/police-man-used-assault-type-weapon-kill-robbery-victim/81781106/

นักวิจัยยังพบสร้อยข้อมือใกล้กับที่เกิดเหตุซึ่งตรงกับที่ Thomas พบว่าสวมใส่ในหนึ่งในภาพถ่ายบน Facebook [4]

4. Mikayla Munn —2016
Mikayla Munn นักศึกษามหาวิทยาลัยแมนเชสเตอร์ให้กำเนิดทารกในอ่างอาบน้ำในห้องพักหอพักของเธอ เธอกดน้ำลูกคนของเธอตายทันทีในอ่างอาบน้ำ แต่ครอบคลุมโดยระบุว่าเธอไม่ได้ตระหนักถึงความรู้สึกเจ็บปวดขณะตั้งครรภ์และเจ็บครรภ์คลอดขณะอาบน้ำตามด้วยการมาถึงของทารก ในการตรวจสอบสินทรัพย์ดิจิทัลของเธอผู้ตรวจสอบพบว่าเธอได้ค้นหาคำว่า "ทำแท้งที่บ้าน" ใน Google และ "วิธีการตัดสายสะดือของทารก" มุนน์ร้องขอให้เพิกเฉยและถูกจำคุก 9 ปี [5] 

5. Ross Comptown — 2017
Ross Compton จาก Middletown, โอไฮโอ,Ross Compton ถูกตั้งข้อหาวางเพลิงและฉ้อโกงประกันภัยเพราะถูกกล่าวหาว่าจุดไฟเผาบ้านของเขา  เปลวไฟทำให้เกิดความเสียหายเกือบ 400,000 เหรียญสหรัฐ  

https://globalnews.ca/news/3245884/man-charged-with-arson-after-police-read-his-pacemaker-data/

https://www.cbsnews.com/news/mans-cardiac-pacemaker-data-led-to-arson-charges/

เมื่อ Ross ส่งใบรับรองแพทย์ปลอมที่อธิบายความเจ็บป่วยโรคหัวใจของเขา  จากนั้นตำรวจได้นำหมายค้น หาข้อมูลทางอิเล็กทรอนิกส์ทั้งหมดที่เก็บไว้ในอุปกรณ์ตรวจจับการเต้นของหัวใจของ Compton ตามบันทึกของศาล ข้อมูลจากเครื่องกระตุ้นหัวใจของเขาทำหน้าที่เป็นหลักฐานต่อหน้าศาล ข้อมูลที่รวบรวมจากเครื่องกระตุ้นหัวใจรวมถึงอัตราการเต้นของหัวใจ จากข้อมูลจังหวะการเต้นของหัวใจซึ่งช่วยพิสูจน์การลอบวางเพลิงและการฉ้อโกงประกันภัย [6]

Digital Forensics: Case Study



หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น

* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ

#WindowsForensic #ComputerForensics #dfir #forensics #digitalforensics #computerforensic #investigation #cybercrime #fraud #พยานหลักฐานดิจิทัล

 

Monday, March 25, 2019

Digital Forensics: วิธีใช้หลักฐานอิเล็กทรอนิกส์หาตัวผู้กระทำผิดออนไลน์

Digital Forensics:ชวนดู วิธีใช้หลักฐานอิเล็กทรอนิกส์หาตัวผู้กระทำผิดออนไลน์ กฎหมายปัจจุบันให้อำนาจไว้พอแล้ว

 การระบุตัวผู้กระทำผิดบนอินเทอร์เน็ต เพียงแค่หมายเลข IP Address ศาลฎีกาชี้ว่ายังไม่เพียงพอลงโทษจำเลยได้ ต้องอาศัยหลักฐานอีกหลายอย่างประกอบกัน แม้ปัจจุบันยังมีข้อจำกัดอยู่ไม่น้อยที่จะทำให้ได้หลักฐานมา แต่หากเจ้าหน้าที่รัฐใช้อำนาจให้ถูกต้องตามขั้นตอน อำนาจตามกฎหมายปัจจุบันก็ยังเพียงพอให้ทำอะไรได้อีกมาก โดยไม่จำเป็นต้องออกกฎหมายใหม่มาเพิ่มอำนาจ
การกระทำความผิดบนโลกออนไลน์ที่เพิ่มขึ้นเป็นเงาตามตัวในยุคสมัยที่ข้อมูลปริมาณมหาศาลไหลเวียนกันบนโลกออนไลน์ ทำให้ตำรวจ, กระทรวงไอซีที และหน่วยงานความมั่นคง ฯลฯ ต้องแบกรับภาระช่วยกันหาตัวผู้กระทำความผิดเพื่อนำมาดำเนินคดีในชั้นศาล 
ในทางหนึ่งการระบุตัวตนผู้กระทำความผิดบนโลกออนไลน์อาจจะดูเป็นเรื่องยากเพราะตัวตนบนอินเทอร์เน็ตสามารถซ่อนเร้นหรือปลอมแปลงได้ง่าย เช่น การสร้างเฟซบุ๊กโดยใช้รูปและชื่อของคนอื่น หรือ การสมัครใช้อีเมล์ด้วยชื่อและประวัติปลอม แต่ในอีกทางหนึ่งการสื่อสารบนอินเทอร์เน็ตต้องส่งผ่านตัวกลาง และผู้ให้บริการมีหน้าที่ตามกฎหมายที่จะต้องเก็บข้อมูลของผู้ใช้งานเอาไว้ ร่องรอยการกระทำความผิดทางเทคนิคจึงหาได้ไม่ยากจนเกินไป ซึ่งอาจจะง่ายกว่าการตามจับอาชญากรบนโลกจริงที่ทำเสร็จแล้ววิ่งหนีไปอย่างไร้ร่องรอยด้วยซ้ำ
จากการสังเกตการณ์การดำเนินคดีเกี่ยวกับการแสดงความคิดเห็นบนโลกออนไลน์มาตั้งแต่ปี 2553 ไอลอว์พอจะสรุปลักษณะของพยานหลักฐานทางอิเล็กทรอนิกส์ที่ใช้พิสูจน์ตัวตนของผู้กระทำความผิดบนโลกออนไลน์ได้ ดังนี้

