比较中立的观点认为,对西方金融系统进行的、带有政治目的的攻击,技术含量都相当低,起不到瘫痪金融网络的作用。相反,能有效攻入金融系统网络、具有相当高技术含量的网络攻击行为,背后目的只有一个:偷窃有价值的信息,从而盗取大量资金。
黑帽神出鬼没
在网络诈骗案例中,有一个似乎无处不在的身影——黑客。“黑客”一词可以溯源到英文单词Haker,原本指技艺高超的计算机软件专家、工程师、发烧友,他们喜好挖掘、发现互联网软件的漏洞。基于如何处理被这些高手们发现的漏洞派生出两个分支,一个是代表正能量的Haker或者别称“白帽”,往往成为互联网技术漏洞的修补者。一个是体现负能量的黑帽Black Hat或者称Cracker,是互联网漏洞的利用者,算是互联网信息小偷。提起黑客,一般都联想到Cracker。
黑客大都利用偷来的信息赚钱,他们往往是互联网诈骗食物链的上游食客,其收益来自下游信息买家,是针对面对被骗者的骗子,而某些互联网诈骗团伙的发起者本身就是黑客。
2014年11月,一桩网络攻击事件被美国媒体炒得沸沸扬扬,受害者是总部在美国的著名娱乐公司索尼影业娱乐Sony Pictures Entertainment,索尼影业的杰作有倍受热捧的多集电影《超凡蜘蛛人》、《绝命毒师》等等,在业内地位不凡。2014年11月24日,在网上自称Guardians of Peace(和平卫士GOP)的黑客侵入了索尼影业的公司网络,窃走大量索尼影业服务器硬盘中存贮的数据。
问题还在于GOP黑客不光是窃取数据,还留下了恶意软件,修改索尼影业的办公软件启动画面,用的是一段索尼影业出品的恐怖片的片段,然后把索尼公司高管的头像嫁接到画面中被“割下”,更恶劣的是GOP黑客还在该公司不少电脑中植入恶意木马,令电脑自行启动,造成公司电脑和网络系统瘫痪,内外在线服务中断,不得不雇请知名网络安全公司FireEye帮助恢复公司系统及数据库。
几日之后,GOP在Pastebin网站发布了一批自称来自索尼影业公司服务器的资料,最具震撼力的资料是索尼影业员工、包括高管的个人信息,如内部网络账户密码、社会保险号码、薪资金额(17位高管的年薪超过100万美元)、员工绩效评价等等私密信息,据GOP称其窃取到手资料的容量多达数十T。
被黑客黑的索尼影业并非首例,更非孤例。据不完全统计在索尼影业之前美国有数千家企业的网络及服务器被黑客攻陷过。分析认为,绝大多数被攻击的企业都“羞于启齿”被在线攻击事件,因为企业的客户、股东甚至竞争对手都有可能对这种倒霉事做负面解读,导致生意流失,股价下跌。
一些在通信技术和互联网领域赫赫有名的大公司倒是明确承认了遭受黑客攻击的事实,例如苹果、脸书、推特、谷歌等等。
著名网络安全服务商麦克菲McAfee在2011年宣称,他们发现了一个叫Operation Shady Rat(暗鼠行动)的大规模互联网间谍行为,涉及70的家机构。麦克菲的一位副总认为:“你可能想到的任何一家上规模的、有商业秘密的、有知识专利的公司的网络,都已经被侵入过,没有被侵入的也逃不掉,然而大多数公司并不知道自己的网络被偷窥,也不清楚造成了多大危害。”
在被媒体报道的机构名单中,算得上有头有脸的不在少数,如跨国石油能源巨头埃克森美孚公司、荷兰皇家壳牌公司、BP、康菲石油公司、英国天然气集团、切萨皮克能源等,体育组织国际奥委会,钢铁公司安赛乐米塔尔,饮料巨头可口可乐等等。
一个典型案例是硅谷数字图像处理软件提供商Adobe Systems Incorporated,访问Adobe网站或者购买其产品需要注册账户。2013年11月,媒体爆料,一份包括1.2亿个Adobe账户信息(账户名、账户捆绑电子邮箱、登陆密码等)的文件一月前被放在网上“共享”。网络安全专家认为,“任何人都可以无限制地下载此份文件”。
