網絡竊賊防不勝防

比較中立的觀點認為，對西方金融系統進行的、帶有政治目的的攻擊，技術含量都相當低，起不到癱瘓金融網絡的作用。相反，能有效攻入金融系統網絡、具有相當高技術含量的網絡攻擊行為，背后目的只有一個：偷竊有價值的信息，從而盜取大量資金。

黑帽神出鬼沒

在網絡詐騙案例中，有一個似乎無處不在的身影——黑客。“黑客”一詞可以溯源到英文單詞Haker，原本指技藝高超的計算機軟件專家、工程師、發燒友，他們喜好挖掘、發現互聯網軟件的漏洞。基于如何處理被這些高手們發現的漏洞派生出兩個分支，一個是代表正能量的Haker或者別稱“白帽”，往往成為互聯網技術漏洞的修補者。一個是體現負能量的黑帽Black Hat或者稱Cracker，是互聯網漏洞的利用者，算是互聯網信息小偷。提起黑客，一般都聯想到Cracker。

黑客大都利用偷來的信息賺錢，他們往往是互聯網詐騙食物鏈的上游食客，其收益來自下游信息買家，是針對面對被騙者的騙子，而某些互聯網詐騙團伙的發起者本身就是黑客。

2014年11月，一樁網絡攻擊事件被美國媒體炒得沸沸揚揚，受害者是總部在美國的著名娛樂公司索尼影業娛樂Sony Pictures Entertainment，索尼影業的杰作有倍受熱捧的多集電影《超凡蜘蛛人》、《絕命毒師》等等，在業內地位不凡。2014年11月24日，在網上自稱Guardians of Peace（和平衛士GOP）的黑客侵入了索尼影業的公司網絡，竊走大量索尼影業服務器硬盤中存貯的數據。

問題還在于GOP黑客不光是竊取數據，還留下了惡意軟件，修改索尼影業的辦公軟件啟動畫面，用的是一段索尼影業出品的恐怖片的片段，然后把索尼公司高管的頭像嫁接到畫面中被“割下”，更惡劣的是GOP黑客還在該公司不少電腦中植入惡意木馬，令電腦自行啟動，造成公司電腦和網絡系統癱瘓，內外在線服務中斷，不得不雇請知名網絡安全公司FireEye幫助恢復公司系統及數據庫。

幾日之后，GOP在Pastebin網站發布了一批自稱來自索尼影業公司服務器的資料，最具震撼力的資料是索尼影業員工、包括高管的個人信息，如內部網絡賬戶密碼、社會保險號碼、薪資金額（17位高管的年薪超過100萬美元）、員工績效評價等等私密信息，據GOP稱其竊取到手資料的容量多達數十T。

被黑客黑的索尼影業并非首例，更非孤例。據不完全統計在索尼影業之前美國有數千家企業的網絡及服務器被黑客攻陷過。分析認為，絕大多數被攻擊的企業都“羞于啟齒”被在線攻擊事件，因為企業的客戶、股東甚至競爭對手都有可能對這種倒霉事做負面解讀，導致生意流失，股價下跌。

一些在通信技術和互聯網領域赫赫有名的大公司倒是明確承認了遭受黑客攻擊的事實，例如蘋果、臉書、推特、谷歌等等。

著名網絡安全服務商麥克菲McAfee在2011年宣稱，他們發現了一個叫Operation Shady Rat（暗鼠行動）的大規模互聯網間諜行為，涉及70的家機構。麥克菲的一位副總認為：“你可能想到的任何一家上規模的、有商業秘密的、有知識專利的公司的網絡，都已經被侵入過，沒有被侵入的也逃不掉，然而大多數公司并不知道自己的網絡被偷窺，也不清楚造成了多大危害。”

在被媒體報道的機構名單中，算得上有頭有臉的不在少數，如跨國石油能源巨頭埃克森美孚公司、荷蘭皇家殼牌公司、BP、康菲石油公司、英國天然氣集團、切薩皮克能源等，體育組織國際奧委會，鋼鐵公司安賽樂米塔爾，飲料巨頭可口可樂等等。

一個典型案例是硅谷數字圖像處理軟件提供商Adobe Systems Incorporated，訪問Adobe網站或者購買其產品需要注冊賬戶。2013年11月，媒體爆料，一份包括1.2億個Adobe賬戶信息（賬戶名、賬戶捆綁電子郵箱、登陸密碼等）的文件一月前被放在網上“共享”。網絡安全專家認為，“任何人都可以無限制地下載此份文件”。