1. ภาพแสดงการกระทำความผิดที่เชื่อถือ

ผู้ที่อ้างว่าพบเห็นการกระทำความผิดบนโลกออนไลน์ ไม่ว่าจะเป็นเจ้าหน้าที่รัฐหรือประชาชนทั่วไป อย่างน้อยต้องเก็บหลักฐานเกี่ยวกับการกระทำที่พบเห็นเอาไว้ เช่น หากมีข้อความผิดกฎหมายบนเฟซบุ๊กก็ต้องมีภาพบนหน้าเฟซบุ๊กที่ปรากฏข้อความนั้นๆ ประกอบกับชื่อบัญชีที่โพสต์ข้อความ หากมีการส่งสแปมมาทางอีเมล์ก็ต้องมีอีเมล์นั้นๆ เก็บเอาไว้ เป็นต้น ซึ่งระหว่างการพิจารณาคดีในชั้นศาลภาพเหล่านี้จะต้องพิมพ์ออกมาใส่กระดาษเพื่อยื่นต่อศาล ในทางปฏิบัติไม่ค่อยพบเห็นกรณีที่ศาลเปิดดูการกระทำความผิดจากเครื่องคอมพิวเตอร์
ส่วนใหญ่แล้วผู้ที่เก็บหลักฐานมักใช้วิธีการถ่ายภาพหน้าจอ หรือการกด Capture ภาพ หรือกดปุ่ม Print Screen แล้วบันทึกเป็นไฟล์ภาพเอาไว้ในเครื่อง และพิมพ์ออกมาเมื่อจะยื่นต่อศาล ซึ่งที่ผ่านมาศาลก็รับฟังพยานหลักฐานที่เป็นภาพถ่ายจากหน้าจอคอมพิวเตอร์ แต่การเก็บหลักฐานด้วยวิธีนี้ยังมีข้ออ่อนอยู่มาก เนื่องจากเมื่อบันทึกไว้ในเครื่องคอมพิวเตอร์เป็นลักษณะไฟล์ภาพแล้ว ย่อมถูกแก้ไขเปลี่ยนแปลงได้ง่ายโดยโปรแกรมตัดต่อภาพทั่วไป หลักฐานที่ผ่านการบันทึกเป็นไฟล์ภาพอาจถูกฝ่ายตรงข้ามคัดค้านเรื่องความน่าเชื่อถือได้ 
เพื่อป้องกันข้อโต้แย้งเรื่องความน่าเชื่อถือของหลักฐาน ควรใช้วิธีสั่งพิมพ์จากหน้าเว็บบราวเซอร์โดยตรงและพิมพ์ทันทีที่พบเห็น วิธีนี้เว็บบราวเซอร์จะพิมพ์ภาพที่ปรากฏบนหน้าจอคอมพิวเตอร์ออกมาพร้อมกับวันที่, จำนวนหน้าที่พิมพ์ และ ที่อยู่ของหน้าเว็บ (URL) ที่มีการกระทำความผิดปรากฎด้วย แม้หลักฐานที่เกิดจากการเก็บวิธีนี้จะยังสามารถถูกปลอมแปลงได้อยู่ แต่ก็ยังมีความน่าเชื่อถือกว่าการบันทึกเป็นไฟล์ภาพ ซึ่งหากเจ้าหน้าที่คนที่สั่งพิมพ์ลงลายมือชื่อและวันที่กำกับไว้ ก็จะทำให้หลักฐานมีความน่าเชื่อถือมากขึ้น 

2. หมายเลข IP Address ที่เกี่ยวข้องกับการกระทำความผิด

หมายเลข IP Address เป็นหมายเลขที่ผู้ให้บริการอินเทอร์เน็ต หรือ Internet Service Provider (ISP) จัดสรรให้กับผู้ใช้บริการ ลักษณะเป็นเลขหนึ่งชุด คั่นด้วยจุด เช่น 152.208.132.201 ทำหน้าที่คล้ายเป็น "เลขที่บ้าน" สำหรับการส่งข้อมูลติดต่อระหว่างกัน โดยทุกครั้งที่มีการส่งข้อมูลเข้าไปบนโลกออนไลน์หรือเปิดหน้าเว็บไซต์เพื่อรับข้อมูล หมายเลข IP Address จะทำหน้าที่เป็นตัวกำหนดว่าข้อมูลต้องเดินทางจากที่ไหนไปยังที่ไหน

ในยุคหนึ่งเว็บไซต์หลายแห่งกำหนดให้การโพสต์ข้อความทุกครั้งต้องปรากฏหมายเลข IP Address ของผู้ใช้งานด้วย การหาตัวผู้กระทำความผิดจึงสามารถสืบสวนต่อจากหมายเลข IP Address ที่ปรากฏอยู่ได้เลย แม้ในยุคหลังๆ ผู้ให้บริการเว็บไซต์ไม่นิยมตั้งค่าให้หมายเลข IP Address ของผู้ใช้ปรากฏต่อสาธารณะแล้ว แต่ตามพระราชบัญญัติว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ฯ พ.ศ. 2550 (พ.ร.บ.คอมพิวเตอร์ฯ) มาตรา 26 ยังกำหนดหน้าที่ให้ผู้ให้บริการต้องจัดเก็บข้อมูลหมายเลข IP Address ของผู้ใช้เอาไว้อย่างน้อย 90 วัน ซึ่งเจ้าพนักงานตามพ.ร.บ.คอมพิวเตอร์ฯ มีอำนาจตามมาตรา 18 ที่จะขอให้ผู้ให้บริการส่งข้อมูลหมายเลข IP Address ที่เกี่ยวกับการกระทำความผิดมาให้ได้
 
