原文,翻译 Meredith,87女,自由译者。嗜茶饮,爱好阅读音乐。

网络上目前正进行着各种各样银行窃取数据、信用卡账号、邮箱账号和密码的交易,而且这一数量大得惊人。我们的记者吉米·盖尔(Jim Giles)探访了这一隐蔽于网络的世界。

多么怪异的事情!今年早些时候,我收到了从银行寄来的备用信用卡。我并没有向我的银行申请,而他们也只是含糊地提到了“安全”隐患,别无其他明确解释。

我到现在还不明白他们为什么替我更换了信用卡,但是有种预感:这和位于新泽西的Heartland支付系统公司有关,它们的电子数据曾大量泄漏。作为销售商和信用卡公司的中间机构,Heartland每个月处理的交易多达100万次。众所周知,2008年三月份的某日一伙儿黑客突破了该公司的网络防御系统。在接下来的四个月内,他们用自己安装的软件把数以亿计的信用卡和借记卡数据传送到了Heartland外部的计算机上。

和其他很多人一样,我一开始错过了这个事关Heartland的新闻——那天正好是巴拉克·奥巴马宣誓就职的日子,算是有点关系吧。但是得到这条迟来的消息之后,我开始考虑如果我的信用信息就在其中,会有什么后果。我打电话去Team Cymru,这是一家位于伊利诺斯州柏立脊的网络安全公司。几个星期后,在网络犯罪专家斯蒂夫·桑托雷利(Steve Santorelli)和莱维·龚德而特(Levi Gundert)指引下,我见识了这一庞大的不为人知的地下犯罪网络,它的渗透范围无所不在,已经到了无法控制的局面。

clip_image002

* 所有交易人员的名字均以化名代替.

这一地下组织的准入门槛很低。它有线上聊天室和网络论坛供盗窃信息公开出售,并且向人们提供完备的能够散播各种网络病毒的软件。网络安全公司赛门铁克(symantec)的主管特纳来自加拿大加利市,他向记者透露,“这一行为涉及到几十亿的经济损失,它已经组织得相当完备,犯罪人员需要的只是寻找买家。”

在此之前情景是不一样的,早期黑客犯罪需要极高的技术。但自从有组织的犯罪团伙介入之后,黑市成为其中介,每个人都可以轻易在这里找到一份与网络犯罪有关联的职业。

当桑托雷利和龚德而特把我带进聊天室的时候,我立刻就收到了信息。

<辛奇(Cinch)>

我有刚刚到手的英国的CVV2。

我的向导们解释,这个叫辛奇(Cinch)*的犯罪人员正在兜售英国信用卡的信息。“CVV2”意味着他掌握着包含了信用卡号,到期时间,发票址和信用卡背面的三位校验码在内的全部信用卡信息,拥有了这些你就可以网上消费了。根据信用额度,窃取信息的来路和购买数量的不同,它的价格在50美分到12美元之间不等。

龚德而特猜测,辛奇这样的人们通过用黑客手段攻击线上零售商或者像Heartland这样的中间机构,从而获得上述信用信息。线上零售商通常采用的是铜墙铁壁般的电子防御技术。但是黑客发现攻击漏洞的能力惊人地强大,一旦他们获得机会进入,就会盗取信用卡信息然后进行出售。零售商们根本不可能知道有人竟然越过了他们的防御系统。

据赛门铁克估计,近三分之一的黑市交易为各种各样的信用卡信息交易。在我和桑托雷利和龚德尔特交谈期间,一条更为震惊的信息出现了。

<卢夫斯(loopz)>

英美信用卡第一轨、第二轨抛售

卢夫斯(loopz)抛售的是CVV2,外加第一轨信息(存储在卡片磁条里的信息)和第二轨信息(大部分欧洲磁卡的芯片中的存储信息)。

这是更有价值的数据。得到这些东西之后,犯罪人员便可以克隆卡片,在任何地方消费。制卡设备在两万到三万美元之间不等,但购买设备在法律上是允许的。如果设备过于庞大,交易人可以以每张卡片几美元的成本,把这些数据用邮件发至专门的制卡人员那里,由他们制作然后邮寄返回。

我给卢夫斯发送了一条信息,询问价格以及卡片是否可用。几分钟后我得到了回复:他手头有十份数据,每份价格15美元。

对于可以刷出几千美元的这些数据,这个价格似乎低得不可思议。过去的几个月里,卢夫斯可能已经收到过很多这样的问询。和别的市场一样,这个市场也受供求关系影响,最近的价格大幅度地下跌。这其中的缘由很难说清楚,但经济衰退不可能是原因之一:按照特纳的说法,信用卡伪造行业不会受到经济危机影响。桑多雷利猜测,这和Heartland泄露的大量数据充斥着黑市有关联。

然而和所有的交易一样,这里面的购买者也要谨慎行事。和卢夫斯交易很有可能最后钱财两空。桑多雷利说,这个聊天室里面百分之九十的售卖人都是骗钱的,他们只会携款而逃。为了遏制这种行径,很多聊天室的管理员设置了信誉等级,这和你在ebay或者Amazon里看到的那种没什么两样。这个聊天室里有340个人,大多跟卢夫斯一样没有信誉等级。但有少数的账号名字后面会有一些彩色标识,这表示在先前的交易中,他们积累了一定的信誉记录。信誉度从黄色到蓝、绿、红依次递增。我想这就是窃贼们表示荣誉的办法了吧。

