网络犯罪,如何破解
2016-09-29
陈晟
英国情报机构政府通信总部被曝侵犯数百万人隐私,大量参与到美国的监控计划中。
在上世纪中期,人类对于未来的世界有很多的期待和幻想。然而,绝大多数科幻作家都未曾想到的,是一项已经改变了人类社会生存方式的伟大发明:互联网。
毋须赘言,各位读者对于互联网带来的便利,都是有目共睹的。对于现代社会,它就是一条信息的高速公路,让各种信息快捷、便宜地流通起来,其重要性堪比电力的供应。如果某个地区的互联网突然断了,那里的居民瞬间就会感觉像是被丢在了一座孤岛之中。
然而,正如高速公路上会有车匪路霸、碰瓷讹诈的不法之徒,互联网上的各种犯罪也是层出不穷。如何确保信息安全,保护民众的生命、财产不受侵害,制裁这些利用互联网犯罪的宵小,就成了各国执法机关面临的严峻考验。
那么,互联网上的犯罪都有哪些常见的模式,执法机关又该如何应对呢?
信息泄露,无处藏身
相信每位读者,都曾或多或少地接到过诈骗的电话或短信。而如今的电话诈骗早已“产业升级”,那种盲目呼叫,上来就是连蒙带吓的做法,早已是玩不转了,诸如“你的儿子在我们手里”“猜猜我是谁”的老花招,都很容易被轻易识破。取而代之的,是骗子往往掌握了你的大量个人信息,不但能说出姓名、工作单位、电子信箱,更有甚者还知道你最近买了房子、车子,能拿到你的证件照(用于伪造所谓的“检察院通缉令”吓唬受害人)等等。
英国政府通信总部及其他情报机构称已掌握到“伊斯兰国”极端组织成员通过Facebook 和Twitter社交网络轻松与“同盟”联系。
这些诈骗行为背后,就是个人信息的泄漏。一类泄漏的源头,是有关机构的工作人员故意泄漏、买卖客户的个人信息,如房屋中介、金融机构、快递公司的员工恶意搜集并出售客户资料;而另一类泄漏的源头,则是各类网站上的数据被非法获取。
为了享受互联网的便捷服务,我们就不得不在一些网站上用个人信息来进行注册,比如购物网站、租售房网站、等等,包括我们的姓名、住址、电话乃至身份证号码(国外则是驾照、护照号码居多)。这些储存在网站的服务器里的信息,就很容易成为黑客攻击的目标。
比如,美国有个网站叫做Ashley Madison,专门提供婚外约会的特殊服务。2015年8月,该网站被黑,大量用户信息泄漏。同年10月,英国电信运营商Talktalk的数据库被盗,该公司的负责人承认,大约有400万用户的信息可能已经被窃取。
更麻烦的是,这种信息泄漏,容易引发连锁反应。因为很多人在不同的网站登录时,往往会使用同一个电子邮件地址作为用户名;为了便于记忆,密码也设置为相同或相似的。这样,一旦某个网站的注册信息泄漏,这些信息就会在黑客之间被打包转卖,然后被尝试用在别的网站上。如果恰好密码相同,则在其他网站的注册信息也会泄漏,这种做法俗称“撞库”,也就是用偷来的用户信息数据库再去撞大运,有时候往往会有奇效,比如说窃取了用户的聊天软件的登录密码,让信息泄漏的后果更加严重。
而盗窃用户信息,除了用于其他犯罪的工具外,另一种新型的犯罪形态,则是直接敲诈勒索。
上面提到的Ashley Madison网站被黑事件发生后,很多注册用户就收到了一封奇怪的邮件:“XXX先生/小姐,我拿到了你在A.M.网站的用户信息,包括你某年某月在某酒店的约会记录。如果你在某日之前,支付1个比特币的赎金,这些信息就会被销毁。否则,我会深入挖掘这些信息,你就等着传得满天飞吧。”
如果这个用户注册的信息够详细,比如说用了常用的邮箱地址,那这封敲诈信的威力是相当吓人的,嫌疑人完全可能以此为线索继续深挖,从而确定当事人的工作单位、社会关系、社交账号等信息(读者可以试着拿自己的电子邮件地址搜一下,看看能搜到多少信息),弄不好就是鸡飞狗跳、身败名裂。这笔“赎金”,按照当时的汇率算,折合1400多元人民币;只要有1%的被敲诈者支付,金额都会是相当可观的数字。