3. ข้อมูลสถานที่กระทำความผิด เทียบกับหมายเลข IP Address 
เมื่อได้หมายเลข IP Address ที่เกี่ยวข้องกับการกระทำความผิดมาแล้ว เจ้าพนักงานจะนำหมายเลข IP Address ไปตรวจสอบกับ ISP ว่า หมายเลข IP Address ใด ติดต่อ ส่งหรือรับข้อมูลกับหมายเลข IP Address ใด เมื่อวันที่และเวลาเท่าใด และ ISP ก็จะมีข้อมูลชื่อและที่อยู่ของลูกค้าจากการจดทะเบียนการขอใช้บริการอินเทอร์เน็ต
ISP จะสามารถบอกข้อมูลได้ว่า หมายเลข IP Address ที่เกี่ยวข้องกับการกระทำความผิด เป็นของผู้ที่จดทะเบียนด้วยชื่ออะไร มีที่อยู่ที่ใด และในระหว่างวันที่และเวลาที่มีการกระทำความผิดหมายเลข IP Address นี้ได้ติดต่อส่งข้อมูลไปยังเว็บไซต์ที่มีการกระทำความผิดเกิดขึ้นหรือไม่ 

แต่ข้อมูลที่ได้จากหมายเลข IP Address นั้น อาจจะไม่เพียงพอระบุถึงตัวผู้กระทำความผิดที่แท้จริงได้ เพราะในทางเทคนิคที่หมายเลข IP Address อาจถูกปลอมแปลงได้ นอกจากนี้ผู้ที่ใช้ชื่อจดทะเบียนขอใช้บริการอินเทอร์เน็ต(เจ้าของIP Address) ก็อาจไม่ใช่ผู้ที่ใช้อินเทอร์เน็ตกระทำความผิด เช่น ในบ้านหลังหนึ่ง คุณพ่อใช้ชื่อและที่อยู่ตัวเองจดทะเบียนขอใช้บริการอินเทอร์เน็ตกับ ISP แต่ในบ้านหลังนี้ก็มีคุณแม่ และลูกอีก 3 คน ที่ใช้งานอินเทอร์เน็ตจากผู้ให้บริการรายเดียวกัน การใช้งานอินเทอร์เน็ตของสมาชิกในครอบครัวทุกคน จะถูกบันทึกโดย ISP ว่ามาจากหมายเลข IP Address หมายเลขเดียวกันโดยไม่แยกตามคนที่ใช้งานอยู่จริงๆ ข้อมูลจากหมายเลข IP Address เพียงอย่างเดียวอาจจะระบุถึงสถานที่ที่เกี่ยวข้องกับการกระทำความผิดได้ แต่ยังไม่สามารถระบุตัวผู้กระทำความผิดได้อย่างชัดเจน
เคยมีคดีที่นพวรรณ ตกเป็นจำเลยฐานโพสต์ข้อความหมิ่นประมาทพระมหากษัตริย์ฯ ซึ่ง IP Address ถูกใช้เป็นหลักฐานสำคัญในการชี้ตัวผู้กระทำความผิด แม้หมายเลข IP Address ที่ใช้โพสต์ข้อความจะจดทะเบียนด้วยชื่อของนพวรรณ และระบุที่อยู่ที่บ้านของนพวรรณ แต่เมื่อข้อเท็จจริงปรากฎว่าที่อยู่บ้านของนพวรรณเป็นโรงงาน มีพนักงานหลายคน มีคอมพิวเตอร์หลายเครื่อง ซึ่งทุกคนสามารถเข้าใช้งานอินเทอร์เน็ตเพื่อโพสต์ข้อความได้ ศาลฎีกาจึงพิพากษาให้ยกฟ้อง เพราะหลักฐานของโจทก์ยังไม่เพียงพอที่จะระบุได้ชัดจนไม่มีข้อสงสัยว่าจำเลยเป็นผู้โพสต์ข้อความ
4. การตรวจสอบร่องรอยการใช้งานเครื่องคอมพิวเตอร์
เมื่อเจ้าหน้าที่ทราบข้อมูลที่อยู่ของหมายเลข IP Address ที่เกี่ยวข้องกับการกระทำความผิดแล้ว สิ่งที่เจ้าหน้าที่มักจะทำ คือ การขอหมายค้น หมายยึดและตรวจสอบเครื่องคอมพิวเตอร์จากศาล และไปยังที่อยู่ที่ได้จดทะเบียนไว้ เพื่อค้น, ยึด และตรวจสอบอุปกรณ์คอมพิวเตอร์หาร่องรอยการใช้งานคอมพิวเตอร์เพื่อกระทำความผิด
การตรวจสอบเครื่องคอมพิวเตอร์ อาจทำเพื่อค้นหาร่องรอยเกี่ยวกับการกระทำความผิด อย่างน้อยสี่ลักษณะ
1) Cache file คือ ไฟล์ที่บราวเซอร์ทำสำเนาข้อมูลบางส่วนของหน้าเว็บไซต์ที่เปิดเข้าใช้งานมาเก็บไว้ในเครื่องโดยอัตโนมัติ เพื่อให้การเปิดเข้าใช้งานครั้งต่อไปโหลดหน้าเว็บไซต์ได้รวดเร็วขึ้น 
2) Cookie คือ ไฟล์เกี่ยวกับการใช้งานเว็บไซต์ที่เว็บไซต์นั้นๆ สั่งให้เก็บไว้ในคอมพิวเตอร์ เพื่อให้ระบบจดจำผู้ใช้งานได้สำหรับการเข้าใช้งานครั้งต่อไป
3) History คือ ประวัติการเข้าใช้งานเว็บไซต์ที่เว็บบราวเซอร์ส่วนใหญ่บันทึกเอาไว้โดยอัตโนมัติว่า ผู้ใช้งานเปิดเว็บไซต์หน้าใด เมื่อวันที่และเวลาใดบ้าง 
4) ไฟล์ที่ใช้กระทำความผิดโดยตรง เช่น หากความผิดเกี่ยวข้องกับการโพสต์ภาพลามกอนาจาร ก็ต้องตรวจสอบว่ามีภาพนั้นๆ อยู่ในเครื่องคอมพิวเตอร์ที่ถูกยึดมาหรือไม่

