一個19歲的澳洲少年Peter Stokes,因為涉嫌參與惡名昭彰的駭客組織Scattered Spider策劃的800萬美元加密貨幣勒索計畫,被引渡到美國面對聯邦指控。而且這次勒索根本沒成功。我第一個反應是:你花了大量時間和精力去搞社交工程攻擊、滲透企業系統、搞勒索軟體,最後不但一毛錢沒拿到,還把自己送進了美國司法系統的絞肉機裡。這筆帳怎麼算都不划算。
Scattered Spider這個組織其實已經讓資安圈頭痛好幾年了。他們跟傳統印象中躲在暗房裡的駭客不太一樣——成員很多是英語母語的年輕人,擅長的不是什麼高深的零日漏洞利用,而是社交工程。簡單講就是打電話給公司的IT部門,假裝自己是員工,騙到帳號密碼。聽起來很低科技對吧?但這招屢試不爽,連MGM Resorts、Caesars Entertainment這種大型企業都中過招。他們之所以選擇用加密貨幣收取贖金,原因很直觀:匿名性、跨境轉移方便、難以被傳統金融系統攔截。但這裡有個很多人搞錯的認知——加密貨幣並不是真的「匿名」,它是「假名」。每一筆鏈上交易都是公開透明的,執法機構只要能把錢包地址跟真實身份連結起來,整條資金流向就一覽無遺。
我覺得這個案件最諷刺的地方在於年齡。Stokes被指控的行為發生時他大概才十七、十八歲。一個還沒大學畢業的青少年,就已經在跟FBI、國際刑警組織玩貓捉老鼠的遊戲。Scattered Spider的成員組成一直被報導為以青少年和年輕成人為主,這其實反映了一個很現實的問題:這些年輕人可能技術能力不差,但他們對法律後果的理解幾乎是零。他們在Discord和Telegram上互相吹噓戰果,好像這一切只是某種線上遊戲。直到FBI敲門的那一刻,遊戲才真正結束。
從加密貨幣產業的角度來看,這類案件其實是雙面刃。一方面,每次有駭客用加密貨幣勒索的新聞出來,就會有一波「加密貨幣就是犯罪工具」的輿論。這對整個產業的形象傷害很大,也給了監管機構更多收緊政策的理由。但另一方面,正是因為區塊鏈的透明性,執法機構才能追蹤到這些資金的流向。Chainalysis、Elliptic這些區塊鏈分析公司在協助破案方面的角色越來越關鍵。換句話說,加密貨幣犯罪其實比傳統現金犯罪更容易被追蹤——只是大眾的認知還沒跟上來。
美國司法部門對這類案件的態度也很值得觀察。跨國引渡本身就是一個高成本、高政治敏感度的操作,他們願意花這個力氣把一個19歲的嫌疑人從澳洲弄過來,說明了兩件事:第一,美國對網路犯罪的打擊力度正在持續升級;第二,他們想殺雞儆猴,讓其他Scattered Spider的成員知道,你不管躲在世界哪個角落,美國都有辦法把你弄過來受審。
我的看法很簡單:這個案件是一個警示,但恐怕不會是最後一個。只要社交工程攻擊的成功率還這麼高,只要企業的資安意識還停留在「密碼設複雜一點就好」的層次,就會有下一個年輕人覺得自己可以靠駭入企業系統發一筆橫財。而加密貨幣在這個過程中,只是一個工具——就像菜刀可以切菜也可以傷人,問題從來不在刀上面。
延伸思考與常見問題
- Scattered Spider是什麼樣的駭客組織?他們的攻擊手法「社交工程」具體是怎麼運作的,跟一般認知的駭客入侵有什麼不同?
- 加密貨幣常被說是「匿名」的,但為什麼執法機構仍然能追蹤到犯罪者的資金流向?區塊鏈的「假名性」和「匿名性」差別在哪裡?
- 跨國引渡在網路犯罪案件中是如何運作的?為什麼美國能夠要求其他國家交出嫌疑人,這背後有什麼法律依據或國際協議?
