美國歷史上最大的黑客入侵和資料失竊案和幾百億美元的「市場」' p: W/ {; B+ o* S U
/ w/ r2 ]/ x3 i! b6 N 【《財經網》專稿/記者何華峰】在超市購物的你正在用信用卡付款。超市門口不遠處的一輛車裡,幾個黑客正在用手提電腦侵入超市的電腦系統。當你的卡劃過超市的POS機,正待收銀員把單子交你簽字時,黑客已經看到了你的卡號、密碼和其他身份信息。根據這些信息,黑客克隆了一個一模一樣的信用卡,然後在自動取款機(ATM)上把你的錢取個精光。
, B1 f+ x2 m+ n
# t0 `# d/ Z8 r1 M 這不是好萊塢的電影鏡頭,而是在美國發生的真實案例。近日,美國宣佈破獲了歷史上最大的一起黑客盜用信用卡和銀行卡資料的案件:一個由11名黑客組成的團伙,竟然從幾家超市竊取了4000多萬個信用卡和銀行卡資料,涉及的金額目前還無法估量。- f# Z' N$ X. ~
1 Z" i4 G7 j2 O# I
黑客利用互聯網盜取信用卡和銀行卡資料,將其轉賣,由買者利用資料製造假卡,將受害者賬戶裡的錢洗劫一空,已經波及全球性,且有了專門的名字,即身份資料盜竊(Identity theft)。在美國,這是目前發展最快的一種犯罪。: B6 ~9 P7 w% Y1 u, ?
2 G8 ?( Y" P c1 L 正是互聯網的低成本和便捷性,使它迅速擴散成為可能。在本案中,11名黑客分別來自美國、中國、愛沙尼亞、烏克蘭、白俄羅斯。他們從美國盜取信用卡和銀行卡資料,轉賣至歐洲。4 B' Y! P' ]! s2 R* i
$ o l/ P4 b5 E/ }' [ 8月5日,美國司法部正式起訴了這11名黑客。# N3 i; n- n6 Q
* x1 w$ v0 \! Z) O( O 4560萬個信用卡號碼
+ ~+ G& X) A+ S* I' |/ X+ f3 p7 O9 B7 w3 ]* z/ b7 N
2006年12月,美國超市集團TJX發現兩個電腦系統被黑客入侵,至少有4560萬信用卡號碼被盜,遂向警方報了案。TJX在加拿大、美國和歐洲經營著2500餘家超市。+ w4 O9 u/ q* E* E
$ U0 Z- S3 u. Q1 a* g0 r7 N
這是美國歷史上最大的黑客入侵和資料失竊案,超過了2005年的美國CardSystems Solutions公司案。當時,該公司的電腦系統被黑客入侵,4000萬個信用卡號碼處於高危狀態。
& a2 ?( ?5 G+ { a: P+ Q
D! H# r0 r5 ~" e 在2007年1月發佈的公司年報中,TJX披露了一些相關信息:2005年7月到2006年12月之間,黑客入侵了公司的兩個電腦系統,竊取了2002年12月31日到2003年11月23日的交易數據,其中包括4560個信用卡號碼。 |7 l; p7 i. k3 y8 e. G! H
0 |7 a5 u- P4 r, c1 j: W! c, ^: u
這些信用卡資料中,至少有45萬個包括名字、地址和個人身份證號碼(包括社會保險號),這些額外的信息大大方便了黑客製作克隆卡,因而極大地加劇了風險。
; w6 F' e1 N6 T/ b- o% J' z+ x
3 ?8 _0 i! `9 I9 F7 v+ n" _! S: t TJX稱,4560萬張信用卡中,大約三分之一,即1500個處於危險中。大約三分之二的號碼在被竊取時已經過期。
) D% Z" r& o9 s1 o# |4 N7 R' O! Y& d7 t e, p1 }) y
但是,有的信用卡在到期補辦後仍延用了老號碼。這類卡的數量有多少,公司沒有披露。
4 k% U; J' T7 X R9 m/ |! B- z9 Z& l3 h5 g- G2 E7 Q. r
11名黑客
4 j( B5 p y+ }& e5 E- z& ~: K0 m* {8 I0 b
經過四個國家警方歷時三年的努力,此案終於告破。
* i9 c3 u8 k' c0 ]8 M6 f$ ~. j0 S5 ~
這11名黑客團伙的作案對像主要是零售商,其中,TJX是最大的受害者。除了TJX,還包括BJ』s Wholesale Club、OfficeMax、Barnes&Noble和the Sports Authority等。
% @. A0 a' I! c4 o! k" \& T8 Q" w) v
黑客作案手法其實非常簡單,叫做Wardriving,即開著裝有手提電腦或其他設備的車,在商場附近四處轉悠,檢測到這些商場的無線網絡後,找到其漏洞,把木馬程序安裝在其網絡上。這樣,當商場的POS機把信用卡或銀行卡的信息傳給銀行時,這些信息在傳輸中途被黑客攔截。
3 p7 W& I6 L- X$ L) z3 i
- h6 A6 W. `; B- k0 w7 P 黑客在竊取了信用卡和銀行卡號碼以及其他資料後,會將其通過互聯網賣到國外,特別是東歐。那裡有人做克隆卡,然後從自動取款機把成千上萬美元的錢提出來。: K& g' r3 H, H3 [ r: i% f
6 k4 J: V W- l. T7 [