วิธีการตรวจสอบเครื่องคอมพิวเตอร์ที่ได้มาตรฐาน คือ เจ้าหน้าที่ไม่สามารถตรวจค้น Harddisk ต้นฉบับโดยตรงได้ แต่ต้องทำสำเนา Harddisk ต้นฉบับที่จะตรวจสอบออกมาสองชุดก่อน เมื่อทำสำเนาสองชุดแล้ว ตัว Harddisk ต้นฉบับต้องปิดผนึกและนำไปเก็บไว้ สำเนาชุดหนึ่งนำไปเก็บไว้ส่วนกลาง และสำเนาอีกชุดหนึ่งนำไปตรวจสอบ เพื่อให้แน่ใจว่าจะไม่มีการเปลี่ยนแปลงข้อมูลลงไปใน Harddisk ต้นฉบับโดยมิชอบ ส่วนวิธีการตรวจนั้นเจ้าหน้าที่ของไทยจะใช้โปรแกรม encase ทำหน้าที่เข้าไปตรวจสอบหาข้อมูลทุกประเภทที่อยู่ในเครื่องคอมพิวเตอร์นั้นๆ แม้กระทั่งไฟล์ที่ถูกลบไปแล้วก็ยังมีโอกาสตรวจพบ

หากตรวจพบ Cache file, Cookies หรือ History ที่เกี่ยวข้องก็อาจแสดงได้ว่าผู้ใช้งานคอมพิวเตอร์เครื่องนั้นๆ เคยเข้าไปยังหน้าเว็บไซต์ที่เกี่ยวข้องกับการกระทำความผิด แต่ยังไม่สามารถบอกได้ว่าผู้ใช้งานคอมพิวเตอร์เครื่องนั้นๆ เป็นผู้กระทำความผิดหรือไม่ หากตรวจพบไฟล์ที่ใช้กระทำความผิดโดยตรง ก็พอจะแสดงได้ว่าคอมพิวเตอร์เครื่องนั้นน่าจะเกี่ยวข้องกับการกระทำความผิด แต่ก็ยังไม่สามารถบอกได้อย่างชัดเจนว่าเจ้าของคอมพิวเตอร์เครื่องนั้นๆ เป็นผู้กระทำความผิดหรือไม่ เพราะอาจมีผู้อื่นมาใช้เครื่องคอมพิวเตอร์เครื่องนั้นกระทำความผิดก็ได้
5. ตรวหา DNA บนเครื่องคอมพิวเตอร์
เนื่องจากหลักฐานทั้งข้อมูลจากหมายเลข IP Address และร่องรอยการใช้งานเครื่องคอมพิวเตอร์ ยังไม่ชัดเจนเพียงพอที่จะระบุตัวผู้กระทำความผิด เพราะยังไม่สามารถระบุได้ว่าใครเป็นผู้ใช้งานเครื่องคอมพิวเตอร์นั้นๆ ในวันเวลากระทำความผิด การสืบสวนคดีพ.ร.บ.คอมพิวเตอร์ฯ ในช่วงปี 2557-2558 จึงมีการพัฒนาไปถึงการตรวจหาลายนิ้วมือ และ DNA ที่ปรากฏอยู่บนเครื่องคอมพิวเตอร์ด้วย ว่าตรงกับของผู้ต้องสงสัยหรือไม่ และมีลายนิ้วมือหรือ DNA ของบุคคลอื่นปรากฏอยู่ด้วยหรือไม่ ซึ่งจนถึงปัจจุบันยังไม่มีคำพิพากษาวางแนวทางว่าศาลรับฟังและให้น้ำหนักกับลายนิ้วมือและ DNA มากเพียงใด

จากที่กล่าวมาทั้งหมด ดูเหมือนว่าการหาหลักฐานทางอิเล็กทรอนิกส์เพื่อระบุตัวผู้กระทำความผิดในโลกออนไลน์จะไม่ใช่เรื่องง่ายเพราะในทางเทคนิคอาจมีวิธีการหลบเลี่ยงได้หลายรูปแบบ แต่หากเจ้าหน้าที่มีความรู้ความสามารถระดับหนึ่งก็ไม่ใช่เรื่องยากจนเกินไป ทั้งพ.ร.บ.คอมพิวเตอร์ฯ ฉบับปัจจุบันก็กำหนดหน้าที่ของผู้ให้บริการในการเก็บข้อมูล และให้อำนาจเจ้าหน้าที่เข้าถึงข้อมูลไว้ตามสมควรแล้ว หากเจ้าหน้าที่ดำเนินการสืบสวนด้วยอำนาจตามกฎหมายอย่างรวดเร็วก็มีโอกาสไม่น้อยที่จะจับกุมผู้กระทำความผิดที่แท้จริงได้ 
ผู้ให้บริการในต่างแดนยังไม่ร่วมมือ รัฐไทยหาเครื่องมือใหม่ๆ มาเพิ่ม
การบังคับใช้กฎหมายกับการกระทำบนโลกออนไลน์มีอุปสรรคอยู่บ้าง เพราะกฎหมายเป็นเครื่องมือที่ใช้กันภายในอาณาเขตของแต่ละประเทศเท่านั้น จึงมักมีกรณีที่ผู้ให้บริการเว็บไซต์หรือ ISP ที่อยู่ต่างประเทศปฏิเสธที่จะให้ข้อมูลกับทางการไทยในการสืบสวนการกระทำตามข้อหาที่กฎหมายของประเทศตัวเองไม่ได้ระบุให้เป็นความผิด อย่างเช่น ความผิดฐานหมิ่นประมาทพระมหากษัตริย์ฯ ตามประมวลกฎหมายอาญามาตรา 112 เป็นความผิดที่มีในประเทศไทย แต่ไม่มีในประเทศที่ไม่มีพระมหากษัตริย์

