网络犯罪全球内日益盛行 是技术问题也是社会问题
发布时间: 2009-09-23 丨 阅读次数: 24461
在没有国界的互联网世界,网络犯罪现象日益普及,打击网络犯罪需要联手合作,共同努力。
在数字时代,罪犯可能巧装打扮且很少带枪。实际上,如果你在大街和他不期而遇,他看起来和你一样没有什么特别之处。
现在,高科技罪犯通过破译计算机密码进入你的主机,模仿商人或是拍卖者出售并不存在的东西。他们或是盗窃你的钱财,或是窃取你的信用卡帐号。有时,可能是一个你很信任的雇员在操纵计算机,窃取公司机密诈取数百万美元的钱财。
当然,上述的威胁并非没有防范。美国各地的执法部门不断加强人员培训和技术改进,设立网络警察对时刻变化的网络犯罪行为进行跟踪检查。
FBI互联网犯罪起诉中心主任Dan Larkin当警察已有19个年头了,而他干网络警察也有8年多的时间。此外,他还是 National Cyber-Forensics and Training Alliance成员。这是一个非盈利组织,由业界代表组成,主要研究网络犯罪现象。
拉金认为,全国、各州、地方政府以及公司的执法代表经常加强交流与合作十分重要。现在,随着互联网的飞速发展,网络犯罪也花样翻新,因此,进一步深化合作、不断完善技术立法工作就显得尤为迫切。“我们堵住了这个漏洞,他们又会发现另一个漏洞。每年,网络犯罪使商务电子公司和客户损失数亿美元。”
现在,FBI已和地方执法部门共同合作进行联合调查,并成立了正式的联盟。比如,今年7月,美国成立了弗吉尼亚网络犯罪打击中心。各州和城市警察部门也建立了网络培训中心,不断提高人员同计算机犯罪做斗争的技能。拉金说,这种不同层面的合作对推动打击跨全国性的网络犯罪行为很有益处。
犯罪手段花样众多
对于网络骗子来说,引诱用户上当的手段十分繁多。最为普通的就是设置在线拍卖陷阱,诱导用户提供个人财务信息密码。拉金称,犯罪很善长象在eBay等网站设置在线拍卖陷阱。他们利用合法的商人帐号引导用户进入看起来十分逼真的网站交费。结果,毫无戒心的用户得不到任何东西,而这些罪犯却得到了他们的信用卡号。
拉金指出,“他们以高超的技巧获得合法用户的帐号信息,而用户最后落得个人财两空。”
有些拍卖陷阱甚至出售和运送货真价实的东西,以此建立起客户对他们的信赖。随后,当钱源源不断地流入他们的腰包时,购买者却颗粒无收。
eBay拍卖网站提醒消费者,要积极预防通过电子邮件连接诈骗网站的犯罪活动,建议人们不要通过无线方式泄露帐号口令等信息,同时要增加自我防护意识。 eBay网站的发言人Hani Durzy称,“用户应自觉地使用我们提供的工具判断交易活动是否安全。”
猎杀陷阱
捕杀陷阱更为疯狂,受害者会以为他们在访问过去一直在访问的网站。广泛应用诸如美国在线和MSN等互联网服务做为跳板:罪犯把看似真实的垃圾邮件发给用户,用户被引导到一此虚假网站并进行个人数据和信息的升级。通过这种方法,罪犯得到了用户的机密材料。
拉金讲了另一个案例:一个罪犯向一名MSN的客户从虚假的电子邮件地址billing@MSN.com发出一份垃圾邮件,电子邮件超链接提示该用户登录一个“安全的网站”并要求他重新输入帐号和用户信息,并发送至MSN。这份电子邮件通过在美国、印度以及澳大利亚的互联网服务商不断跳转,掩盖了其真实的目的地。FBI跟踪这一地址,最后发现,信息并未发到MSN帐号,而是到了位于爱荷华州一个私人邮件地址。最后,这名犯罪嫌疑人被当地法院起诉。
拉金说,在绝大部分时候,合法的组织不会要求用户通过电邮提供信用卡信息,因此,用户遇到这种情况时应拒绝请求。
MSN发言人称,公司和用户的通讯通过收件箱里的缓冲图标进行了明确的定位。“任何让你提供口令、帐号或是下载软件的邮件请求都可能是一种陷阱,应立即删除。”