备受诟病的是Adobe公司的响应迟钝,三周后才开始通知可能受影响的客户,有些客户10周后尚未收到Adobe的提醒。Adobe的发言人解释说,因为向客户发送警示电子邮件的过程比想象的费时。Adobe发言人还说,被攻击的数据库是一个即将废弃的备用系统,其中的有效数据远少于媒体的说法。
然而黑客的攻击目标远不止公司和公共机构,防卫能力更差的个人电脑及个人互联网应用被攻击的规模和范围更为庞大。
据互联网安全专家披露,2011年,全球有数百万台个人电脑的桌面曾经弹出过这样的警示:“您将无法启动这台电脑和访问这台电脑的文件。”警示下面有署名,署名有“FBI(美国联邦调查局)”、“(当地)警察局”、“ Anonymous(一个黑客组织)”等数十种花样,问题是电脑的主人可能真的就从此无法启动自己的电脑。解决的方法是在这条警示的下方,把一笔钱汇入指定账号。
这其实是一个黑客木马病毒软件,也称“赎金软件”,相当于互联网的绑架者,绑架对象是电脑及其主人。据互联网安全专家追踪统计,全球每年被赎金软件勒索的金额多达500万美元以上(超过3000万元人民币)。恶劣的是,受害者汇出赎金后,绑架者往往不给受害人的电脑解锁。
赎金软件攻击最初于2009年出现在东欧国家,由于收入不菲,这些黑客犯罪团伙转向更为富裕的欧美发达国家。据统计,到2012年年底,欧洲有16个赎金软件团伙。
2013年2月,欧洲刑警组织破获一个赎金软件犯罪团伙,抓获团伙成员11人。警方称该团伙每年通过赎金软件勒索全球受害者达100万欧元(约合670万元人民币),受害者遍及全球,难以计数。这个团伙的头目是一俄罗斯人,年龄27岁,此人是电脑高手,专门编写赎金程序。
2014年6月,一个规模更大的黑客犯罪组织被美国联邦调查局FBI联合多国警方破获,该组织的总部设在乌克兰基辅和顿涅茨克,其主要作案平台是“僵尸网络”中心,作案时间长达5年。该组织利用名为“Gameover Zeus”(宙斯)的病毒,入侵全球多家企业和超过50部电脑,窃取相关信息,盗窃1亿美元以上。该组织还利用“Cryptolocker”(赎金软件)绑架超过25万台电脑,勒索到1500余万美元。
招数五花八门
电子邮件是全球政商界常用的办公和商务网络工具,电子邮箱最大的烦恼来自垃圾邮件,大多数垃圾邮件是“干净”的,而垃圾邮件已经成为印度的一大互联网产业。世界顶级互联网安全公司卡巴斯基Kaspersky 2012年的调查指出,全球四分之一的垃圾邮件是印度生产,称印度是“世界垃圾邮件之都”。
卡巴斯基同时还指出,垃圾邮件中附带的链接、图片之类的附属体很可能被植入木马病毒,这些病毒有可能会偷窥电脑中的各种密码、账户信息(包括网络支付),成为偷窃者的猎物。2012年印度逮捕了6名外籍人士,指控这些人企图通过垃圾邮件发送虚假中奖信息,诈骗上当者的钱财。
在美国,退休在家的老年人往往是诈骗团伙的目标猎物,骗子采取电信+互联网的模式行骗。
电话推销在美国有悠久的传统。有一个美国老太太接到一个“中奖电话”,电话那头的人员自称是某项有奖赛事机构,告知老太太她中了一笔巨奖,需要往老太太的银行账户“打钱”,但需要提供自己的银行账号和信用卡号码(二者缺一不可),老太太信以为真,把银行账户和信用卡号码提供给对方。
骗子们为阻止老太太向亲属咨询和“报喜”,利用网络将老太太家的电话号码与一个自动语音发送软件关联,不停地向全球各地拨打垃圾电话,切断老太太与外界的联系,然后将老太太的银行账户、信用卡与一个贝宝Peypal(类似中国的支付宝)账号关联,通过网络支付系统转账偷走老太太银行账户中的4万美元(约合24万元人民币)。类似的案例在美国经常发生,不胜枚举。