ผู้ให้บริการรายใหญ่อย่าง กูเกิ้ล และเฟซบุ๊ก ซึ่งมีสำนักงานใหญ่อยู่ที่สหรัฐอเมริกา มักจะปฏิเสธที่จะให้ข้อมูลเมื่อทางการไทยขอทราบหมายเลข IP Address ของผู้ที่โพสต์เนื้อหาซึ่งอาจเข้าข่ายเป็นการหมิ่นประมาทพระมหากษัตริย์ฯ เพราะผู้ให้บริการเหล่านี้ไม่มีหน้าที่ต้องเก็บข้อมูลหรือส่งมอบข้อมูล ตามพ.ร.บ.คอมพิวเตอร์ฯ ของไทย ทำให้คดีหมิ่นประมาทพระมหากษัตริย์ฯ อีกจำนวนมากที่มีการร้องเรียนเข้ามาคั่งค้างอยู่เพราะหาตัวผู้กระทำความผิดไม่ได้ 
นอกจากนี้หากเป็นกรณีที่เจ้าของเว็บไซต์เปิดเว็บไซต์ขึ้นมาเพื่อกระทำความผิดเอง เช่น เว็บไซต์ปลอมเพื่อหลอกลวงผู้ใช้ประเภท Phishing เว็บไซต์ลามกอนาจาร เมื่อเจ้าหน้าที่รัฐติดต่อประสานงานขอหมายเลข IP Address ของผู้ที่นำเข้าข้อความไปยังเจ้าของเว็บไซต์ ก็อาจไม่ได้รับความร่วมมือ  
เพื่อแก้ไขความยากลำบากในการเข้าถึงหลักฐาน ทางการไทยจึงเสนอเครื่องมือที่จะเพิ่มอำนาจให้กับเจ้าหน้าที่ในการหาตัวผู้กระทำความผิดบนโลกออนไลน์ เช่น การเสนอร่างพ.ร.บ.ความมั่นคงไซเบอร์ฯ ซึ่งกำหนดให้เจ้าหน้าที่มีอำนาจสั่งผู้ให้บริการให้ทำอะไรก็ได้ รวมทั้งให้เจ้าหน้าที่ดักรับข้อมูลการสื่อสารของประชาชนได้โดยไม่มีต้องขอหมายศาลก่อน หรือการเสนอระบบ Single Gateway เพื่อให้รัฐเป็นผู้ควบคุมเส้นทางของข้อมูลบนอินเทอร์เน็ตแต่เพียงรายเดียว เป็นต้น
กฎหมายปัจจุบันให้เจ้าหน้าที่มีอำนาจมากอยู่แล้ว แต่อยู่ใต้การตรวจสอบโดยศาล
แม้ว่าเครื่องมือใหม่อย่าง Single Gateway หรือร่างพ.ร.บ.ความมั่นคงไซเบอร์ฯ จะยังไม่มีผลบังคับใช้ และเจ้าหน้าที่ดูจะมีปัญหาในการเข้าถึงหลักฐานซึ่งระบุตัวตนผู้กระทำความผิดอยู่บ้าง แต่เจ้าหน้าที่ไทยก็มีช่องทางในการหาหลักฐานระบุตัวตนด้วยวิธีอื่น เช่น การส่งลิงก์ไปยังเป้าหมายที่ต้องสงสัย เมื่อบุคคลเป้าหมายคลิกลิงก์ที่ส่งไปก็จะได้รับหมายเลข IP Address ของผู้ใช้งานส่งกลับมา ซึ่งเคยเห็นการใช้วิธีนี้ในคดีหุ้นตกของคธา หรือวิธีการดั้งเดิม อย่างการปลอมตัวเข้าไปหลอกถามข้อมูล ซึ่งเคยเห็นการใช้วิธีนี้ในคดีของธารา หรือ คดีของ "จักราวุธ" เป็นต้น
ในทางกฎหมาย เจ้าหน้าที่รัฐก็มีอำนาจตามพ.ร.บ.คอมพิวเตอร์ฯ มาตรา 18(6) ในการตรวจสอบและเข้าถึงข้อมูลการจราจรทางคอมพิวเตอร์ ซึ่งรวมถึงหมายเลข IP Address เพื่อสืบสวนหาตัวผู้กระทำความผิดได้ด้วยตัวเอง โดยไม่ต้องขอข้อมูลจากผู้ให้บริการ และยังมีอำนาจตามมาตรา 18(7) (8) ที่จะถอดรหัสลับหรือยึดระบบคอมพิวเตอร์ได้เท่าที่จำเป็น เพียงแต่จะต้องขออนุญาตศาลตามมาตรา 19 พร้อมทั้งต้องระบุเหตุอันควรเชื่อถึงการกระทำความผิด เหตุผลที่ต้องใช้อำนาจ รายละเอียดอุปกรณ์ที่จะใช้ตรวจสอบ รวมทั้งต้องรายงานผลการตรวจสอบต่อศาลภายใน 48 ชั่วโมง 
นอกจากนี้ หากคดีทางคอมพิวเตอร์คดีใดถูกประกาศให้อยู่ในอำนาจของกรมสอบสวนคดีพิเศษ (ดีเอสไอ) เจ้าหน้าที่ก็จะมีอำนาจตามมาตรา 25 ของพ.ร.บ.การสอบสวนคดีพิเศษ พ.ศ.2547 ที่จะได้มาซึ่งข้อมูลที่ส่งผ่านสื่ออิเล็กทรอนิกส์ หรือการดักรับเนื้อหาข้อความที่ส่งหากันทางอินเทอร์เน็ตคล้ายการดักฟังโทรศัพท์อีกด้วย โดยจะต้องขออนุญาตจากอธิบดีผู้พิพากษาศาลอาญาโดยตรง
จะเห็นได้ว่า กฎหมายปัจจุบันก็เขียนให้อำนาจของเจ้าหน้าที่ไว้กว้างขวางเพียงพอสำหรับการสืบสวนหาตัวผู้กระทำความผิดได้แทบทุกรูปแบบอยู่แล้ว เพียงแต่ขั้นตอนตามกฎหมายต้องมีระบบตรวรจสอบถ่วงดุลโดยศาลที่รัดกุม เจ้าหน้าที่ที่จะใช้อำนาจเหล่านี้จึงมีภาระหน้าที่เพิ่มขึ้นต้องเขียนคำร้องและเขียนรายงานชี้แจงต่อศาล จะใช้อำนาจเข้าถึงข้อมูลของประชาชนโดยไม่มีเหตุผลตามสมควรไม่ได้ และจะใช้อำนาจเกินกว่าที่จำเป็นเพื่อการหาตัวผู้กระทำความผิดในคดีนั้นๆ ไม่ได้
การสืบสวนหาหลักฐานทางอิเล็กทรอนิกส์เพื่อระบุตัวผู้กระทำความผิดทางคอมพิวเตอร์เป็นเรื่องที่ซับซ้อน ต้องอาศัยเจ้าหน้าที่ที่มีความเชี่ยวชาญ รวมทั้งต้องอาศัยอุปกรณ์ที่มีประสิทธิภาพ และทันสมัยพอสำหรับเทคโนโลยีที่เปลี่ยนแปลงอยู่ตลอดเวลา 
แม้ในปัจจุบันหลายกรณีจะไม่สามารถหาตัวผู้กระทำความผิดมาลงโทษแต่แทนที่จะใช้วิธีออกกฎหมายซึ่งเพิ่มอำนาจให้กับเจ้าหน้าที่รัฐเกินสมควรและอาจกระทบต่อเสรีภาพประชาชน เพื่อการเข้าถึงหลักฐานทางการไทยน่าจะลงทุนกับการพัฒนากำลังเจ้าหน้าที่ ทั้งในด้านปริมาณและศักยภาพ รวมทั้งการจัดซื้ออุปกรณ์ทางเทคนิคที่ทันสมัยอยู่เสมอ ซึ่งแนวทางนี้นอกจากจะให้ผลลัพธ์ที่ยั่งยืนกว่าการออกกฎหมายใหม่ๆ และยังมีความชอบธรรมกว่าเพราะไม่ต้องเสี่ยงต่อการละเมิดสิทธิเสรีภาพของประชาชนจนเกินสมควรด้วย

