▲民間網友成打擊網路詐騙的重大力量。(示意圖/取自免費圖庫Pixabay)
文/孫維德(台灣銀行家)
譯/劉維人
在網路剛興起的時代,一群手段充滿創意、重視社會正義的人,花自己的空閒時間去解決線上的各種漏洞。其中一群人,後來還協助建立了如今的資安領域。
駭客的起源跟「激進駭客行動」(Hack-tivism)很有關係。在網路剛興起的時代,一群手段充滿創意、重視社會正義的人,花自己的空閒時間去解決線上的各種漏洞。其中一群人,後來還協助建立了如今的資安領域。
「社交工程詐騙」的防治過程可能也會走上相同的路徑。自COVID-19爆發以來,這種騙局在世界各地層出不窮,所以有些陷阱駭客(Scambaiter)就刻意設計出誘餌,占掉騙子的時間。在2000年代,網路上開始出現一種「奈及利亞騙徒」(Nigerian Prince),騙徒偽稱自己是高官顯貴,需委託一筆巨款,請你先匯「手續費」給他,這時候某些網友就開發出一些誘餌來整這些騙子取樂,從此被稱為陷阱駭客。不過當時的科技不夠進步,陷阱駭客能玩的相當有限。
近年來,跨國匯款越來越容易,各國聯繫也越來越緊密,新型態的詐騙隨之而生。但同樣的網路科技,也讓陷阱駭客變得越來越專業,在很多情況下成功阻止了海外詐騙,其中一個例子就是印度。在那些金融較為弱勢、資源較少、當地警察甚至不願配合執法的國家,用這種模式來阻止犯罪相當有用。
成功防止詐騙 需要整個社會攜手合作
有一個叫做AnyDesk的遠端控制軟體,可以用來遙控IT工作,以及從同一個位址操作好幾台「無周邊伺服器」(Headless servers)。這種軟體後來也深受騙子喜愛,他們一旦騙到受害人的信任,第一件事經常就是叫受害人下載AnyDesk之類的軟體,並給騙子存取權限。
一旦拿到權限,問題就麻煩了。最常見的做法就是叫受害者去登入網路銀行,雖然目前銀行都已經把這類直接從遠端遙控的轉帳視為詐欺,但騙子還是可以看到受害者的財務狀況、修改畫面上的交易資訊,甚至還能獲得受害者的真實帳戶資料,供日後登入。騙子也會特別挑選不懂科技的年長者下手,這樣只要用簡單的文字編輯器,就可以順利冒充成銀行的後台。
「陷阱駭客」了解騙子的伎倆,所以先製造出一些虛擬主機(Virtual Machine),讓騙子接觸不到任何真實資訊。然後有些人可能會寫一個有病毒的文件,例如財務紀錄等等的放在電腦桌面上,引誘騙子去點開。騙子一旦中計,駭客就可以順藤摸瓜進入騙子的系統,利用網路研究方法,找出整場騙局目前已經涉及哪些個人和哪些公司。
「陷阱駭客」會先找出受害者的相關資訊,有時候甚至能夠打斷正在進行的騙局。但這需要整個社會同心協力,因為必須聯絡銀行的反詐欺部門,藉此中止交易並檢舉騙子的金融帳戶;必須通知便利商店停止發售禮券,以免受害人購買之後送給騙子換成現金;必須通知郵政系統攔下受害人郵寄的現金,還得通知司法體系。
不過「陷阱駭客」真正想要的,其實是從源頭阻止這類詐騙。印度是「遠端控制軟體詐騙」的溫床,因為它的英語客服產業相當蓬勃,科技人才十分好找,而且COVID-19發生後經濟嚴重受創。有一位叫做Scammer Payback或Pierogi的「陷阱駭客」網紅,為了研究如何讓騙子上鉤,甚至還去學了印地語(Hindi)。
今年4月,Mark Rober、Jim Browning、Trilogy Media等3位「陷阱駭客」網紅前往印度,打算關閉他們發現的4個詐騙集團。這場旅行當然相當危險,他們的名氣人盡皆知,剛到現場就被認出來,不過加爾各答警方最後還是搜捕了一家詐騙集團使用的客服中心,並關閉了其他2家。
印度警力嚴重不足,而且國家過大,歹徒只要四處逃竄就能甩掉調查人員。另外,雖然印度的科技產業日新月異,司法體系卻以龜速聞名。更麻煩的是,人們若是被印度人詐騙,就必須在印度提告,由於歹徒盯上的人往往本身心理就較為脆弱,而且承認被騙很丟臉,許多受害者都沒有出面。即便願意出面報告損失,通常也是向當地的警方報告,但真正的歹徒卻在地球的另一端。
當地的警察副局長表示,有外國網紅來協助當然很好,「但他們檢舉歹徒的時候會成為線人,而非原告」,所以這種「陷阱駭客」模式無法取代傳統的執法。幸好FBI用傳統的國際合作也取得不少進展,這個月又破獲了幾家詐騙中心。
但即便如此,擴大合作範圍還是好事。無論司法人員和民間人士,都可以跟各種平台合作,共同找出可疑的網站、IP、使用者資料以及可疑的軟體。有些人呼籲,因為騙子有辦法利用這些遠端控制軟體繞過傳統途徑登入受害者的帳戶,所以某些軟體應該要在下載前加註反詐騙警語。
不過AnyDesk的營運長Oldrich Müller表示,「這種詐欺完全不是AnyDesk的功能造成的。是使用者授權其他人操作自己的電腦,並進行轉帳而造成的。」這指出了一個更大的問題:在哪些情況下,中間人必須為兩方自願進行的交易負一部分的責任?
