指尖博弈——FBI竟建立虛假聯邦快遞網站?!
概述
為了找出針對企業進行勒索的網路犯罪分子,聯邦調查局近期建立了一個虛假的FedEx網站,並在其中部署了具有陷阱的“惡意”Word檔案,從而獲取詐騙者的IP地址。
根據Motherboard對法庭公開檔案的分析,我們發現聯邦調查局已經開始利用其自身的黑客技術,試圖找出進行財務詐騙的網路犯罪分子。這一情報,標誌著聯邦調查局已經不再僅針對兒童色情和炸彈威脅事件使用技術工具,他們將覆蓋的範圍進行了擴大。但同時,也使這種由技術驅動的方法變為一種常規化的手段。因為犯罪嫌疑人不斷掩蓋其數字化線索,因此執法部門也必須轉向一種更加新穎的解決方案。
我們發現,執法部門在2017年申請了2次搜查令。網路犯罪分子將自己偽裝成可以信任的特定人員,欺騙受害公司,向犯罪分子支付了大量現金。搜查令顯示,為了抓住這些網路犯罪分子,聯邦調查局在其中一個案件的破獲過程中,建立了一個虛假的FedEx網站,並在其中放置了兩個他們特製的Word文件,這兩個文件的目的都在於暴露欺詐者的IP地址。這些案件在2018年10月解密。
斯坦福網際網路與社會中心的監控和網路安全副主任Riana Pfefferkorn在閱讀這些案件後,向我們表示:“兒童色情和暴力威脅的犯罪分子,通常會掩蓋他們的位置。除此之外,還有一些從事網路犯罪的有組織犯罪集團,其中就包括商業電子郵件詐騙。它們都屬於同一類陣營。”
第一起案件調查過程
根據法庭記錄,第一個案件的受害者是Gorbel,這是一家起重機制造公司,總部設在紐約。網路犯罪分子使用了一個與公司執行長Brian Reh非常相似的電子郵件地址,向財務部門傳送電子郵件,要求向新的供應商付款。詐騙者提供了特定公司的W9表格,隨後,財務部門向其郵寄了超過82000美元的支票。隨後,Gorbel發現這一欺詐事件,並在7月份通知了FBI。不久之後,Gorbel收到了偽裝成Reh的另一封電子郵件,要求再次進行轉賬。而這一次,財務部門和FBI已經做好了準備。
根據法庭記錄,FBI建立了一個虛假的FedEx網站,並將其傳送給目標,希望能夠獲得黑客的IP地址。FBI甚至炮製了一個虛假的“訪問被拒絕,此網站不允許代理連線”頁面,以誘使網路犯罪分子從真實的IP地址進行訪問。根據網上的記錄,目前GoDaddy已經收回了這一域名,並且該域名曾短時間解析到紐約羅切斯特的一個IP地址,FBI特工在該地址上釋出了應用程式。
目前,尚不清楚FBI是否獲得FedEx的授權,而FedEx也沒有對我們進行迴應,同樣FBI也沒有對該事件做出迴應。值得注意的是,之前有一個域名,指向了與偽造FedEx頁面相同的IP地址,這是一個律師事務所的網站,該網站僅存在了一小段時間,在撰寫本文時已經下線,並且具有非常小的數字指紋。由此看來,這一律師事務所域名也可能與FBI有關。
然而,FBI的此次嘗試並沒有成功。似乎網路犯罪分子從6個不同的IP地址檢查了這一連結,其中包含一些代理。此後,FBI繼續使用網路調查技術(NIT)進行案件的調查。NIT是FBI使用的各種黑客攻擊方式的總稱。在此前的一個案件中,FBI曾經利用Tor瀏覽器的漏洞,攻擊目標計算機,並使其強制連線到FBI伺服器,從而暴露目標真實的IP地址。其他NIT從技術上來看也不是非常複雜,其中包括“打電話回家”的誘導視訊,以及一些其他的Word檔案。