備受詬病的是Adobe公司的響應遲鈍，三周后才開始通知可能受影響的客戶，有些客戶10周后尚未收到Adobe的提醒。Adobe的發言人解釋說，因為向客戶發送警示電子郵件的過程比想象的費時。Adobe發言人還說，被攻擊的數據庫是一個即將廢棄的備用系統，其中的有效數據遠少于媒體的說法。

然而黑客的攻擊目標遠不止公司和公共機構，防衛能力更差的個人電腦及個人互聯網應用被攻擊的規模和范圍更為龐大。

據互聯網安全專家披露，2011年，全球有數百萬臺個人電腦的桌面曾經彈出過這樣的警示：“您將無法啟動這臺電腦和訪問這臺電腦的文件。”警示下面有署名，署名有“FBI（美國聯邦調查局）”、“（當地）警察局”、“ Anonymous（一個黑客組織）”等數十種花樣，問題是電腦的主人可能真的就從此無法啟動自己的電腦。解決的方法是在這條警示的下方，把一筆錢匯入指定賬號。

這其實是一個黑客木馬病毒軟件，也稱“贖金軟件”，相當于互聯網的綁架者，綁架對象是電腦及其主人。據互聯網安全專家追蹤統計，全球每年被贖金軟件勒索的金額多達500萬美元以上（超過3000萬元人民幣）。惡劣的是，受害者匯出贖金后，綁架者往往不給受害人的電腦解鎖。

贖金軟件攻擊最初于2009年出現在東歐國家，由于收入不菲，這些黑客犯罪團伙轉向更為富裕的歐美發達國家。據統計，到2012年年底，歐洲有16個贖金軟件團伙。

2013年2月，歐洲刑警組織破獲一個贖金軟件犯罪團伙，抓獲團伙成員11人。警方稱該團伙每年通過贖金軟件勒索全球受害者達100萬歐元（約合670萬元人民幣），受害者遍及全球，難以計數。這個團伙的頭目是一俄羅斯人，年齡27歲，此人是電腦高手，專門編寫贖金程序。

2014年6月，一個規模更大的黑客犯罪組織被美國聯邦調查局FBI聯合多國警方破獲，該組織的總部設在烏克蘭基輔和頓涅茨克，其主要作案平臺是“僵尸網絡”中心，作案時間長達5年。該組織利用名為“Gameover Zeus”（宙斯）的病毒，入侵全球多家企業和超過50部電腦，竊取相關信息，盜竊1億美元以上。該組織還利用“Cryptolocker”（贖金軟件）綁架超過25萬臺電腦，勒索到1500余萬美元。

招數五花八門

電子郵件是全球政商界常用的辦公和商務網絡工具，電子郵箱最大的煩惱來自垃圾郵件，大多數垃圾郵件是“干凈”的，而垃圾郵件已經成為印度的一大互聯網產業。世界頂級互聯網安全公司卡巴斯基Kaspersky 2012年的調查指出，全球四分之一的垃圾郵件是印度生產，稱印度是“世界垃圾郵件之都”。

卡巴斯基同時還指出，垃圾郵件中附帶的鏈接、圖片之類的附屬體很可能被植入木馬病毒，這些病毒有可能會偷窺電腦中的各種密碼、賬戶信息（包括網絡支付），成為偷竊者的獵物。2012年印度逮捕了6名外籍人士，指控這些人企圖通過垃圾郵件發送虛假中獎信息，詐騙上當者的錢財。

在美國，退休在家的老年人往往是詐騙團伙的目標獵物，騙子采取電信+互聯網的模式行騙。

電話推銷在美國有悠久的傳統。有一個美國老太太接到一個“中獎電話”，電話那頭的人員自稱是某項有獎賽事機構，告知老太太她中了一筆巨獎，需要往老太太的銀行賬戶“打錢”，但需要提供自己的銀行賬號和信用卡號碼（二者缺一不可），老太太信以為真，把銀行賬戶和信用卡號碼提供給對方。

騙子們為阻止老太太向親屬咨詢和“報喜”，利用網絡將老太太家的電話號碼與一個自動語音發送軟件關聯，不停地向全球各地撥打垃圾電話，切斷老太太與外界的聯系，然后將老太太的銀行賬戶、信用卡與一個貝寶Peypal（類似中國的支付寶）賬號關聯，通過網絡支付系統轉賬偷走老太太銀行賬戶中的4萬美元（約合24萬元人民幣）。類似的案例在美國經常發生，不勝枚舉。

