七天记者 颜宏
6月20日,北美最大的信用合作社加鼎银行集团(Mouvement Desjardins)宣布其内部员工(这名员工已经被开除、逮捕)非法收集并泄露了270万个人和17.3万家企业的账户信息,被泄漏的信息包括客户的姓名、地址、出生日期、社会保险号码、电子邮件地址、电话号码和交易习惯等。尽管加鼎银行在第一时间采取了补救措施,比如开通Equifax和Transunion信用监控服务,目前这项服务已经由受影响的客户需自己注册开通转为自动开通,获得这项服务的人也由受影响的客户转为所有加鼎银行的客户,不管是否在被盗的近290万人里面,为期5年。但为时已晚,在暗网(Dark web)上已经有加鼎银行客户的个人信息在售卖,不仅是加鼎银行,几乎所有加拿大主要银行客户的个人信息都可以找到。
这次加鼎银行客户信息泄露发生后,媒体找来的信息保护专家轻易就在暗网上找到各种售卖加鼎银行客户信息的广告。比如有人要价1000元,可以提供一个内部有3百万资金的企业账户信息;再比如,180元可以购买几个含有1000-3000元余额的账户信息等等。没人知道这些售卖的信息到底有没有,如果有,到底是真还是假,但一些卖家在网页上显示具有非常良好的信用。
暗网
“暗网”这个词在留美学者章莹颖失踪被杀案件发生后被频频提及,也吸引了很多人的注意。因为杀害章莹颖的凶手Brendt Christensen在作案前曾访问暗网的绑架论坛(Abduction 101),浏览诸如“完美的绑架幻想”,“如何进行绑架“等话题内容。
那到底什么是暗网?根据维基百科的说法,暗网是存在于黑暗网络、覆盖网络上的万维网内容,只能用特殊软件、特殊授权或对电脑做特殊设定才能访问。
要想真正理解这个概念,还需要了解表层网络(Surface Web)和深网(Deep Web)。
自从搜索引擎出现以后,我们可以在网络中搜索出几乎任何自己想要的信息,这是互联网为这个世界带来的最大变化,过去几千年的信息传播方式被改变,电子信息的传播超越了传统纸质信息的速度,我们很幸运能生活在这样的时代。这些能被搜索引擎检索到信息的网络,都被称为表层网络(Surface Web),它构成了普通人的日常网络生活。
但是,也有一部分信息是不能被所有人检索到的,它们被加密,被作为隐私存放在互联网上。例如你自己的私密相册,或者企业的数据资料库。这些数据只能供少部分人查询,而不能被公共检索到,实际上它们才是互联网的重要组成部分,而随着网络中信息量的急剧增长,这一部分内容也在增长,由于它们不能被所有人所见,因此构成了深网的一部分。
我们日常生活一直都在接触深网,比如单位的档案信息库,或者法院的案件信息,或者银行账户信息,深网于我们而言其实并不陌生。而暗网,其实是从深网延伸出的,基于特定方式才能浏览,被隐藏起来的网络信息,是大多数人无法获知的。
暗网是深网的子集,但是和深网区别在于,它无法通过我们常用的 Safari 或者 Chrome 浏览器访问,而需要借助特殊浏览器,比如 Tor 或者 Freenet 等,通过这种特别的连接渠道才能找到。
目前,据不完全统计,全球一共拥有超过12亿个不同的网站,而那些只能通过 Tor 浏览的网页数量是7000-30000个之间,只有正常网站的0.03%。其实网上流传的所谓“96%的信息都在暗网,我们所见到的只有 4%”的说法是比较夸张的,应该说“网络中的违规敏感信息大约 96% 都在暗网上,我们所见到的只有 4%。”更贴切一些。
想象一下,在互联网这片繁茂的森林里,有很多小路让你从A(网站)前往B(网站),这些小路就是搜索引擎规划出来的,但在小路之外,被遮盖的树林深处就是深网,那些更深处的,藏着一些需要特殊工具打开的,对普通人来说最隐秘的内容,就是暗网。
由来
若想进入暗网需要一些特殊工具,Tor 浏览器就是其中一种。它的起源是 TOR 项目,1990 年代中期由美国海军研究实验室(NRL)的数学家 Paul Syverson 和计算机科学家 Michael G. Reed、David Goldschlag 开发,最初的目的是用来保护美国在线情报通讯。并在1997年由DARPA 进一步开发被称作“洋葱路由”(The Onion Router),Tor 就是其简称。
2004年,Tor项目陷入财政困难,因此NRL砍掉了这个项目,将其代码免费公布在网络上,之后由主张自由主义的网络组织——电子前沿基金会(EFF)提供资金支持。EFF 是一个著名的民权组织,致力于保护受政府迫害的美国公民,并为他们提供帮助。凭借 Tor 的匿名性以及便利性,它成为了这些人交流的重要方式。
根据维基百科的说法,Tor 浏览器能够让用户通过匿名状态聊天、发送消息。由于其节点分布于全球各地,所以它去中心化、完美匿名、不受监管,发生在上面的各种行为越来越难以追踪。这里成为“自由主义者”的集散地,被迫害的政治犯,不愿意透露姓名的爆料者,毒品贩子,恋童癖……他们聚集在这里,因为这里拥有难得的安全感。
在暗网上没有法律,交易方式是比特币,交流是匿名,充斥着各种毒品、军火、走私、人体器官、个人信息甚至人口买卖,是杀手、黑客、邪教组织、恐怖组织、儿童色情、性变态、洗黑钱者的大本营,让一切在正常世界里难以获取的东西都变得触手可及。由于比特币交易的特殊性,它带给了交易双方足够的安全感,因此暗网上的黑色交易变得越来越难以追踪。其中排在最前面的就是色情和毒品交易。