这个聊天室里有不少的“可信赖”交易人,其中有一个叫网虫的,他的信誉标识为蓝色。

<网虫(netter)>

8美元出售美国信用卡Fulls数据:CVV2信息,SSN,MMN和DOB。

网虫显然网钓了他人的个人身份信息。Fulls是行话,它的数据信息不仅包括信用卡数据,还有更多的个人信息,其中的SSN,MMN和DOB分别是社会保险号,母亲娘家姓氏和出生日期的缩写。犯罪人员可以利用这些信息申请信用卡,借贷甚至开户洗钱。

这些个人信息在Heartland这样的销售系统里通常是没有的,但黑客极其容易从消费者那里骗到。龚德尔特说,几乎可以肯定这些信息是网钓来的。他指的是犯罪人员通过伪造和各大银行网站几乎没有什么两样的站点,引导消费者浏览这些网页,然后骗取他们的个人信息。

在仿冒网站上骗取信息听起来很复杂,五年前的确如此。但是非法经济活动也会像电子商务一样日趋成熟。现在一个菜鸟级别的犯罪人员也可以买到作案工具,这其中包括全套网钓软件,还有协助黑客入侵网络服务器用来存放伪造网站的软件,此外是网络扫描器——可以在网络上发现服务器漏洞。我已经在网上看到了数个此类广告,人们还可以买到盗窃来的邮件帐号, 用来申请大量的几乎没怎么有人用的网络账号。

网钓并不是盗号的唯一方法。黑客们冒充被害人的朋友并发送邮件附件,一旦在他人电脑中安置键盘记录器成功后,就能监控受害者所有的键盘操作,并传输至远程目标电脑里。

打击网络犯罪

网络犯罪不会凭空消失,但我们也没有理由坐以待毙。以下是可以让你占得先机的措施:

  1. 使用复杂密码,而不是用像生日和住址这样的个人信息设置密码。安全的密码应该包括大小写字母,数字和其它字符。
  2. 经常更换密码。
  3. 使用新版浏览器、操作系统和反病毒软件,并开启防火墙。如果你使用的是windows操作系统,请设置自动更新安全补丁。
  4. 拒绝从陌生和不信任邮件中下载附件。如果附件来自已知渠道,但未经要求发送,同样应当拒收。

去年,来自德国宝灵曼大学的索尔斯坦•霍尔兹(Thorsten Holz)仔细研究了键盘记录器的工作方式。他和同事们追踪了240台目标电脑,并窥探了其中的70台。他们发现了5700个eBay账号和密码,超过一万个银行账号登录信息以及5700个信用卡账号。霍尔兹估计这些信息的价值达到1600万美元。

那么如果仅仅70台目标电脑就能获取如此巨大数目的钱财,那么整个黑市经济又会涉及多少的财产金额呢?但是因为犯罪分子不做财务报表,所以很难得到确切数目。在众多的独立调查当中,来自伯克利加州大学国际计算机科学研究院的沃恩•帕克森(Vern Paxson)曾于2006年对一个网络聊天室里的交易进行了为期七个月的监控。他观察了超过1300万条信息,它们来自10万个不同名字。每天,多于400个信用卡账号在此发布,所提供的盗窃银行账号涉及财产多达上百万美元。总共有4000个左右的有效社会保险号码发布。综合涉案金额,据帕克森观察,多达9300万美元。

几乎可以肯定,现在的黑市经济比上面的调查中涉及的要大得多。赛门铁克在2007-2008年度针对一个抽样聊天室做了为期一年的调查,其中涉及的财产金额(包括信用卡信息,银行账号和其它盗窃信息)就多达2.76亿美元。

犯罪分子孤军作战就可以发家致富,这一点都不会让人吃惊。比如说,最近美国政府正在尝试从黑客“CumbaJohnny”艾尔巴特•冈萨雷斯那里没收165万美元的现金,一所迈阿密的公寓大楼和一辆宝马。去年八月,他和十个来自美国,中国,白俄罗斯,乌克兰和爱沙尼亚的同谋一同受到指控。

这样在聊天室里看着他们交易让我觉得很不安。尽管交谈都是公开的,我还是觉得自己在窃听:就好像在窃听一个团伙在讨论抢劫银行一样。但两者有一个重要的差异:在现实世界里,我可以打电话报警并且指认密谋者。而在这里追踪那些像辛奇和网虫这样隐匿在用户名下的人几乎是不可能的事情。

第一层匿名保护来自运行聊天室的服务器,经过编程它可以掩盖交易者的真实身份。我在服务器查询卢夫斯的资料,得到的却是这些:

< >

loopz@xxxxxxx-6C3F616C.adsl-

static.isp.belgacom.be

就是拿到专家那里,除了能一眼看出聊天室的服务器在故意隐藏交易者的身份,这些东西也没有多少意义。返回信息的最后一部分暗示卢夫斯可能通过Belgacom——一家布鲁塞尔网络服务商连接网络。但这也没法保证,因为黑客有很多种方法掩盖自己的上网路径。有些人用他们租借的合法服务器取代家庭电脑传递信息,另一些人用bots——偷偷放到别人电脑上的木马程序——来帮他们发送信息。任何一种办法都让执法人员很难确认发送信息的人到底在哪里。

非法交易

追踪聊天室服务商同样困难,我启用了正规搜索——whois查询聊天室域名。结果只是发现了他们很擅长讽刺:他们以纽约州刑事司法服务处的名字和域名注册了这个聊天室。

像FBI下的网络安全小组这样的网络执法专家们有一套更为高明的方法查询聊天室服务器。但是追寻到最后,线索往往指向中国或俄国这样的国家,外事部门需要花费很多的时间和当地警方合作办案。安全专家认为好的国际合作已经取得了战果,像去年就逮捕了两个十份重要的土耳其黑客。然后总是有一些政府,不愿意与西方当局合作,而正是他们那里生活着许多的网络犯罪的受害者。

如果没有合适的技术支持,执法人员只能用传统的侦查方式,比如说派遣卧底和安排线人。如果犯罪人员使用了盗窃信用卡购物,警察同样可以跟踪他们查到交易链。

所有的这些技巧都在近几年侦破的大型案件中起到了作用。例如,2007年九月逮捕的“冰人”马克思·贝特朗(Max Butler),此人是洛杉矶的交易人,他因运作名为“信用卡交易市场”的网站并且以个人的名义卖出上万张信用卡账号而受到警方指控。一个月之前,一个美国的秘密调查服务机构就一下子逮捕了11个人,联邦政府官员认为这是有史以来最大的打击身份信息盗窃和黑客行为的案件。

这样的胜利不仅仅是卡片发行商和销售商,也是值得我们所有人庆祝的。如果你的信用卡遭到黑客洗劫,买单的是前面二者,而最终会转嫁到消费者身上。所以到最后,我们都会为辛奇和网虫这样的人的罪恶所得付出代价。

如果我们采取措施维护自己的利益(见图:打击网络犯罪),损失则会减少。但在巨额利益的驱动下,危险不会消失。桑多雷利表示:没有打击犯罪的致命武器,我们只能给他们增加一些难度,但永远没有办法阻止他们。■

驻洛杉矶记者吉米·盖尔报道

0
为您推荐

17 Responses to “[小红猪]售价15美元个人身份信息”

  1. xiao hu说道:

    haha, sofa!!

  2. DNA说道:

    去年我们学校给所有雇员投保的医疗保险公司就被黑客勒索上百万美元,说是窃取了公司所有投保人的个人信息。在勒索信里他们列出了十几个人的SSN,威胁如果保险公司不给钱,他们就把所有投保人的个人信息逐步释放出来。

    如果我的SSN被黑客释放出来,被人拿去申请信用卡、贷款,我就完了。。。

    • 云无心说道:

      有了个人信息申请信用卡问题不大,但是贷款希望不大。要想从现在的银行贷出前来,鬼子们一般都会要你的收入财产雇主信息。。。

  3. 杨友三说道:

    系统越复杂,漏洞也越多。

    大家要仔细保护好自己的个人信息。

  4. perry说道:

    Symantec应是美国加州的企业。

    见此:
    http://www.symantec.com/about/profile/contact.jsp

    Worldwide HeadquartersCupertino, USA
    20330 Stevens Creek Blvd.
    Cupertino, CA 95014
    USA
    Phone: +1 408 517 8000
    Fax: +1 408 517 8186

    • Meredith说道:

      这里确实是我翻译错了,十分抱歉……

      这一句话应改为

      “网络安全公司赛门铁克(symantec)的主管特纳来自加拿大加利市,他向记者透露,“这一行为涉及到几十亿的经济损失,它已经组织得相当完备,犯罪人员需要的只是寻找买家。”

  5. mapletian说道:

    安全啊,最近刚看了一本书,Perfect Password,里面介绍了一些设立密码的技巧,挺好玩的

  6. [...] 小红猪翻译小分队新一期:《便宜卖啦,你的“身份”就值15块》! [...]

  7. yxy514说道:

    做贼容易,防贼难啊……

  8. Meredith说道:

    还有《环球科学》六月份的一文,是从另一个角度分析信用卡信息盗窃,那个更出奇不意啊~~

  9. 耳然说道:

    表格数据是截屏过来的。但是看样子应该是自己在Excel里面手工输入了一次,为啥不直接复制过来呢。

  10. Marvin P说道:

    我的信用卡有张是在听起来像Shitty Bank的某银行开的,此次风波中我也被原因含糊地强行换了新卡。

  11. [...] 原文,翻译 Meredith,87女,自由译者。嗜茶饮,爱好阅读音乐。她的另一篇译作在这里。 [...]

  12. [...] 原文,两位译者,Meredith,她的更多译作见这,那;以及frank01(某男,属松鼠的,喜读无用但有趣之书)。 [...]

  13. [...] 译作1 译作 2 译作3 [...]

Leave a Reply