科技難以解決的部分
不過亞洲的華語區,倒是出現了另一種完全不同的詐騙模式:讓受害者來幫忙詐騙。柬埔寨的人口販子,從附近的鄰國以及台灣這些更遠的國家騙來很多居民,一邊充當奴隸,一邊要求他們幫忙詐騙其他人。在這類案件上,YouTube網紅也在一些政府無能為力的案件上立下功勞,例如「好棒Bump」最近就因為救出幾名被騙到柬埔寨的台灣人而登上頭條。
在反詐騙事件上,柬埔寨顯然比印度更不願意讓外國插手。今年7月,美國國務院的《2022年人口販運年度報告》(Trafficking in Persons Report)將柬埔寨降至評分最低的第三級(Tier3)國家之列。該報告表示「該國政府沒有幫海內外的受害者提供足夠的保護,而且嚴重仰賴國外捐款和NGO。」柬埔寨之前是中國投資的主要目標,也是中國洗錢的重要管道,但在COVID-19疫情之後與中國的交流變得困難,華語勞工大量短缺。
此外,打擊柬埔寨詐騙的成果,大部分都在阻止詐騙集團獲得人力,而非防止「消費者」受騙。柬埔寨的詐騙性質,讓冒充受害者沒那麼有效。例如針對東亞人士的著名詐騙方法「殺豬盤」,就是利用網路交友,誘使受害人投資賭博,取財的方式通常都是加密貨幣。受害者知道自己失去了傳統金融系統的保障,但為了贏取鉅額的投資回報,他們依然選擇冒險。
這種騙術的重點是心理而非科技,很難針對中介來處理。區塊鏈偵查公司CipherBlade的法證分析師Paul Sibenik在一篇文章中指出,那些經常用來「殺豬」的加密交易所,往往比表面上宣稱得更集中,而且經常位於監理寬鬆的國家。這種詐騙就跟很多其他的詐騙一樣,不能用傳統的方式來起訴,而要發明新方法,這樣才能跟一些至少願意部分配合的國家攜手合作,找出歹徒的身分並進行逮捕。
詐欺獵人逐漸專業化
在這方面,名不見經傳的路人可以貢獻專業知識,幫忙設計新的執法方式;「陷阱駭客」網紅短期內能做的,主要反而是宣傳詐騙手法。因為政府與銀行當然可以廣發警告,但最容易被騙的人往往也最難看到警語。如果能用更多元、更有趣的方法來進行科普,就會有更多人在危急時刻萌發合理的懷疑。畢竟只要不夠小心,每個人都可能上當。前述的一位「陷阱駭客」Jim Browning去年自己就因為上當,而一度刪除了整個YouTube頻道。
「陷阱駭客」的社群正在逐漸專業化。Scammer Payback在9月的影片中,跟好幾位相關領域最紅的YouTubers共同發起了一個「全民呼叫中心」(People's Call Center)計畫,看起來儼然就是某種產業會議。該影片提出幾項建議,其中一項就是互助:「我們需要一個互助系統。無論聽到什麼消息,都一定要找人查核,不要在腦袋裡空想。多一雙眼睛來看,就多一分保障。」
本文由《台灣銀行家》授權轉載。
讀者迴響