这里提到的“比特币”(Bitcoin)是一种只能在网上使用的虚拟货币,其最大的特点是完全匿名——以目前的技术而言,执法机关还无法知道某个比特币背后的用户是谁,却不妨碍比特币在不同的用户之间的快速流通。因此,一种新型的网络敲诈勒索案件就应运而生,专门以比特币作为赎金支付的手段,以逃避警方打击。
从2014年开始,一种诡异的敲诈案陆续在世界各地发生:用户某天打开电脑一看,突然发现自己的所有文档文件都被加密了(侵害对象包括WORD、EXCEL、PDF、PS等常用的文字、数据、图片处理软件所用的文件格式),屏幕上一行大标题写着“你的文件都已被加密”(your files are encrypted);标题下面详细的介绍了支付赎金的方法(将一个比特币发给特定的账户),收到钱后就会把解密的密码发给你。
如果你稍有迟疑,勒索的赎金价格就会翻倍;一旦超过了规定的付款时间,则敲诈者就再也不会理你。而你电脑上的图片、文档、资料等等文件,此刻都已经被64位加密而成了人质——这种强加密技术,不知道密码而要强行破解,是非常非常困难的,基本上就等于数据全部丢失;如果这些文件碰巧很重要,又没有备份的话……恐怕也只能选择破财免灾了。
此外,有些苹果用户也遇到类似的敲诈:窃取Apple ID后,谎称手机丢失而将设备锁定,并留下一个联系方式勒索。如果不给钱,苦主手里的苹果手机或iPad就只能变成砖头了。
类似的,美国一些连锁快餐店也接到纸质或电子版的敲诈信,向店老板勒索1个比特币,超过规定时间则加码到3个。嫌疑人威胁说,如果不付钱,他们就会在点评网站上给该餐厅狂打差评;冒充消费者,向消费者权益保护部门投诉该餐厅乱收费;疯狂拨打餐厅的客服热线骚扰;蓄意毁坏餐厅财物;冒充顾客虚假下单订餐,搞得外卖小哥整天空跑;还会给警方和卫生管理部门匿名举报,捏造该餐厅涉嫌提供变质食物、洗钱、逃税等等犯罪线索,反正就是怎么恶心怎么来,自己掂量着办吧。
倘若这些威胁真的付诸实践,尽管也都有相应的办法应对,但给餐厅带来的营业损失和声誉影响,会远远超过1000多元人民币。如果你是店主,你会如何选择?
还有一种网络犯罪的新形式,那就是冒用他人的身份信息(Identity Theft),进行各种网上的活动。
今天,有许多事情都可以在网上完成。而这一点也被一些不法之徒盯上,盗用他人的身份、账户信息,胡作非为之后跑路,给被侵害者留下严重的后患。
比如,马库斯·卡尔维罗(Marcus Calvillo)是美国得州的居民,素来奉公守法。然而,不知道从哪天开始,他有了一堆莫名其妙的信用污点:在多个州有了犯罪记录,甚至包括猥亵儿童的犯罪,妻子随即和他离婚;申请信用卡被拒,理由是他曾经签发过空头支票、欠债不还;找不到工作,老板们总会说“你做过的事情你知道”……一时间,情况就像是《国家公敌》那样狼狈。而2015年,事情总算水落石出:一名墨西哥籍的非法移民费尔·南多,随便从网上买了一套假身份,包括姓名、出生证明和社会保障号码,恰好就是他的。随后,费尔·南多顶着他的身份四处瞎搞,后果却全部算在了他的头上。2016年,费尔·南多在堪萨斯州被判刑1年零1天,但卡尔维罗近二十年来的不幸遭遇,却完全没法获得赔偿了。
加密文件后的敲诈信。
按照美国联邦商务委员会(FTC)的统计,仅在2015年,全美至少就发现了33万起盗用身份进行商务活动的案子,而没有被抓到的数字应该会更大。在我国国内,这类案件目前还不算多,但套牌车、假冒他人身份进行网络小额贷款等违法行为已经频繁出现,需要格外警惕。
独狼行动,网络洗脑
以上两类网络犯罪,主要针对的还是个人和企业;而理由网络进行极端思想传播,危害的则是整个社会的公共安全了。
