美國司法部宣佈偵破歷來最大宗黑客盜竊身份案。黑客集團入侵美國至少九個大零售商網絡,竊取至少4,100萬張信用卡和扣賬卡密碼,然後製造假卡提款。司法部起訴11人。
司法部前日(周二)指被起訴11人只是集團部份黨羽,包括三名美國人、三個烏克蘭人、兩名中國人、一名白俄羅斯和愛沙尼亞人,最後一個被告只知網上化名「Delpiero」,國籍和身份不明。兩名中國被告姓名譯音分別是趙雄鳴(Hung-MingChiu)和王志知(ZhiZhiWang),本報向美國司法部查詢,暫未得知兩人是否港人。兩人和另外六名被告仍在逃。
網上兜售賬戶密碼
這黑客集團運作涉及跨國分工。已落網的集團主腦岡薩雷斯(AlbertGonzalez)是邁阿密居民,與同黨入侵零售商的無線網絡,竊取信用卡和扣賬卡密碼資料,然後在網上兜售密碼、製造假卡,在美國、東歐、菲律賓、中國和泰國用假卡提款,每次多達幾萬美元。
中招的零售商,包括TJX旗下兩公司、Barnes&Nobles、BJ'sWholesaleClub、OfficeMax、BostonMarket、SportsAuthority、Forever21和DSW,由2003年一直持續到今年。資料失竊最嚴重的TJX被闖入兩年仍然不知,去年才發現資料失竊,TJX當時估計4,570萬張卡可能受影響,Visa和萬事達信用卡公司則估計可能多達1億張。調查員發現黑客集團在烏克蘭和拉脫維亞的伺服器,儲存超過4,100萬張卡的資料。
當局指受害者多數是美國人,相信很多人仍未知信用卡資料被盜。司法部長穆凱西說,現無法估計損失金額多大,但案件反映盜竊個人資料日益嚴重:「美國每年有數以百萬計的人被盜用身份,對國民和企業造成數以十億美元計損失。」
主腦落網或囚終身
岡薩雷斯曾犯同類案件,2003年原已被特工處拘捕,他應承做線人,對付黑客買賣盜竊資料網站的網主,候審期間獲釋,但他背着特工繼續犯罪,還意圖向一名同黨通風報信,特工發現後與其他部門合作調查,查出整個集團的活動。岡薩雷斯被控電腦詐騙、嚴重盜竊身份等多項罪名,如所有罪名成立,最高可判終身監禁。
美聯社/法新社/美國《紐約時報》
遊街掃網絡 尋保安漏洞
岡薩雷斯為首的黑客集團,並非一般黑客,而是專向大零售商的無線網絡埋手。岡薩雷斯和同黨先用所謂「遊車河作戰」(wardriving)手法,駕車在大城市的街道漫遊,用手提電腦掃描,尋找零售商的無線網絡的保安弱點,一有發現就闖入他們的網絡,安裝所謂「偵緝犬」(sniffer)程式。
「偵緝犬」程式就像偷聽器一樣,「偷聽」零售商處理信用卡和扣賬卡的網絡,截取卡的號碼、密碼和戶口資料,加密儲存於美國、烏克蘭和拉脫維亞的伺服器內,資料會在網上兜售或自用,用作製造假卡在櫃員機提款。
他們轉移款項和洗黑錢的方法也很複雜,利用美國和國外的網上貨幣交易,以便隱藏身份,並透過東歐的銀行戶口轉移款項。美國廣播公司/《紐約時報》