 ที่มา:โดย ilaw-freedom เมื่อ 27 มีนาคม 2016 09:46
  https://bit.ly/2LFMNNq



หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น

* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ

#WindowsForensic #ComputerForensics #dfir #forensics #digitalforensics
#computerforensic #investigation #cybercrime #fraud

Monday, March 18, 2019

Digital Forensics:คดีการเงิน ลูกจ้างปลอมเช็คไปเบิกเงิน

Digital Forensics:คดีการเงิน ลูกจ้างปลอมเช็คไปเบิกเงิน

กรณีลูกจ้างปลอมลายมือชื่อของนายจ้างลงในเช็ค และได้นำเช็คที่ปลอมขึ้นมานั้น ไปเบิกเงินออกจากบัญชีธนาคารของนายจ้าง ตลอดระยะเวลากว่าสามปี ลูกจ้างปลอมเช็คทั้งหมด จำนวน 162 ฉบับ นายจ้างสูญเงินไปกว่า 4,700,000 บาท มีประเด็นปัญหาที่น่าสนใจ คือ ลูกจ้างจะมีความผิดในคดีอาญาข้อหาฐานใดบ้าง และในกรณีนี้ธนาคารต้องรับผิดชอบอย่างไร รวมถึงธนาคารจะรับผิดชอบเพียงแค่ครึ่งเดียวตามที่ผู้เสียหายให้สัมภาษณ์ได้หรือไม่

ในกรณีนี้ เมื่อผู้กระทำความผิดเป็นลูกจ้างของผู้เสียหาย และได้ลักเช็คของผู้เสียหายไป จำนวน 162 ฉบับ ดังนั้น ผู้กระทำความผิดจึงมีความผิดในข้อหาลักทรัพย์นายจ้าง ตามประมวลกฎหมายอาญา มาตรา 334, 335 (11) การปลอมลายมือชื่อของนายจ้างลงในเช็คมีความผิดข้อหาปลอมเอกสาร และใช้เอกสารปลอม ตามประมวลกฎหมายอาญา มาตรา 264, 268 วรรคแรก ประกอบมาตรา 266(4) 
ในส่วนการนำเช็คปลอมไปเรียกเก็บเงินจากธนาคารเป็นการหลอกลวงผู้อื่น ด้วยการแสดงข้อความอันเป็นเท็จ และโดยการหลอกลวงดังว่านั้นได้ไปซึ่งทรัพย์สินจากผู้ถูกหลอกลวง ผู้กระทำความผิดจึงผิดฐานฉ้อโกง ตามประมวลกฎหมายอาญามาตรา 341 ด้วย เรียกว่า เป็นกรรมเดียวผิดต่อกฎหมายหลายบท ให้ลงโทษบทที่มีโทษหนักที่สุด เรียงกระทงลงโทษ เทียบเคียงคำพิพากษาศาลฎีกาที่ 2617/2529
ในส่วนของค่าเสียหาย ลูกจ้างซึ่งได้ลักเช็คของนายจ้างไปเบิกถอนเงิน ย่อมต้องรับผิดเต็มจำนวนเงินที่ได้เบิกถอนเงินออกจากบัญชีของนายจ้าง พร้อมด้วยดอกเบี้ยในอัตราร้อยละ 7.5 ต่อปี
อย่างไรก็ตาม การกำหนดค่าสินไหมทดแทนในหนี้ที่เกิดจากการละเมิดแก่ฝ่ายผู้เสียหาย จะมากน้อยเพียงใดต้องอาศัยพฤติการณ์เป็นข้อสำคัญ คือ ความเสียหายนั้น ได้เกิดขึ้น เพราะฝ่ายไหนเป็นผู้ก่อยิ่งหย่อนกว่ากันเพียงไร ตามประมวลกฎหมายแพ่งและพาณิชย์ มาตรา 223, 438 และ 442
 ดังนั้น จึงต้องพิจารณาข้อเท็จจริงในแต่ละคดีเป็นเรื่องๆ ไป ว่าความเสียหายที่เกิดขึ้นนั้น ฝ่ายใดเป็นผู้ก่อให้เกิดขึ้นมากน้อยกว่ากัน โดยศาลจะใช้ดุลพินิจในการพิจารณาตัดสินอีกครั้ง เทียบเคียงคำพิพากษาศาลฎีกาที่ 2738/2554
......................................................................