全球商界流传过一个 “尼日利亚预付款骗局”的名词,缘起大量来自尼日利亚的电子“商务”邮件。这些邮件的内容基本是:由于尼日利亚内需不足,通货膨胀率长期居高不下(例如38%),货币贬值严重,有大量原油(尼日利亚是产油大国)待价而沽,价格以美元计价,较之国际油价相当“便宜”,如果成交,需交一笔“预付款”。结果可以想象,预付款石沉大海,原油子虚乌有,而每天成千上万的预付款邮件发往全球。
微软一位网络研究员分析,虽然现在人们对来自尼日利亚的邮件谈虎色变,但总有“漏网之鱼”会响应这些尼日利亚邮件,成为潜在受骗者。
2013年5月,美国人波多夫斯基Budovsky在西班牙被警方控制,这个人被抓牵涉到100万网络账户和与这些账户有关的60亿美元,这些钱属于全球70个国家的公民。
波多夫斯基2005年创办了互联网支付公司LR(liberty reserve),美国警方认为此人多年来一直从事洗钱交易,于2006年因其经营的Gold Age公司涉嫌非法资金交易将其逮捕并判监禁6个月(涉案金额3000万美元)。出狱后波氏干脆放弃美国国籍成为哥斯达黎加公民,并创办LR。
LR最大的特点是资金可以匿名流转,LR平台收取手续费。换言之,LR与中国人熟知的“地下钱庄” 基本类似。在LR开户仅需填写所谓姓名和年龄(未经核查),甚至有用“俄罗斯黑帮”为名注册的,LR对每笔交易收1%手续费,外加0.75美元“保密费”(抹掉交易记录无法追踪)。
更为巧妙的设计在于LR并非自己拥有资金池来实现客户的资金充值、提现、兑换功能,而是挂靠在其他第三方支付平台上,利用别的资金交易系统为LP的账户服务。这种多重架构更具隐蔽性,更符合相当多客户的需要。
波多夫斯基被捕的同时,LR的客户在其网站主页上仅能看到“该网站已经被美国检方接管”一行大字。分析认为,LR至此已经寿终正寝,但客户的大笔资金(有些客户资金高达上亿美元)有可能被长期冻结直到结案(美国的司法程序周期可能会很长),有自认为做“正当交易”的客户准备起诉LR乃至美国政府。
当越来越多的人通过互联网交友网站寻找感情伴侣甚至婚姻时,“Sweetheart Scam”(甜心骗局)应时而生。
2008年, 58岁的英国男子亨特被甜心骗局中的秃鹫盯上。亨特在交友网站上结识了一位Rose(玫瑰),这位玫瑰自称来自尼日利亚,被尼日利亚玫瑰迷倒的亨特彻底陷入丧智状态,玫瑰想到英国来与亨特聚首,亨特就不断汇钱资助,前后总共被玫瑰索取了82000英镑(约下78万元人民币),亨特因此债台高筑,选择卧轨自杀,然而至始至终亨特都未曾与这朵昂贵的玫瑰谋面。
英国公平交易属曾经专门针对甜心骗局发出公告,提醒网络上有大量甜心骗子,他们注册虚假信息,用虚假照片、有吸引力的个人身份资料,勾引到合适的对象后就以各种各样的借口要钱。
甜心骗子要钱的借口基本上都是“急需”:妄称亲人得急病住院急需住院费、办理签证、购买机票前来“会面”需要钱、自己从事的行业或者发现一个能够赚大钱的项目急需启动资金或者周转金等等。
影响与防御
为减轻垃圾邮件导致的网络诈骗带来的危害,2012年开始,全球处理垃圾邮件诈骗的两个核心领域——互联网邮件服务提供商企业和金融业联手,推广新的邮件安全标准尽可能阻挡垃圾邮件攻击。
华尔街巨头富国银行、富达资本、美国银行,全球最大的网络支付平台贝宝Paypal,互联网企业巨头谷歌Google、脸书Facebook微软Microfost等发起订立一套防止诈骗邮件的行业标准。