在9·11事件之后,国际社会普遍加强了对恐怖分子的打击力度,特别是对来自敏感地区的外国人往往会重点监控。相应的,恐怖组织也改变了策略,不再追求多人次、大规模的暴力恐怖袭击,而是鼓励目标国家的居民,进行孤狼式的恐怖活动。
比如,去年12月的加州枪击案中,一对夫妻突然开枪行凶,造成14人罹难;今年6月的奥兰多枪击案,则造成49人死亡;前几天,还有一名极端分子,在明尼苏达州某商场内持刀捅伤8人:袭击者据悉都曾在网上大量接触极端思想。
极端组织通过网络,特别是社交网站兜售黑货,号召这些被洗脑者进行孤狼式的袭击,只需要一根网线便能进行,招募成本相对来说非常地低,但却能有针对性地传播极端思想,还能逃避司法机关的监督,破坏效果相当惊人,对于社会而言则危害极大。
对于这些网络犯罪,传统的刑侦技术,已经有些力不从心了。因此,各国司法机关也在积极地寻找新的手段,能够釜底抽薪地打击网络犯罪。
比如,网络敲诈的嫌疑人或网络黑市的买卖双方,除了使用比特币之外,为了彻底地抹去使用痕迹,往往还会使用一种叫做“洋葱路由”(TOR)的技术。这种技术通过在多个匿名代理服务器之间的跳转,让使用者的真实IP信息隐匿无踪。而2015年底,外媒却爆出消息,美国联邦调查局(FBI)和卡内基梅隆大学的专家合作,拨出100万美元的经费,就是为了找到TOR的缺陷,并借此实现对匿名用户的追踪。尽管还不清楚合作详情,但也是一种很积极的尝试了。
类似的,今年8月份,外媒也传出消息,美国国土安全部(DHS)委托桑迪亚国家实验室进行研究,如何通过特定用户的使用模式、操作习惯,来确定某几个比特币用户实际上是同一个人在使用,借此来获得线索,找到某个比特币用户背后的真实身份。还不清楚这一项目的进展如何,但如果真能成功,则比特币一直引以为傲的“绝对匿名化”,也将不再可靠,对于打击以比特币为手段的敲诈勒索犯罪,应当是一个很好的消息。
钓鱼执法,争议颇大
针对利用网络进行极端主义、恐怖主义和种族主义宣传的犯罪行为,美国警方则采取了一种颇有争议的打击手段:钓鱼执法。
顾名思义,美国的执法部门,会派专人混迹于各个社交媒体和论坛网站,特别是那些臭名昭著、极端分子扎堆的论坛——囿于美国宪法第一修正案的保护,想把它们查禁是非常困难的,因而里头不乏潜在的极端分子。而执法人员则会伪装成极端分子的同情者、支持者,或者是潜在的感染对象,和这些人逐渐混熟。一旦有人想要发动恐怖袭击,执法人员就会尝试和他搭讪,表示会提供帮助甚至是并肩作战。而当搜集到足够证据之后,执法部门就会果断将其逮捕,防患于未然。好几起企图在网上购买爆炸物、制造事端的恐怖袭击案件,嫌疑人都是在交易“爆炸物”时被逮捕的,而所谓的卖家当然就是卧底的执法人员。甚至有一个笑话的说法,如果你要在美国的社交网络上买凶、买武器或爆炸物,十有八九会遇到FBI的卧底。
当然,这种做法也有争议,执法机关是不是在引诱他人犯罪,至少是将犯罪意图付诸实践呢?个人的正当权益和整体的国家安全之间,如何寻得平衡,这个问题还真不容易回答。
还有一些国家,则尝试在技术层面加强监管。比如,9月初,英国的国家通信总局(GCHQ)就宣布,他们将着手建设一个“大不列颠防火墙”(Great British Firewall),抵御那些利用网络进行欺诈、网络攻击、黑客渗入的犯罪行为。当然,这一举动也引发了一些民众的不满,甚至有人质疑这会侵犯到公民个人的言论自由权利。具体效果如何,也只能等时间来回答了。
现代社会是一个法制社会,显然不会容许有法外之地存在。而网络这个新兴事物,技术发展迅猛,许多新的犯罪模式不断出现,让传统的司法机关有些力不从心。然而,正所谓“魔高一尺,道高一丈”,有强大的国家力量作为后盾,有法律体系作为支撑,再加上全民的防范意识提高,相信终有一天,利用网络进行犯罪的嫌疑人也会成为过街老鼠,无处遁形。