李忠东

Twitter：诈骗触目惊心

近年以来，不少犯罪分子利用短视频平台传播快、传播范围广等特点，对多种多样的行骗理由进行包装并广泛宣传，再将受骗者引流到社交平台，继而实施诈骗。2020年7月16日凌晨3点左右，Twitter上100多位知名人士的认证账户被诈骗犯盗窃。攻击始于区块链行业，Binance、Coinbas、BitFinex 和Gemini等多家知名加密货币龙头企业的Twitter账号全遭劫持。后来微软创始人比尔·盖茨、亚马逊创始人杰夫·贝佐斯、彭博社创始人迈克尔·布隆伯格、苹果官方账号、特斯拉CEO埃隆·马斯克、美国知名歌手耶·维斯特、美国前总统奥巴马和当时的总统候选人约瑟夫·拜登等人的账号也被盗窃。

犯罪嫌疑人通过短视频，逐一发布相同的比特币钓鱼诈骗信息：“为了感谢大家（支持比特币），现在对大家进行回馈。你只要给以下地址转账1000美元，我就向你返还2000美元。活动仅限半小时！”他们利用民众对Twitter的信任以及名人的公信力，让大家认为这次活动是真的。区块链分析公司Elliptic最新统计指出，在攻击进行的3小时內，通过 ChipMixer 和 Wasabi Wallet混币器完成洗钱程序，有等值118000美元的比特币被骗走。

美国司法部7月31日宣布，这起Twitter世纪比特币诈骗案的侦破工作有了实质性的进展，3名涉嫌参与的黑客已被抓获并被起诉。年仅17岁的格雷厄姆·克拉克被认为是该案件的“幕后主使”，他被提起30项重罪指控，具体包括组织欺诈活动、出于欺诈目的使用他人信息以及未经授权访问受保护的计算机系统等。因尚未成年，根据《联邦青少年犯罪法案》，美国司法部已将针对他的诉讼移交给佛罗里达州坦帕市检察官。来自英国的19岁黑客梅森·谢泼德被指控合谋电信欺诈、合谋洗钱，以及故意访问受保护的计算机系统，22岁的美国佛罗里达州奥兰多黑客法泽里被指控协助和教唆他人访问受保护的计算机系统。

美国国税局的网络犯罪调查部门进行了区块链分析，并对比特币交易进行了去匿名化处理，借此追踪到了涉案的黑客。对“只花几周”便破获案件的效率，美国联邦调查局非常满意。Twitter方面也对执法部门的快速行动表达了感激，并表示会继续与官方合作，并定期对外公布调查进展。佛罗里达州检察官安德鲁·沃伦表示：“联邦调查局和美国司法部在全国范围内进行了详尽的调查，在希尔斯堡找到并逮捕了犯罪嫌疑人克拉克。这些犯罪嫌疑人盗用了知名人士的账户，但这些名人并不是主要受害者。诈骗的目标是骗取全国各地的普通人的财产。”

根据Twitter声明中的说法，犯罪嫌疑人通过访问仅内部团队可用的工具，锁定了130个Twitter账户作为攻击目标展开账户劫持，其中有45个账户被黑客重置密码成功登入，发布诈骗讯息推文。Twitter认定，黑客是利用“社交工程攻击”作案的，即蓄意诱骗并操纵几名内部员工来执行某些操作，让他们泄露机密资讯，骗取内部系统访问凭据资格，使得具有密码双因素认证的账户也遭到攻击。此次Twitter黑客攻击事件震惊全球。

YouTube：对部分欺诈行为不作为

2020年7月22日的一份文件显示，苹果公司创始人史蒂夫·沃兹尼亚克在起诉YouTube及其母公司Alphabet没有得到任何反馈后，与其他17名受害者一起再次提出诉讼，要求法院下令上述两家公司立即将诈骗短视频删除，同时要求赔偿。

原告方表示，YouTube几个月以来一直允许骗子使用沃兹尼亚克的头像和名字在YouTube发布的短视频上进行诈骗，致使数百万美元的加密货币丢失。他们在短视频直播中插入欺诈性的信息，让用户相信沃兹尼亚克正在举办馈赠活动，诱使观众发送比特币（或其他加密货币），并承诺双倍的回报。毋庸置疑，当用户发送比特币后根本不可能收到任何钱，骗子因此获得了数百万美元。他们指控YouTube和Alphabet在故意为诈骗者提供有针对性广告的情况下，积极为他们宣传并从中获利。

