李忠東

Twitter：詐騙觸目驚心

近年以來，不少犯罪分子利用短視頻平臺傳播快、傳播范圍廣等特點，對多種多樣的行騙理由進行包裝并廣泛宣傳，再將受騙者引流到社交平臺，繼而實施詐騙。2020年7月16日凌晨3點左右，Twitter上100多位知名人士的認(rèn)證賬戶被詐騙犯盜竊。攻擊始于區(qū)塊鏈行業(yè)，Binance、Coinbas、BitFinex 和Gemini等多家知名加密貨幣龍頭企業(yè)的Twitter賬號全遭劫持。后來微軟創(chuàng)始人比爾·蓋茨、亞馬遜創(chuàng)始人杰夫·貝佐斯、彭博社創(chuàng)始人邁克爾·布隆伯格、蘋果官方賬號、特斯拉CEO埃隆·馬斯克、美國知名歌手耶·維斯特、美國前總統(tǒng)奧巴馬和當(dāng)時的總統(tǒng)候選人約瑟夫·拜登等人的賬號也被盜竊。

犯罪嫌疑人通過短視頻，逐一發(fā)布相同的比特幣釣魚詐騙信息：“為了感謝大家（支持比特幣），現(xiàn)在對大家進行回饋。你只要給以下地址轉(zhuǎn)賬1000美元，我就向你返還2000美元?；顒觾H限半小時！”他們利用民眾對Twitter的信任以及名人的公信力，讓大家認(rèn)為這次活動是真的。區(qū)塊鏈分析公司Elliptic最新統(tǒng)計指出，在攻擊進行的3小時內(nèi)，通過 ChipMixer 和 Wasabi Wallet混幣器完成洗錢程序，有等值118000美元的比特幣被騙走。

美國司法部7月31日宣布，這起Twitter世紀(jì)比特幣詐騙案的偵破工作有了實質(zhì)性的進展，3名涉嫌參與的黑客已被抓獲并被起訴。年僅17歲的格雷厄姆·克拉克被認(rèn)為是該案件的“幕后主使”，他被提起30項重罪指控，具體包括組織欺詐活動、出于欺詐目的使用他人信息以及未經(jīng)授權(quán)訪問受保護的計算機系統(tǒng)等。因尚未成年，根據(jù)《聯(lián)邦青少年犯罪法案》，美國司法部已將針對他的訴訟移交給佛羅里達州坦帕市檢察官。來自英國的19歲黑客梅森·謝潑德被指控合謀電信欺詐、合謀洗錢，以及故意訪問受保護的計算機系統(tǒng)，22歲的美國佛羅里達州奧蘭多黑客法澤里被指控協(xié)助和教唆他人訪問受保護的計算機系統(tǒng)。

美國國稅局的網(wǎng)絡(luò)犯罪調(diào)查部門進行了區(qū)塊鏈分析，并對比特幣交易進行了去匿名化處理，借此追蹤到了涉案的黑客。對“只花幾周”便破獲案件的效率，美國聯(lián)邦調(diào)查局非常滿意。Twitter方面也對執(zhí)法部門的快速行動表達了感激，并表示會繼續(xù)與官方合作，并定期對外公布調(diào)查進展。佛羅里達州檢察官安德魯·沃倫表示：“聯(lián)邦調(diào)查局和美國司法部在全國范圍內(nèi)進行了詳盡的調(diào)查，在希爾斯堡找到并逮捕了犯罪嫌疑人克拉克。這些犯罪嫌疑人盜用了知名人士的賬戶，但這些名人并不是主要受害者。詐騙的目標(biāo)是騙取全國各地的普通人的財產(chǎn)?！?/p>

根據(jù)Twitter聲明中的說法，犯罪嫌疑人通過訪問僅內(nèi)部團隊可用的工具，鎖定了130個Twitter賬戶作為攻擊目標(biāo)展開賬戶劫持，其中有45個賬戶被黑客重置密碼成功登入，發(fā)布詐騙訊息推文。Twitter認(rèn)定，黑客是利用“社交工程攻擊”作案的，即蓄意誘騙并操縱幾名內(nèi)部員工來執(zhí)行某些操作，讓他們泄露機密資訊，騙取內(nèi)部系統(tǒng)訪問憑據(jù)資格，使得具有密碼雙因素認(rèn)證的賬戶也遭到攻擊。此次Twitter黑客攻擊事件震驚全球。

YouTube：對部分欺詐行為不作為

2020年7月22日的一份文件顯示，蘋果公司創(chuàng)始人史蒂夫·沃茲尼亞克在起訴YouTube及其母公司Alphabet沒有得到任何反饋后，與其他17名受害者一起再次提出訴訟，要求法院下令上述兩家公司立即將詐騙短視頻刪除，同時要求賠償。

原告方表示，YouTube幾個月以來一直允許騙子使用沃茲尼亞克的頭像和名字在YouTube發(fā)布的短視頻上進行詐騙，致使數(shù)百萬美元的加密貨幣丟失。他們在短視頻直播中插入欺詐性的信息，讓用戶相信沃茲尼亞克正在舉辦饋贈活動，誘使觀眾發(fā)送比特幣（或其他加密貨幣），并承諾雙倍的回報。毋庸置疑，當(dāng)用戶發(fā)送比特幣后根本不可能收到任何錢，騙子因此獲得了數(shù)百萬美元。他們指控YouTube和Alphabet在故意為詐騙者提供有針對性廣告的情況下，積極為他們宣傳并從中獲利。