      กรณีทุจริตเงินค่าลงทะเบียนนักศึกษา

        ข้อเท็จจริงและพฤติกรรมของการกระทำ :- ลูกจ้างประจำเงินงบประมาณ ตำแหน่ง เจ้าหน้าที่ธุรการ ไม่ใช่เจ้าหน้าที่การเงินโดยตำแหน่ง ได้รับมอบหมายจากผู้บังคับบัญชาให้รับเงินค่าลงทะเบียนของนักศึกษาเพื่อนำส่งเข้าเป็นรายได้ของคณะตามระเบียบ แต่ปรากฏว่าเมื่อรับเงินแล้ว ได้ทุจริตนำเงินดังกล่าวไปใช้เพื่อประโยชน์ส่วนตัวโดยไม่ดำเนินการตามระเบียบที่กำหนด โดยมีพฤติการณ์การกระทำดังนี้ จงใจลงวันที่รับเงินในสำเนาใบเสร็จรับเงินไม่ตรงกับวันที่รับเงินค่าลงทะเบียนของนักศึกษาจริง และมีสมุดใบเสร็จรับเงินอยู่ใน    ความครอบครองหลายเล่มในเวลาเดียวกัน และใช้สมุดใบเสร็จรับเงินหมุนเวียนกัน แล้วนำส่งเงินไม่ครบถ้วนตามจำนวนที่รับจริง ประกอบกับผู้บังคับบัญชามิได้ติดตามตรวจสอบการรับเงินค่าลงทะเบียนของนักศึกษา และมิได้ตรวจสอบการเบิกเล่มใบเสร็จรับเงิน และเรียกคืนใบเสร็จรับเงิน ทุกเล่มที่ใช้เพื่อตรวจสอบการใช้ใบเสร็จรับเงินเมื่อสิ้นปีงบประมาณ ตามระเบียบการเก็บรักษาเงินและการนำเงินส่งคลัง   พ.ศ.๒๕๒๐ ทำให้เป็นช่องทางในการกระทำทุจริตดังกล่าว
        การลงโทษ  ปลดออกจากราชการ


       กรณีทุจริตเงินยืมทดรองจ่าย
        ข้อเท็จจริงและพฤติกรรมของการกระทำ :- ข้าราชการ ตำแหน่ง พนักงานการเงินและบัญชี ระดับ ๕ เป็นผู้มีหน้าที่รับผิดชอบเกี่ยวกับ เงินยืมทดรองจ่าย ได้กระทำทุจริตรับเงินสดที่ชำระเป็นค่าส่งใช้เงินยืมทดรองจ่ายแล้วไม่นำส่งเงิน ตามระเบียบในขั้นตอนการส่งใช้เงินยืมทดรองจ่าย โดยมีพฤติการณ์การกระทำดังนี้ เมื่อลูกหนี้เงินยืมทดรองจ่ายนำส่งใช้เงินยืมเป็นเงินสด กลับลงหลักฐานเป็นการส่งใช้เงินยืมด้วยเอกสารใบสำคัญ และ/หรือออกหลักฐานใบเสร็จรับเงินจำนวนเงินน้อยกว่าความเป็นจริงที่ลูกหนี้เงินยืมทดรองจ่ายนำส่งใช้เงินยืม แล้วนำเงินสดดังกล่าวไปใช้ประโยชน์ส่วนตัว ประกอบกับผู้บังคับบัญชาของข้าราชการผู้นี้มิได้ตรวจสอบหลักฐานการส่งใช้เงินยืม แต่กลับออกใบเสร็จรับเงินค่าส่งใช้เงินยืมให้แก่ลูกหนี้เงินยืมทดรองจ่ายตามคำบอกเล่าของเจ้าหน้าที่ผู้รับผิดชอบเกี่ยวกับเงินยืมทดรองจ่าย โดยไม่ได้รับเงินหรือตรวจสอบจำนวนเงินที่ได้รับ  
        การลงโทษ   ไล่ออกจากราชการ

   
       กรณีทุจริตเงินค่าเอกสารประกอบการเรียนแล้วไม่นำส่งคลัง
        ข้อเท็จจริงและพฤติกรรมของการกระทำ :-  ข้าราชการ ตำแหน่ง นักวิชาการศึกษา ระดับ ๖  แม้มิใช่เจ้าหน้าที่การเงินโดยตำแหน่ง แต่ได้รับมอบหมายให้มีหน้าที่รับผิดชอบในการรับเงินค่าสมัครเข้าร่วมโครงการของคณะ และเงินค่าเอกสารประกอบการเรียนการสอนรายวิชา  แต่เมื่อได้รับเงินไว้แล้วกลับมิได้นำเงินส่งเข้าเป็นรายได้คณะฯ   ตามระเบียบที่กำหนด และได้กระทำการแอบอ้างตำแหน่งหน้าที่  ของตนและของผู้อื่นเรียกเก็บเงินค่าเอกสารประกอบการเรียนการสอน ซึ่งคณะฯ ผลิตขึ้นเพื่อแจกให้นักศึกษาโดยไม่คิดมูลค่า แล้วนำเงินดังกล่าวไปเป็นประโยชน์ส่วนตัว ประกอบกับ หน่วยงานไม่มีการกำหนดหลักเกณฑ์หรือระบบตรวจสอบในเรื่องดังกล่าวอย่างชัดเจน  ทำให้เป็นช่องทางในการกระทำทุจริตดังกล่าว
        การลงโทษ   ไล่ออกจากราชการ