全球商界流傳過一個 “尼日利亞預付款騙局”的名詞，緣起大量來自尼日利亞的電子“商務”郵件。這些郵件的內容基本是：由于尼日利亞內需不足，通貨膨脹率長期居高不下（例如38%），貨幣貶值嚴重，有大量原油（尼日利亞是產油大國）待價而沽，價格以美元計價，較之國際油價相當“便宜”，如果成交，需交一筆“預付款”。結果可以想象，預付款石沉大海，原油子虛烏有，而每天成千上萬的預付款郵件發往全球。

微軟一位網絡研究員分析，雖然現在人們對來自尼日利亞的郵件談虎色變，但總有“漏網之魚”會響應這些尼日利亞郵件，成為潛在受騙者。

2013年5月，美國人波多夫斯基Budovsky在西班牙被警方控制，這個人被抓牽涉到100萬網絡賬戶和與這些賬戶有關的60億美元，這些錢屬于全球70個國家的公民。

波多夫斯基2005年創辦了互聯網支付公司LR（liberty reserve），美國警方認為此人多年來一直從事洗錢交易，于2006年因其經營的Gold Age公司涉嫌非法資金交易將其逮捕并判監禁6個月（涉案金額3000萬美元）。出獄后波氏干脆放棄美國國籍成為哥斯達黎加公民，并創辦LR。

LR最大的特點是資金可以匿名流轉，LR平臺收取手續費。換言之，LR與中國人熟知的“地下錢莊” 基本類似。在LR開戶僅需填寫所謂姓名和年齡（未經核查），甚至有用“俄羅斯黑幫”為名注冊的，LR對每筆交易收1%手續費，外加0.75美元“保密費”（抹掉交易記錄無法追蹤）。

更為巧妙的設計在于LR并非自己擁有資金池來實現客戶的資金充值、提現、兌換功能，而是掛靠在其他第三方支付平臺上，利用別的資金交易系統為LP的賬戶服務。這種多重架構更具隱蔽性，更符合相當多客戶的需要。

波多夫斯基被捕的同時，LR的客戶在其網站主頁上僅能看到“該網站已經被美國檢方接管”一行大字。分析認為，LR至此已經壽終正寢，但客戶的大筆資金（有些客戶資金高達上億美元）有可能被長期凍結直到結案（美國的司法程序周期可能會很長），有自認為做“正當交易”的客戶準備起訴LR乃至美國政府。

當越來越多的人通過互聯網交友網站尋找感情伴侶甚至婚姻時，“Sweetheart Scam”（甜心騙局）應時而生。

2008年， 58歲的英國男子亨特被甜心騙局中的禿鷲盯上。亨特在交友網站上結識了一位Rose（玫瑰），這位玫瑰自稱來自尼日利亞，被尼日利亞玫瑰迷倒的亨特徹底陷入喪智狀態，玫瑰想到英國來與亨特聚首，亨特就不斷匯錢資助，前后總共被玫瑰索取了82000英鎊（約下78萬元人民幣），亨特因此債臺高筑，選擇臥軌自殺，然而至始至終亨特都未曾與這朵昂貴的玫瑰謀面。

英國公平交易屬曾經專門針對甜心騙局發出公告，提醒網絡上有大量甜心騙子，他們注冊虛假信息，用虛假照片、有吸引力的個人身份資料，勾引到合適的對象后就以各種各樣的借口要錢。

甜心騙子要錢的借口基本上都是“急需”：妄稱親人得急病住院急需住院費、辦理簽證、購買機票前來“會面”需要錢、自己從事的行業或者發現一個能夠賺大錢的項目急需啟動資金或者周轉金等等。

影響與防御

為減輕垃圾郵件導致的網絡詐騙帶來的危害，2012年開始，全球處理垃圾郵件詐騙的兩個核心領域——互聯網郵件服務提供商企業和金融業聯手，推廣新的郵件安全標準盡可能阻擋垃圾郵件攻擊。

華爾街巨頭富國銀行、富達資本、美國銀行，全球最大的網絡支付平臺貝寶Paypal，互聯網企業巨頭谷歌Google、臉書Facebook微軟Microfost等發起訂立一套防止詐騙郵件的行業標準。