沃茲尼亞克強調(diào)說：“此類騙局已經(jīng)并將繼續(xù)對我和其他原告造成名譽損失，如果YouTube能夠盡早采取行動阻止這類騙局，事態(tài)也不會發(fā)展到現(xiàn)在這一步。與Alphabet一樣，YouTube似乎也依賴于算法，而且在這些犯罪案件中，違法者不需要付出特別的努力，就能快速達成欺詐目的。”

代表原吿的是位于加州的Cotchett，Pitre & McCarthy律師事務(wù)所，合伙人喬·科切特指出，曾被用來宣傳比特幣空投騙局的名人除了沃茲尼亞克，還有亞馬遜首席執(zhí)行官杰夫·貝佐斯、微軟創(chuàng)始人比爾·蓋茨、谷歌前CEO埃里克·施密特、比特幣公司Coinbase首席執(zhí)行官布萊恩·阿姆斯特朗、美國電子游戲開發(fā)公司Epic Games首席執(zhí)行官蒂姆·斯威尼、FUBU服裝公司首席執(zhí)行官戴蒙德·約翰以及《富爸爸窮爸爸》作者羅伯特·清崎等。“YouTube的比特幣空投騙局規(guī)模龐大，而且仍在繼續(xù)，影響了所有地區(qū)的用戶?！痹撀蓭熓聞?wù)所的另一位合伙人布萊恩·丹尼茨說：“提起訴訟的受害者來自世界各地，包括美國、加拿大、日本、馬來西亞、中國以及整個歐洲?！?/p>

網(wǎng)絡(luò)安全公司Adaptiv的首席執(zhí)行官賈斯汀·李斯特用了一個月的時間，一直在追蹤發(fā)送到包含埃隆·馬斯克、特斯拉或SpaceX等名字的欺詐網(wǎng)址，發(fā)現(xiàn)包含一些看似可信的單詞、名稱或短語，如“1Musk……”。他同時還查到已經(jīng)報給Bitcoinabuse.com進行詐騙的66個網(wǎng)址。Bitcoinabuse.com是一個公共數(shù)據(jù)庫，專門記錄黑客和犯罪分子使用的比特幣地址。根據(jù)他的研究和來自該網(wǎng)站的數(shù)據(jù)，總共有214個比特幣被發(fā)送到包含馬斯克名字的欺詐網(wǎng)址，這些大多數(shù)由黑客通過YouTube短視頻直播共享。

歐盟：制定《通用數(shù)據(jù)保護條例》

在社交平臺上，短視頻違法案件時有發(fā)生。為了保護用戶的利益，歐盟制定了歐洲數(shù)據(jù)隱私法規(guī)《通用數(shù)據(jù)保護條例》（GDPR）。它是保護歐盟個人數(shù)據(jù)的法律。根據(jù)GDPR，違反一般條款處以1000萬歐元—2%企業(yè)年收入的罰款;違反關(guān)鍵條款處以2000萬歐元—4%企業(yè)年收入的罰款。作為目前全球在保護個人數(shù)據(jù)方面規(guī)定最嚴(yán)、處罰最嚴(yán)的法規(guī)之一，GDPR適應(yīng)云計算、互聯(lián)網(wǎng)、大數(shù)據(jù)。

據(jù)“今日俄羅斯”網(wǎng)站2020年12月15日報道，愛爾蘭數(shù)據(jù)保護委員會（DPC）近日宣布，由于Twitter未能按照GDPR的規(guī)定及時公布并妥善記錄短視頻里一起私人推文公開的數(shù)據(jù)泄露事件，它被處以45萬歐元的罰款。DPC是谷歌和蘋果等多家大型科技公司在歐盟的監(jiān)管機構(gòu)，因為這是它首次依據(jù)GDPR做出的跨境罰款決定，所以備受關(guān)注。2019年1月，DPC宣布正在對Twitter泄露數(shù)據(jù)一事進行調(diào)查。此前，Twitter也發(fā)生過類似泄露事件：使用Twitter安卓程序的用戶在更改賬戶信息（比如更新電子郵件地址）時，個人信息由于安全漏洞被泄露。在回應(yīng)GDPR的決定時，Twitter首席隱私官達米安·基蘭表示：“我們對這一錯誤負(fù)責(zé)，并始終致力于保護客戶的隱私和數(shù)據(jù)，包括通過工作迅速透明地將發(fā)生的問題告知公眾?！?/p>

GDPR要求相關(guān)企業(yè)必須在管制員察覺到數(shù)據(jù)泄露的72小時內(nèi)，通知有關(guān)監(jiān)管機構(gòu)。此外，還要求服務(wù)提供商記錄涉及哪些數(shù)據(jù)、可能受此情況影響的個人以及他們是如何應(yīng)對安全事件的，以便相關(guān)數(shù)據(jù)主管可以檢查其合規(guī)性。DPC在一份聲明中稱，“已發(fā)現(xiàn)Twitter違反了GDPR第33（1）條和33（5）條，Twitter未及時將違規(guī)情況通知DPC，且未充分記錄違規(guī)情況”。DPC最初曾考慮對Twitter處以15萬—30萬歐元的罰款，但奧地利、德國和意大利當(dāng)局紛紛表示這一處罰不足以發(fā)揮重要作用，該機構(gòu)隨后決定加大處罰力度。

編輯：夏春暉? 386753207@qq.com