       กรณีทุจริตยักยอกเงินค่ารักษาพยาบาลและเงินบำเหน็จของพนักงานมหาวิทยาลัย
        ข้อเท็จจริงและพฤติกรรมของการกระทำ :- ลูกจ้างประจำ  ตำแหน่ง เจ้าหน้าที่การเงินและบัญชี เป็นผู้มีหน้าที่บันทึกและนำส่งข้อมูลเกี่ยวกับการโอนเงินค่ารักษาพยาบาลและเงินบำเหน็จของพนักงานมหาวิทยาลัยเข้าบัญชีธนาคารไทยพาณิชย์ จำกัด (มหาชน)ด้วยระบบ ATS ได้กระทำการทุจริตเบียดบังเอาเงินค่ารักษาพยาบาลพนักงานมหาวิทยาลัย โดยวิธีการแก้ไขข้อมูลในแผ่น  Floppy disk ที่นำเงินค่ารักษาพยาบาลและเงินบำเหน็จเข้าบัญชีเงินฝากธนาคารด้วยระบบ ATS  ธนาคารไทยพาณิชย์ จำกัด (มหาชน) โดยปรากฏหลักฐาน  การโอนเงินเข้าบัญชีเงินฝากของตนเอง ประกอบกับผู้บังคับบัญชามิได้มีการตรวจสอบ และไม่มีระบบสอบทานการปฏิบัติงานของเจ้าหน้าที่ดังกล่าว
        การลงโทษ   ไล่ออกจากราชการ


      กรณีทุจริตยักยอกเงินสนับสนุนจากต่างประเทศ
        ข้อเท็จจริงและพฤติกรรมของการกระทำ :- พนักงานมหาวิทยาลัยเงินรายได้  ตำแหน่ง ผู้ปฏิบัติงานบริหาร (พนักงานธุรการ) แม้มิใช่เจ้าหน้าที่การเงินโดยตำแหน่ง แต่ได้รับมอบหมายให้มีหน้าที่รับผิดชอบดูแลการจัดการเบิกถอนเงิน        จากบัญชีต่างๆที่เกี่ยวข้องกับการดำเนินการตามกิจกรรมของสำนักงาน  เป็นหนึ่งในรายชื่อผู้มีอำนาจเบิกจ่ายเงินจากบัญชี (บางบัญชี) และถือสมุดบัญชีทั้งหมดของสำนักงาน  ได้กระทำทุจริตยักยอกเงินของสำนักงาน โดยมีพฤติการณ์ดังนี้ ปลอมแปลงเอกสารหลักฐานที่ใช้ประกอบการเบิกจ่ายเงินออกจากบัญชี โดยวิธีการเปลี่ยนแปลงแก้ไขรายการและจำนวนเงินในใบบันทึกขออนุมัติเบิกจ่ายเงิน (แผ่นแรก)โดยแผ่นที่สองเป็นเอกสารฉบับจริงที่ผู้บังคับบัญชาลงนามอนุมัติ, ปลอมแปลงเอกสารการนำฝากเงินคืนเข้าบัญชี ได้แก่  ปลอมแปลงใบนำฝากเงินเข้าบัญชีธนาคาร  รายการบัญชีในสมุดบัญชีธนาคาร โดยวิธีการตัดแปะตราประทับของธนาคาร รวมถึงการตัดต่อข้อความและตัวเลขการเพื่อให้เห็นว่ามีการนำเงินจำนวนดังกล่าวฝากเข้าบัญชีธนาคารเรียบร้อยแล้ว และนำเอกสารดังกล่าวไปถ่ายสำเนาเพื่อเป็นเอกสารแนบประกอบรายงานเสนอต่อผู้บังคับบัญชาเพื่อตรวจสอบ (รายงานการเงิน /รายงานกิจกรรม)
        การลงโทษ   ปลดออกจากราชการ



      กรณีทุจริตยักยอกเงินค่ารักษาพยาบาล
        ข้อเท็จจริงและพฤติกรรมของการกระทำ :- ข้าราชการ ตำแหน่ง นักวิชาการเงินและบัญชี ระดับ ๕ เป็นผู้มีหน้าที่เก็บเงินค่ารักษาพยาบาลผู้ป่วยและออกใบเสร็จให้เป็นหลักฐาน ได้กระทำทุจริตยักยอกเงินค่ารักษาพยาบาล โดยมีพฤติการณ์ดังนี้จงใจออกใบเสร็จรับเงินโดยไม่ถูกต้อง (ในรายผู้ป่วยที่ไม่มีสิทธิเบิกค่ารักษาพยาบาล)โดยวิธีการแยกใบเสร็จรับเงินและสำเนาออกจากกันพิมพ์จำนวนเงินที่ได้รับจริงจากผู้ป่วยลงในใบเสร็จรับเงินต้นฉบับ ส่วนสำเนาใบเสร็จได้พิมพ์จำนวนเงินน้อยกว่าความเป็นจริง แล้วเก็บเป็นหลักฐานเพื่อนำส่งเงินตามระเบียบ  และโดยการดำเนินการดังกล่าวข้างต้นจะปรากฏข้อมูลในระบบคอมพิวเตอร์ ๒ ข้อมูลจึงได้ดำเนินการยกเลิกใบเสร็จรับเงิน ๑ ฉบับ เป็นผลให้มียอดเงินสดมากกว่าจำนวนเงินตามรายการการรับชำระเงินประจำจุดเก็บเงินที่ตนรับผิดชอบ และหลังจากนั้นได้ทำการปลอมสิทธิ์เพื่อให้เป็นผู้ป่วยตามสิทธิ์ประกันสุขภาพ หรือบัตรทหารผ่านศึก แล้วแต่กรณี
        การลงโทษ   ไล่ออกจากราชการ

Digital Forensics: Case Study

ที่มา: Facebook: ทนายเจมส์ LK
https://bit.ly/2tIwlRe
https://bit.ly/2To6P2g
https://bit.ly/2TtJQTe
โดยศาลจะใช้ดุลพินิจในการพิจารณาตัดสินอีกครั้ง เทียบเคียงคำพิพากษาศาลฎีกาที่ 2738/2554

หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น

* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ


#WindowsForensic #ComputerForensics #dfir #forensics #digitalforensics  #computerforensic #investigation #cybercrime #fraud