危害
2017年7月,美国警方宣布关闭 AlphaBay 网站,这是全球最大的暗网交易市场,有15万个毒品销售页面,失窃身份证件信息和信用卡数据的交易条目超过10万个,每天的交易规模在60万美元到80万美元之间。美国执法人员通过假扮顾客购买毒品,从众多信息中发现 AlphaBay 创办者曾经使用过 Homemail 邮箱,从中找到了证据,并最终逮捕了这个藏在最大暗网交易平台的幕后黑手。
在AlphaBay被打掉之前,SilkRoad是暗网上的“亚马逊商城”,可以买到任何平常买不到的违禁物品,仅用两年时间,交易总值就超过了120亿美元。而AlphaBay被关闭后,原来排世界第三的暗网交易平台Hansa迅速涌入了大量AlphaBay用户,卖家数量从约1千人猛增到1万人,后于2018年被荷兰警方关闭。
除各种违禁品外,色情也是暗网当中的重要部分。杀害章莹颖的Christensen浏览的 Fetlife 网站,就是一个针对特殊性癖好人的交流平台。在纪录片《暗网》的第三集,谈到截止 2016 年,暗网中存在超过一亿份儿童色情影像。某些暗网网站,甚至要求用户上传“原创”侵害儿童的视频,才能被允许进入,这样的规矩意味着进入这些网站的用户也要犯下同样的罪行。
一个关注未成年人的非盈利机构做过一次试验,它们创造了一个虚拟形象“Sweetie”,去扮演一个十来岁的小女孩,在匿名聊天室等待不同人来聊天。仅仅十周时间,就有两万个来自世界不同国家的人发出付费性爱邀请,1000 人向她透露了个人信息。
保护
根据信息保护专家的说法,这些在暗网上出售的个人信息绝不仅仅是这次加鼎银行被泄露的部分,还包括犯罪分子用各种途径收集的个人信息。常见的偷盗个人信息的方法有:
偷窥:在ATM等设备安装摄像头,通过拍照的方式获取顾客的个人ID、信用卡卡号或密码等;通过在POS机加装读卡器来获得相关信息。
垃圾:一些人会把含有个人信息的物品当做垃圾丢掉,如信用卡帐单、快递单等,给了犯罪分子可乘之机。
网络:通过钓鱼邮件、短信以及安装木马程序等盗窃个人信息。
偷窃:如果钱包、含有个人物品的储物柜或家中被盗,个人信息资料也可能落入犯罪分子手中。另外,个人信息泄露最集中的就是一些黑客入侵事件,如本报上期提到的Equifax遭到黑客攻击事件,这次事件中有近10万加拿大人的个人信息遭到泄露。在加拿大的金融系统,除了加鼎银行这次,2018年CIBC和BMO银行也分别被黑客侵入,约9万名客户的个人信息被盗。
面对如此广泛的身份信息获取途径以及暗网上疯狂的个人信息买卖,每一个人都有可能成为身份盗窃的受害者。加拿大反欺诈中心(Canadian Anti-Fraud Center)表示﹐在北美平均每三秒就会发生一起与个人信息被盗相关的欺诈案件发生,每年有大约2.7万名加拿大人报称身分被盗窃,而这只是冰山一角。2018年,魁省民众因身份被盗引起的经济损失高达500万加元。
措施
为了避免成为身份被盗的受害者,首先要注意保护个人信息和密码,不要轻易泄露这些敏感信息。在现实生活中,妥善保管或者销毁含有个人信息的文件,室外信箱上锁;使用信用卡或者银行卡要注意柜员机或刷卡机是否有异常,输入密码时要遮挡,尽量不要在小店里使用;在网上付账或购物时,尽量不要使用公共网络,及时清空所有的缓存信息和浏览历史记录;注意分辨钓鱼邮件,不要轻易回复金融机构、社交媒体或招聘网站发来的陌生邮件或短信,更不要点击里面的链接,不管看起来多么像真的;如果长期出门,要找朋友帮忙取信或者到邮局申请自取服务,不要让信长期留在信箱里;搬家后要及时更改地址等。
其次要关注自己的金融动态。每月收到银行账单或信用卡账单后,要仔细核对上面的所有交易情况,发现异常要及时和发卡机构联系;如果账单晚到或者不到,不要不当回事,及时和银行部门联系;如果可能设置银行转账或大笔数额交易警报,一旦发生大额交易,可及时获得相关信息;每年查一次自己的信用记录,看是否有异常,Equifax和Transunion都提供一年一次的免费查询服务。
万一自己不幸成为身份盗窃的受害者,也不要慌,采取以下措施尽可能把损失降到最低。
- 立即报警,记下立案号,办案警官的警号和姓名,这将是向银行和其他债权人证明犯罪已经发生并证明自己和欺诈无关的最好方式。
- 和Equifax和Transunion联系,要求停止所有的credit enquiry响应并添加欺诈警报,并要求他们提供一份书面的 credit report,要强调一定要书面的。
- 和所有相关机构联系,不仅仅是银行、信用卡等金融机构,还包括邮局、保险公司、电话、网络、有线电视提供商、水电气提供商等等,请他们调查并取消所有与自己无关的交易,并和他们商定设立措施来防止类似的事情发生。
- 填写身份被盗声明书(Identity Theft Statement),可在皇家骑警或其他金融机构网站上下载,这种形式的声明可得到大多数机构的认可,但请注意,这个表格不能保证取消已经发生的欺诈交易。
- 向加拿大反欺诈中心报告,一方面可以帮助打击身份被盗发生的欺诈行为,另一方面也会获得他们的建议和支持来降低损失。(本文有关暗网的信息部分内容来自极客公园)