這種新的管理手段號召電子郵件提供商和使用電子郵件的大企業之間廣泛合作，使用兩種2012年之前就已經開發但并未獲得廣泛應用的郵件安全認證技術，發送者安全框架SPF（Sender Policy Framework）和域名關鍵字認證郵件DKIM（DomainKeys Identified Mail）。為此，發起者成立了一家聯合企業DMARC.org，由Paypal原安全經理布雷特·邁克道威爾Brett McDowell擔任主席。DMARC是Domain-based Message Authentication， Reporting and Conformance （域名信息認證，報告與一致性）的縮寫，概括了這家聯合企業的性質——防止假冒域名郵件詐騙。

按照美國零售商家得寶Home Depot與塔基特Target百貨公司的數據，2013年兩家公司因為遭受黑客攻擊，有1億張信用卡的信息涉嫌泄露。僅家得寶一家公司因為客戶信用卡數據遭竊一年間就牽連社區銀行和信用社為此支付了1.6億美元換卡成本，而家得寶估計自己公司也因此需要額外支付6200萬美元成本。

網絡在線購物平臺是黑客重點攻擊的目標之一，全球頂尖網商平臺eBay就曾經遭遇過網絡防御戰滑鐵盧。2014年6月，eBay向全球客戶發出警告，要求客戶修改自己的賬戶密碼，并且用強制重新認證方法敦促eBay客戶做這件事。

eBay對外宣布，其管理系統在2014年2～3月間被網絡黑客攻破，黑客竊取了“幾位”管理員工的賬戶及登錄密碼，進而盜取了大約1.2億個eBay活躍買家或者賣家的賬戶信息與登錄密碼。此消息引發輿論嘩然，認為eBay行動遲緩，發現攻擊行為花了數月，又延遲兩周才通知客戶。有分析認為，eBay在有意縮小事件的影響，輕描淡寫地說“僅有少數員工登陸信息泄露”，但如果造成的損失巨大，卻足以毀掉eBay本身。

eBay則強調，其網絡支付平臺貝寶Paypal（相當于阿里巴巴的支付寶）系統未被攻破，最關鍵的環節是“安全”的。但也有分析認為，泄密的eBay客戶數據即便不是用于在eBay（Paypal）上偷竊，也有可能被用于在銀行網絡或者企業網絡作案，因為客戶信息中包括客戶常用的郵箱、實名和地址（用于eBay交易收貨發貨）、電話號碼等等。

根據電信業公司Verizon進行的調查，網絡數據被偷竊的案件，70%并非由被竊公司自己發現的而是由外部（如客戶）發現后反饋給被竊公司。還有分析認為，由于數據被竊的公司或者機構顧及公司聲譽，忌諱負面消息影響股價，從而有意識地淡化甚至隱瞞遭到網絡攻擊的信息，客觀上也會助長攻擊者的氣焰。

華爾街金融巨頭摩根大通JPMorgan Chase 2014年9月曾經宣布，其公司網絡當時遭到過一波“大規模網絡攻擊”，甚至驚動了FBI和CIA介入調查。根據大摩CEO賈米爾·迪蒙Jamie Dimon的說法，大摩對此已經“習以為常”，大摩的公司網絡在2013年遭到“數萬次”攻擊。

比較中立的觀點認為，對西方金融系統進行的、帶有政治目的的攻擊，技術含量都相當低，起不到癱瘓金融網絡的作用。相反，能夠有效攻入金融系統網絡、具有相當高技術含量的網絡攻擊行為，背后的目的只有一個：偷竊有價值的信息，從而盜取大量資金。

由于磁卡銀行卡的先天缺陷，騙子可以復制客戶信息并且寫入空白磁卡，刷卡或者網絡轉賬盜取客戶錢財。這個漏洞每年造成移動網絡支付領域和POS機消費多達140億美元的金錢損失，解決的辦法是采用難以破解的微芯片銀行卡保護客戶信息，但多年來這個方案推廣遲緩，原因在于銀行和商家與消費者誰來承擔芯片卡的換卡成本。

全球最大的信用卡公司維薩Visa準備推廣和研發一套新的移動支付安全系統，系統基于維薩現有的維薩安全商戶網絡認證，采用所謂令牌Tokenization加密軟件，更與蘋果公司的Apple Pay移動支付終端軟件結合，利用蘋果系統的封閉性，每次刷卡或者移動支付時，蘋果手機會發出一串虛擬令牌密碼（蘋果手機本身有唯一的認證碼），只有維薩的服務器才能夠驗證這個虛擬令牌，維薩卡完成移動支付或刷卡支付的私密性大大提升成為一個問題。