這種新型網路調查技術,屬於後一類。根據法庭記錄,FBI試圖使用一個包含影象的Word文件來定位網路犯罪分子。該影象會連線到FBI伺服器,並顯示目標的IP地址。法庭記錄中還補充說道,該圖片是FedEx跟蹤入口網站支付付款的截圖。
第二起案件調查過程
根據法庭記錄,在2017年8月,紐約西區的一家企業收到一封電子郵件,自稱是智利海鮮供應商Invermar(該企業的供應商之一)。這封電子郵件冒充Invermar的一名已知員工,要求受害者將資金匯入新的銀行賬戶。合法的Invermar域名以.cl字尾結尾,但黑客使用的域名是以.us結尾。該企業顯然沒有注意到不同的域名字尾,並且在9月和10月期間,以電匯方式向網路犯罪分子支付了大約120萬美元,受害者最終追回了30萬美元。
在法庭檔案中,沒有指明受害企業的名稱,但在今年早些時候,Wegmans食品市場針對類似的騙局向Invermar提起訴訟,要求得到損害賠償。為了確定犯罪分子的位置,FBI再次決定部署網路調查技術。
法庭記錄顯示,FBI向受害者提供一封電子郵件的附件,該附件將作為目標使用者需要填寫的表格,需要在該企業(受害者)付款前填寫。這一文件要求使用者(網路犯罪分子)退出“保護模式”,該模式在Microsoft Word中用於阻止文件連線到網路。在申請搜查令的過程中,FBI表示無需向政府申請就可以向目標傳送嵌入式影象,但出於謹慎,再加上目標使用者需要主動關閉保護模式的事實,FBI還是申請了這一搜查令。
根據申請內容,這兩個“惡意”Word文件都被設計為僅獲取目標IP地址和User Agent字串。User Agent字串可以顯示目標正在使用的作業系統。儘管申請由兩位不同的FBI特工簽署,但它們都來自於紐約羅徹斯特Buffalo分部的網路小組。
我們並不知道這些網路調查技術在識別嫌疑人方面已經取得了怎樣的成果。但在Gorbel案件中,司法部多次要求延期公開,從而保證搜查令中具體細節的保密性。
“使用網路調查技術是合法且有效的”,FBI發言人在一封電子郵件中告訴Motherboard。“他們只在必要時,才會對一些較高級別的罪犯使用這項技術。這項技術耗費時間和資源,對大多數調查來說都不是一個可行的選擇。”
在此前,FBI曾將網路調查技術運用在大規模的範圍中,甚至有時會不加選擇。在無線電通訊局針對暗網託管服務提供商Freedom Hosting進行調查時,發現網路調查技術還影響了一個不涉嫌犯罪的使用者的一些電子郵件隱私。在新申請的搜查令中,FBI強調,只會針對特定目標運用網路調查技術。
另一份檔案補充道:“FBI僅會對目標使用者傳送電子郵件,該使用者會在登入郵箱和收取電子郵件後,才能開啟電子郵件及其附件。針對電子郵件目標,會進行仔細檢查,並直接發出郵件,從而避免任何侵犯公民隱私的行為。”
網路安全和監視專家Pfefferkorn表示:“政府已經從自由託管的案例中獲得了經驗,如果直接在政府接管的網站上部署NIT,並沒有足夠的針對性,最終感染了無辜公民的瀏覽器。”
考慮到這種執法過程中的黑客攻擊可能會變得更為普遍,在2016年底,司法部修訂了關於搜查令的第41條規則。修訂後的內容,意味著美國法官可以簽署搜查令,以搜查其所在地區以外的計算機,特別是針對執法部門不知道嫌疑人所在位置的情況。
Pfefferkorn說:“現在第41條規則已經修改,我們可以開始期待網路調查技術在調查犯罪領域的應用,而不僅僅再侷限於兒童色情內容的調查。”