根據公佈的法庭文件,三名黑客——白俄羅斯的Sergey Pavlovich、烏克蘭的Dzmitry Burak和Sergey Storchak利用一個網站,把信用卡和銀行卡資料賣給歐洲的號碼販子,Pavlovich從中抽取銷售收入的1%。5 _7 S+ J* d- Q3 e- s6 U# m3 @
* H) r X, u" ~ 在歐洲,可以發現一些網站出售被盜的信用卡資料,每張信用卡資料的黑市價約為42美元(約合人民幣350元),白金卡則售72美元(約合人民幣500元)。
6 l# @0 H K; x' w, y4 ^% g' p( ]7 H0 u( o$ w) ]
另外兩名黑客,烏克蘭的Maksym Yastremskiy、愛沙尼亞的Aleksandr Suvorov則被指控從紐約一家飯店竊取信用卡和銀行卡號碼。8 e6 R6 T# E5 B. A+ O$ b
6 S: o' ] T0 K! ~1 r
法庭文件顯示,Yastremskiy從賣號碼中得到的收入超過1100萬美元。$ t+ \6 r* b) ~ e
/ Z) c* _( l- P8 a- k _( E( x# P# X8 K 這個11名黑客的團伙,組織者是來自美國邁阿密的Albert Gonzalez。8月5日,他被控電腦欺詐、網絡欺詐、偷竊身份證,共謀等罪名。如果這些罪名成立,Gonzalez將面臨終生監禁。
1 I2 i% G8 l8 K/ u5 ?5 E
; F7 u$ n. a3 m% P$ T Gonzalez於2003年曾因相似的罪名被捕,隨後被假釋,成為警方的線人。網絡上有一個被稱為ShadowCrew的公告板,黑客偷來的信用卡資料經常在此交易,警方希望通過他打入ShadowCrew。誰知,他反而就此組織了一個黑客團伙。
8 J. J/ s3 G( E+ D
$ C" ?# v# Q `) a+ c 2007年7月,Gonzalez在土耳其休假時被抓,並引渡到美國。9 t7 g" b1 D) M( y
* C3 k3 [: I9 |, V2 j, @' S
兩名來自中國的黑客分別名叫Hung-Ming Chiu和Zhi Zhi Wang。
' s1 D3 S. F& O+ I! Y9 c
" Y; @1 D! Y& \ C/ Q2 u 幾百億美元的「市場」2 J% q: H, ]8 A( H1 @
1 g- u9 m4 V# i1 B* v" ? 黑客給TJX造成了巨大的損失。TJX在公告中稱,已經花費1.3億美元用以彌補這方面造成的損失,包括應對由此引起的法律訴訟。預計在2009財年,還將為此投入2300萬美元。% S8 I6 z) g m, _) G
B3 H" A6 I9 ]# ` 這些信用卡和銀行卡資料被竊取的受害者都來自美國。其中大部分人尚不知道,他們的資料已經被竊取了。( Z) P' ?- I$ H8 `& d! l' V7 p( ]9 S% g
% b/ Q' R( s& v; o, |' y
美國總檢察長Michael Mukasey稱,涉案金額尚無法估量。9 E" J8 b; C! v/ n: f7 y! @$ L
: g) H G; C9 s) p
事實上,信用卡和借記卡號碼盜竊已經成為全球共同面臨的棘手難題,發展之快令人瞠目。據估算,涉及金額高達幾百億美元。往往一個團伙被打掉的同時,另一個團伙會迅速發展起來,填補其留下的空缺。
0 T2 x3 m( L" i% R8 ^) F: Q
: a1 Y8 }6 ^- k0 |3 l 據英國《衛報》報道,在英國,每天在網上銷售與成交的信用卡號碼至少有400個。有的信用卡號碼還包括了個人出生日期、母親的姓氏等其他個人資料。' B' A3 t: f, @; h+ E. o/ {
/ W1 w0 c- T& P1 B' p2 ` 黑客不但把目標對準了那些購物的消費者,還對準了擁有客戶個人信息的網絡公司。這些詐騙分子的活動多集中在東歐和東南亞地區。8 m/ T% j) O$ s+ v J3 S* n
+ [+ |; X4 F$ i% E$ ?& i3 ?- j 2007年,反病毒公司賽門鐵克發佈報告稱,黑客在網上竊取個人數據通過販賣來牟取暴利的現象越來越嚴重。據悉,偽造美國銀行信用卡資料最低只要1美元,偽造一套身份證明數據也只要14美元。0 H6 ?- R# m% G! ]% \' P
6 }1 s3 O4 p( b( r2 y& P% E
調查顯示,此次抓獲的黑客團伙作案手法並不複雜,使用信用卡或銀行卡購物場所的安全漏洞之多遠遠超出了黑客們的料想。/ t: ]0 U Z" ^4 _' O# v) c
' }$ ?; u5 O0 J/ s5 u/ b* L 更有甚者,銀行也並不安全。今年4月,香港匯豐銀行觀塘分行的服務器在裝修期間被人偷走,遺失近16萬的客戶資料。
! L. {! q, j0 K% _ i( m8 U C0 |. a3 x1 P7 f( w
一位專家撰文提醒,在互聯網的黑客猖獗的今天,能用現金的地方盡量用現金,需要對外隨便提供個人身份信息時一定要慎之又慎。 |
|