|
美国历史上最大的黑客入侵和资料失窃案和几百亿美元的“市场”
【《财经网》专稿/记者何华峰】在超市购物的你正在用信用卡付款。超市门口不远处的一辆车里,几个黑客正在用手提电脑侵入超市的电脑系统。当你的卡划过超市的POS机,正待收银员把单子交你签字时,黑客已经看到了你的卡号、密码和其他身份信息。根据这些信息,黑客克隆了一个一模一样的信用卡,然后在自动取款机(ATM)上把你的钱取个精光。
这不是好莱坞的电影镜头,而是在美国发生的真实案例。近日,美国宣布破获了历史上最大的一起黑客盗用信用卡和银行卡资料的案件:一个由11名黑客组成的团伙,竟然从几家超市窃取了4000多万个信用卡和银行卡资料,涉及的金额目前还无法估量。
黑客利用互联网盗取信用卡和银行卡资料,将其转卖,由买者利用资料制造假卡,将受害者账户里的钱洗劫一空,已经波及全球性,且有了专门的名字,即身份资料盗窃(Identity theft)。在美国,这是目前发展最快的一种犯罪。
正是互联网的低成本和便捷性,使它迅速扩散成为可能。在本案中,11名黑客分别来自美国、中国、爱沙尼亚、乌克兰、白俄罗斯。他们从美国盗取信用卡和银行卡资料,转卖至欧洲。
8月5日,美国司法部正式起诉了这11名黑客。
4560万个信用卡号码
2006年12月,美国超市集团TJX发现两个电脑系统被黑客入侵,至少有4560万信用卡号码被盗,遂向警方报了案。TJX在加拿大、美国和欧洲经营着2500余家超市。
这是美国历史上最大的黑客入侵和资料失窃案,超过了2005年的美国CardSystems Solutions公司案。当时,该公司的电脑系统被黑客入侵,4000万个信用卡号码处于高危状态。
在2007年1月发布的公司年报中,TJX披露了一些相关信息:2005年7月到2006年12月之间,黑客入侵了公司的两个电脑系统,窃取了2002年12月31日到2003年11月23日的交易数据,其中包括4560个信用卡号码。
这些信用卡资料中,至少有45万个包括名字、地址和个人身份证号码(包括社会保险号),这些额外的信息大大方便了黑客制作克隆卡,因而极大地加剧了风险。
TJX称,4560万张信用卡中,大约三分之一,即1500个处于危险中。大约三分之二的号码在被窃取时已经过期。
但是,有的信用卡在到期补办后仍延用了老号码。这类卡的数量有多少,公司没有披露。
11名黑客
经过四个国家警方历时三年的努力,此案终于告破。
这11名黑客团伙的作案对象主要是零售商,其中,TJX是最大的受害者。除了TJX,还包括BJ’s Wholesale Club、OfficeMax、Barnes&Noble和the Sports Authority等。
黑客作案手法其实非常简单,叫做Wardriving,即开着装有手提电脑或其他设备的车,在商场附近四处转悠,检测到这些商场的无线网络后,找到其漏洞,把木马程序安装在其网络上。这样,当商场的POS机把信用卡或银行卡的信息传给银行时,这些信息在传输中途被黑客拦截。
黑客在窃取了信用卡和银行卡号码以及其他资料后,会将其通过互联网卖到国外,特别是东欧。那里有人做克隆卡,然后从自动取款机把成千上万美元的钱提出来。
根据公布的法庭文件,三名黑客——白俄罗斯的Sergey Pavlovich、乌克兰的Dzmitry Burak和Sergey Storchak利用一个网站,把信用卡和银行卡资料卖给欧洲的号码贩子,Pavlovich从中抽取销售收入的1%。
在欧洲,可以发现一些网站出售被盗的信用卡资料,每张信用卡资料的黑市价约为42美元(约合人民币350元),白金卡则售72美元(约合人民币500元)。
另外两名黑客,乌克兰的Maksym Yastremskiy、爱沙尼亚的Aleksandr Suvorov则被指控从纽约一家饭店窃取信用卡和银行卡号码。
法庭文件显示,Yastremskiy从卖号码中得到的收入超过1100万美元。
这个11名黑客的团伙,组织者是来自美国迈阿密的Albert Gonzalez。8月5日,他被控电脑欺诈、网络欺诈、偷窃身份证,共谋等罪名。如果这些罪名成立,Gonzalez将面临终生监禁。
Gonzalez于2003年曾因相似的罪名被捕,随后被假释,成为警方的线人。网络上有一个被称为ShadowCrew的公告板,黑客偷来的信用卡资料经常在此交易,警方希望通过他打入ShadowCrew。谁知,他反而就此组织了一个黑客团伙。
2007年7月,Gonzalez在土耳其休假时被抓,并引渡到美国。
两名来自中国的黑客分別名叫Hung-Ming Chiu和Zhi Zhi Wang。
几百亿美元的“市场”
黑客给TJX造成了巨大的损失。TJX在公告中称,已经花费1.3亿美元用以弥补这方面造成的损失,包括应对由此引起的法律诉讼。预计在2009财年,还将为此投入2300万美元。
这些信用卡和银行卡资料被窃取的受害者都来自美国。其中大部分人尚不知道,他们的资料已经被窃取了。
美国总检察长Michael Mukasey称,涉案金额尚无法估量。
事实上,信用卡和借记卡号码盗窃已经成为全球共同面临的棘手难题,发展之快令人瞠目。据估算,涉及金额高达几百亿美元。往往一个团伙被打掉的同时,另一个团伙会迅速发展起来,填补其留下的空缺。
据英国《卫报》报道,在英国,每天在网上销售与成交的信用卡号码至少有400个。有的信用卡号码还包括了个人出生日期、母亲的姓氏等其他个人资料。
黑客不但把目标对准了那些购物的消费者,还对准了拥有客户个人信息的网络公司。这些诈骗分子的活动多集中在东欧和东南亚地区。
2007年,反病毒公司赛门铁克发布报告称,黑客在网上窃取个人数据通过贩卖来牟取暴利的现象越来越严重。据悉,伪造美国银行信用卡资料最低只要1美元,伪造一套身份证明数据也只要14美元。
调查显示,此次抓获的黑客团伙作案手法并不复杂,使用信用卡或银行卡购物场所的安全漏洞之多远远超出了黑客们的料想。
更有甚者,银行也并不安全。今年4月,香港汇丰银行观塘分行的服务器在装修期间被人偷走,遗失近16万的客户资料。
一位专家撰文提醒,在互联网的黑客猖獗的今天,能用现金的地方尽量用现金,需要对外随便提供个人身份信息时一定要慎之又慎。 |
|