通常,一些虚假的网站在用户浏览器显示时会报网址错误。但是,拉金说,高明的犯罪会采取其它方式避免这种问题的出现。“他们会利用合法的网址,并提供弹出式提示要求用户再次输入信息。在这种情况下,用户很难辨别真假,因为网址都是一样的。”
罪犯通常利用知名的网站以降低用户的怀疑,要求输入帐号信息的邮件会悄悄地出现,这样用户的疑心就会下降。
拉金说,“罪犯试图让用户在不经意间上当受骗,这是一种心理技巧,他们设法使用户在感到安全的时候不自觉地进入套子。”
跨越国界
罪犯使用的另一种技术是通过偷来的帐号购买货物,并把它送到美国法律效力以外的其它地方。
在一个案例中,罪犯利用盗来的帐号从美国购买电子设备,然后把货发到尼日利亚。当假帐号被发现时,货物可能已被多次转手。拉金称,“一旦货到了西非,我们就无法采取法律措施了。”
做了一种防御手段,一些商人开始拒绝所有来自西非互联网服务商发出的提货要求。
真是道高一尺,魔高一丈。罪犯分子采取反防御措施,从加拿大等其它国家互联网提供商那儿发出发货指令。随后,他们在互联网招聘网站或是聊天室召集用户,提供当地地址并接受货物。接下来,他们把货物重新装船,以极其低廉的价格送到西非。
拉金指出,“他们在Monster.com网站上发广告,或是提供外出打工的机会。他们让用户接收30台电脑,并把29台发到非洲,剩下一台做为报酬支付。”
值得幸运的是,犯罪分子这种富有创造力的做案技巧并不表明网络犯罪无法无天。今年8月,FBI和司法部宣布破获了一起计算机犯罪案,并逮捕了150名犯罪嫌疑人,受害者损失约2,15亿美元。
这次联合调查行动代号为“Operation Web Snare”,司法部、50多个州、FBI以及互联网服务供应商都参与了案件的侦破工作。现在,诱导陷阱、欺骗拍买以及跨境犯罪现象成倍增加,联合破案可能是未来网络犯罪调查的一种范例。在互联网世界,各州、各国的界限日益模糊,执法部门呼吁业内要联手打击和防止犯罪行为。
公司诈骗
目前,公司诈骗行为还主要以内部作案为主。那些掌握公司信息并能轻易接入公司计算机系统的雇员是公司财产和信息安全的头号大敌。
Stroz Friedberg公司的副总裁Kevin Barrows指出,“内部人员作案仍是最大的威胁。此类犯罪行为主要通过计算机接入实现,因为内部人员能够进入公司系统,并找到可以利用的漏洞。”
Kevin Barrows在加入Stroz Friedberg公司以前,曾在FBI工作7年,参与多起白领犯罪和银行诈骗案件的调查和审理。 Barrows指出,公司内部人员作案主要是盗窃知识产权。最为常见的公司诈骗行为是修改档案。现在,公司电子办公化水平日益提高,高明的犯罪分子以极其隐蔽的手法篡改档案信息,修改财务数据。
网络犯罪调查人员通过对计算机和系统的调查可以发现信息的修改程度,并可以确认谁是肇事者。
当公司出现问题时,他们不太愿意向执法部门求救,而更乐意雇用诸如Stroz Friedberg这些的安全调查公司,聘请私人顾问和技术专家。
更为复杂的犯罪
现在,白领犯罪分子作案技巧高明,能轻易地修改电子信息、合同条款等。因此,公司需要经过专业训练、熟悉公司网络犯罪的技术顾问对此类问题做出快速反应。Barrows称,“这些技术顾问视角独特,能对电子档案进行细致入微的调查审计。当然,他们也不是万能的,他们也不能解决公司出现的所有问题。”
因此,调查此类问题不再是IT专家的责任了。一些私人公司现在更乐意聘用具有法律背景的顾问,因为内部作案人员比其老板可能更了解和熟悉公司的各种信息,就必须聘用专业人士发现肇事者。 Barrows说,“打击网络犯罪,不但是一门科学,更是一门艺术。网络犯罪不光是技术行为,更是一种人的活动行为。因此,我们说,网络犯罪已不单纯是一个IT问题,它日益成为一种社会现象。”