沃兹尼亚克强调说：“此类骗局已经并将继续对我和其他原告造成名誉损失，如果YouTube能够尽早采取行动阻止这类骗局，事态也不会发展到现在这一步。与Alphabet一样，YouTube似乎也依赖于算法，而且在这些犯罪案件中，违法者不需要付出特别的努力，就能快速达成欺诈目的。”

代表原吿的是位于加州的Cotchett，Pitre & McCarthy律师事务所，合伙人乔·科切特指出，曾被用来宣传比特币空投骗局的名人除了沃兹尼亚克，还有亚马逊首席执行官杰夫·贝佐斯、微软创始人比尔·盖茨、谷歌前CEO埃里克·施密特、比特币公司Coinbase首席执行官布莱恩·阿姆斯特朗、美国电子游戏开发公司Epic Games首席执行官蒂姆·斯威尼、FUBU服装公司首席执行官戴蒙德·约翰以及《富爸爸穷爸爸》作者罗伯特·清崎等。“YouTube的比特币空投骗局规模庞大，而且仍在继续，影响了所有地区的用户。”该律师事务所的另一位合伙人布莱恩·丹尼茨说：“提起诉讼的受害者来自世界各地，包括美国、加拿大、日本、马来西亚、中国以及整个欧洲。”

网络安全公司Adaptiv的首席执行官贾斯汀·李斯特用了一个月的时间，一直在追踪发送到包含埃隆·马斯克、特斯拉或SpaceX等名字的欺诈网址，发现包含一些看似可信的单词、名称或短语，如“1Musk……”。他同时还查到已经报给Bitcoinabuse.com进行诈骗的66个网址。Bitcoinabuse.com是一个公共数据库，专门记录黑客和犯罪分子使用的比特币地址。根据他的研究和来自该网站的数据，总共有214个比特币被发送到包含马斯克名字的欺诈网址，这些大多数由黑客通过YouTube短视频直播共享。

欧盟：制定《通用数据保护条例》

在社交平台上，短视频违法案件时有发生。为了保护用户的利益，欧盟制定了欧洲数据隐私法规《通用数据保护条例》（GDPR）。它是保护欧盟个人数据的法律。根据GDPR，违反一般条款处以1000万欧元—2%企业年收入的罚款;违反关键条款处以2000万欧元—4%企业年收入的罚款。作为目前全球在保护个人数据方面规定最严、处罚最严的法规之一，GDPR适应云计算、互联网、大数据。

据“今日俄罗斯”网站2020年12月15日报道，爱尔兰数据保护委员会（DPC）近日宣布，由于Twitter未能按照GDPR的规定及时公布并妥善记录短视频里一起私人推文公开的数据泄露事件，它被处以45万欧元的罚款。DPC是谷歌和苹果等多家大型科技公司在欧盟的监管机构，因为这是它首次依据GDPR做出的跨境罚款决定，所以备受关注。2019年1月，DPC宣布正在对Twitter泄露数据一事进行调查。此前，Twitter也发生过类似泄露事件：使用Twitter安卓程序的用户在更改账户信息（比如更新电子邮件地址）时，个人信息由于安全漏洞被泄露。在回应GDPR的决定时，Twitter首席隐私官达米安·基兰表示：“我们对这一错误负责，并始终致力于保护客户的隐私和数据，包括通过工作迅速透明地将发生的问题告知公众。”

GDPR要求相关企业必须在管制员察觉到数据泄露的72小时内，通知有关监管机构。此外，还要求服务提供商记录涉及哪些数据、可能受此情况影响的个人以及他们是如何应对安全事件的，以便相关数据主管可以检查其合规性。DPC在一份声明中称，“已发现Twitter违反了GDPR第33（1）条和33（5）条，Twitter未及时将违规情况通知DPC，且未充分记录违规情况”。DPC最初曾考虑对Twitter处以15万—30万欧元的罚款，但奥地利、德国和意大利当局纷纷表示这一处罚不足以发挥重要作用，该机构随后决定加大处罚力度。

编辑：夏春晖  386753207@qq.com