一個人成不了大事,但是一群人,可以。
資料科學 Data Science 其實是一門喜歡說故事的人來參與的。當然說故事的方法有很多種,有的人看圖說故事,有的人看文字說書,我們則是看著資料data,嘗試著幫資料發聲說故事。
以下我要說的,是從資料裡面冒出來的聲音,我扮演著接線生的角色,把這些聲音串接起來,像串珠子一樣,有了個形狀,雖然結果還挺驚人的。
不管是什麼樣的騙術,都至少要有甲乙雙方的參與才能成立。一方願打,一方願挨,只是結果有人歡喜,有人委屈。很多時候受傷的不只是錢,還有真心。
網路詐騙
從二十多年前電商eCommerce剛起飛時就一直存在著。一般交易的成敗取決於雙方對彼此的信任程度,買方相信賣方的東西貨真價實物超所值,賣方也相信買方貨到付款且付的是真鈔。所以意圖詐騙的賣方可以假裝自己賣的是真材實料,或假裝自己過去是個有信譽的商人。意圖詐騙的買方則可以假裝自己有的是錢,不管是不是自己的錢。
要假裝自己一直以來都是個有信譽的商家,這在網路的虛擬世界裡,最快速又有效率的做法,就是盜用別人的帳號,而且要盜用有良好信用的帳號。這個方法就是 Account Takeover (ATO),完全是變臉Face/off的應用,把自己換成一張有信譽的臉,使用那個身份,佯裝下去。
Face/off 變臉 - 把自己換成一張有信譽的臉,使用那個身份,佯裝下去。照片攝於 Monterey Bay Aquarium
要盜用帳號就要能破解密碼
八個字母的帳號,會有兩千多億種排列組合。電腦可以在一分鐘內破解完成,至多不超過一個小時。照片攝於台灣某公園
如果是八個字母的帳號,會有兩千多億種排列組合,用人腦可能一輩子也解不出來,但是用電腦可以在一分鐘內破解完成,至多不超過一個小時。如果是九個字母的密碼,那就要三天了。十個字母呢?五個月。如果是十二個字母,那就要三千年,等到地老天荒海枯石爛,這也是我所能想像到的最爛漫的事。而每天有超過兩千起的專業網路駭客行為正在進行,所以讀到這裡,你應該至少要檢查你所使用的密碼長度。
盜竊的方法有很多種,有的是測試一道道的門鎖,一道道的破; 有的是擒賊先擒王,抓到一個維安漏洞,再把手伸長從洞穴裡拉出一整個大蜂窩,有源源不絕的甜美蜂漿流溢而出。 Uber在2016年十月遇到的狀況就是後者,當年的Uber已經在世界上的五百個城市運轉著,有五千七百萬個用戶資料受波及。為了確保這些個資不外露,駭客在當年的黑市索價十萬美元,在江湖上就稱作保護費。當然Uber不是第一個被收取保護費的,也不是最後一個。當初的這個事件牽扯出更多的錯綜複雜,Chief Security Officer 受牽連,到今年九月案件的審理還在進行中。
駭客任務
破解密碼的駭客同時也是進行詐騙的人嗎?就跟報團旅行一樣,旅行團一般要有一條龍的服務。旅行社幫你安排行程,到了當地有當地熟門熟路的導遊接手,再跟當地的餐廳接洽三餐事宜,同時要有租車公司打點舟車往返景點,下榻休息則有旅館接應。通常破解帳號的駭客,只擔任了一條龍中的上游角色,因為駭客的酬庸有多高呢?
在美國的ethical hackers (就翻成有道德感的駭客好了),他們偵破網路維安破洞,但自己並不利用這個缺口,而是在偵破後告知對方維修。這過程有點像專門打電動破關解碼的人,協助電玩產品設計的提升。這種有道德感的駭客,年薪的中位數在十七萬到三十七萬美元不等。相較於每年因網路維安缺漏造成約六十億美元的損失,和公司的形象受挫相比,這只是九牛一毛。那麼不打算走道德路線的駭客呢?
網路上這一堆被破解密碼後的帳號,就進入黑市被論斤論兩一批一批的賣。而接手這些帳號的人,就是日常生活中執行詐騙任務的人。
詐騙完全是道高一尺魔高一丈的藝術
Catch me, catch me not. 有組織有紀律的世界級詐騙集團,一天可以讓一家有規模的公司輕輕鬆鬆的流失一百萬美元。官兵抓強盜,官兵有時候真要懷疑自己是不是站錯邊了。詐騙也有社交群組互通有無,今天在拉丁美洲用這個方法網路詐騙成功,明天就在英國倫敦看到一樣的手法,接著就到了新加坡,所以網路官兵的破解速度也要夠快。
執行網路詐騙的組織,就跟一般的公司一樣,也有一個辦公室,裡面有好多僱員忙碌著。這在許多電影電視劇裡的場景都出現過,實際上在過去的破案現場看到的也是如此,同時會查獲一屋子的手機,好像夜市堆積如山的A貨那樣,供網路詐騙用。
一人飾二角
高明的詐騙,與其守株待兔,佯裝自己是個有信譽的商家等待無知的買方上門,還不如讓自己同時扮演著甲乙兩方的角色,這讓犯罪的時間和地點變得更有彈性,騙子可以到夏威夷渡個假身心靈都放鬆後再上工。
既然已經在黑市買了一堆破解密碼後的帳號,那麼拿一個當賣方,另一個當買方,剩下的就是錢從哪裡來的問題。就跟盜用網路帳號一樣,再去黑市買一些盜用的信用卡,如此就有了媒介。賣方假裝出售一台水果牌電腦,買方用盜用的信用卡付款,賣方隨即將收到的款項轉至銀行帳號並提領現鈔(包括這銀行帳號也是偷來的作為轉帳用),如此大功告成。既然手邊有許多張盜用的信用卡和許多個盜來的帳號,那麼就可以同時進行多筆買賣,把錢轉入自己的口袋。
兵來將擋,水來土掩
今天我寫得出這些網路詐騙的規格,就代表這些規格都有相對應的破解之道,常常一種規格在演進到下一種規格之前還可以有三十六變。在網路上凡走過就留下足跡,足跡就是資料,只是足跡交互雜沓需要整理歸納成蛛絲馬跡供偵測用,所以有資料工程師 data engineer 和資料科學家 data scientist 的角色出現。
飛鴻踏雪泥,不管深淺,都是足跡。照片攝於 Lake Tahoe
今天所有具規模的網際網路公司,都有這樣一群人對應著網路詐騙的一條龍,從上游防堵駭客入侵(每天的攻擊次數以百萬為單位計算),到中游偵測詐騙行為的發生(有無數的Machine Leanring與樹狀決策模型待命),到下游堵住讓詐騙來的錢也流不到騙子的手上。至於防守的藝術,有寧可錯殺一百也不錯放一人,也有寧可縱放一百也不錯殺一人,還有怎麼做可以面面俱到的錯綜複雜。更有甚者,警力和FBI也如影隨行,如有重罪者可處二十年徒刑。
Catch you, whenever I can. 照片攝於 San Diego Zoo