这种新的管理手段号召电子邮件提供商和使用电子邮件的大企业之间广泛合作,使用两种2012年之前就已经开发但并未获得广泛应用的邮件安全认证技术,发送者安全框架SPF(Sender Policy Framework)和域名关键字认证邮件DKIM(DomainKeys Identified Mail)。为此,发起者成立了一家联合企业DMARC.org,由Paypal原安全经理布雷特·迈克道威尔Brett McDowell担任主席。DMARC是Domain-based Message Authentication, Reporting and Conformance (域名信息认证,报告与一致性)的缩写,概括了这家联合企业的性质——防止假冒域名邮件诈骗。
按照美国零售商家得宝Home Depot与塔基特Target百货公司的数据,2013年两家公司因为遭受黑客攻击,有1亿张信用卡的信息涉嫌泄露。仅家得宝一家公司因为客户信用卡数据遭窃一年间就牵连社区银行和信用社为此支付了1.6亿美元换卡成本,而家得宝估计自己公司也因此需要额外支付6200万美元成本。
网络在线购物平台是黑客重点攻击的目标之一,全球顶尖网商平台eBay就曾经遭遇过网络防御战滑铁卢。2014年6月,eBay向全球客户发出警告,要求客户修改自己的账户密码,并且用强制重新认证方法敦促eBay客户做这件事。
eBay对外宣布,其管理系统在2014年2~3月间被网络黑客攻破,黑客窃取了“几位”管理员工的账户及登录密码,进而盗取了大约1.2亿个eBay活跃买家或者卖家的账户信息与登录密码。此消息引发舆论哗然,认为eBay行动迟缓,发现攻击行为花了数月,又延迟两周才通知客户。有分析认为,eBay在有意缩小事件的影响,轻描淡写地说“仅有少数员工登陆信息泄露”,但如果造成的损失巨大,却足以毁掉eBay本身。
eBay则强调,其网络支付平台贝宝Paypal(相当于阿里巴巴的支付宝)系统未被攻破,最关键的环节是“安全”的。但也有分析认为,泄密的eBay客户数据即便不是用于在eBay(Paypal)上偷窃,也有可能被用于在银行网络或者企业网络作案,因为客户信息中包括客户常用的邮箱、实名和地址(用于eBay交易收货发货)、电话号码等等。
根据电信业公司Verizon进行的调查,网络数据被偷窃的案件,70%并非由被窃公司自己发现的而是由外部(如客户)发现后反馈给被窃公司。还有分析认为,由于数据被窃的公司或者机构顾及公司声誉,忌讳负面消息影响股价,从而有意识地淡化甚至隐瞒遭到网络攻击的信息,客观上也会助长攻击者的气焰。
华尔街金融巨头摩根大通JPMorgan Chase 2014年9月曾经宣布,其公司网络当时遭到过一波“大规模网络攻击”,甚至惊动了FBI和CIA介入调查。根据大摩CEO贾米尔·迪蒙Jamie Dimon的说法,大摩对此已经“习以为常”,大摩的公司网络在2013年遭到“数万次”攻击。
比较中立的观点认为,对西方金融系统进行的、带有政治目的的攻击,技术含量都相当低,起不到瘫痪金融网络的作用。相反,能够有效攻入金融系统网络、具有相当高技术含量的网络攻击行为,背后的目的只有一个:偷窃有价值的信息,从而盗取大量资金。
由于磁卡银行卡的先天缺陷,骗子可以复制客户信息并且写入空白磁卡,刷卡或者网络转账盗取客户钱财。这个漏洞每年造成移动网络支付领域和POS机消费多达140亿美元的金钱损失,解决的办法是采用难以破解的微芯片银行卡保护客户信息,但多年来这个方案推广迟缓,原因在于银行和商家与消费者谁来承担芯片卡的换卡成本。
全球最大的信用卡公司维萨Visa准备推广和研发一套新的移动支付安全系统,系统基于维萨现有的维萨安全商户网络认证,采用所谓令牌Tokenization加密软件,更与苹果公司的Apple Pay移动支付终端软件结合,利用苹果系统的封闭性,每次刷卡或者移动支付时,苹果手机会发出一串虚拟令牌密码(苹果手机本身有唯一的认证码),只有维萨的服务器才能够验证这个虚拟令牌,维萨卡完成移动支付或刷卡支付的私密性大大提升成为一个问题。
《小康•财智》2015年第09期
