那些騙子教會我的事 - 網路詐騙如夢幻泡影

一個人成不了大事，但是一群人，可以。

資料科學 Data Science 其實是一門喜歡說故事的人來參與的。當然說故事的方法有很多種，有的人看圖說故事，有的人看文字說書，我們則是看著資料data，嘗試著幫資料發聲說故事。

以下我要說的，是從資料裡面冒出來的聲音，我扮演著接線生的角色，把這些聲音串接起來，像串珠子一樣，有了個形狀，雖然結果還挺驚人的。

不管是什麼樣的騙術，都至少要有甲乙雙方的參與才能成立。一方願打，一方願挨，只是結果有人歡喜，有人委屈。很多時候受傷的不只是錢，還有真心。

從二十多年前電商eCommerce剛起飛時就一直存在著。一般交易的成敗取決於雙方對彼此的信任程度，買方相信賣方的東西貨真價實物超所值，賣方也相信買方貨到付款且付的是真鈔。所以意圖詐騙的賣方可以假裝自己賣的是真材實料，或假裝自己過去是個有信譽的商人。意圖詐騙的買方則可以假裝自己有的是錢，不管是不是自己的錢。

要假裝自己一直以來都是個有信譽的商家，這在網路的虛擬世界裡，最快速又有效率的做法，就是盜用別人的帳號，而且要盜用有良好信用的帳號。這個方法就是 Account Takeover (ATO)，完全是變臉Face/off的應用，把自己換成一張有信譽的臉，使用那個身份，佯裝下去。

如果是八個字母的帳號，會有兩千多億種排列組合，用人腦可能一輩子也解不出來，但是用電腦可以在一分鐘內破解完成，至多不超過一個小時。如果是九個字母的密碼，那就要三天了。十個字母呢？五個月。如果是十二個字母，那就要三千年，等到地老天荒海枯石爛，這也是我所能想像到的最爛漫的事。而每天有超過兩千起的專業網路駭客行為正在進行，所以讀到這裡，你應該至少要檢查你所使用的密碼長度。

盜竊的方法有很多種，有的是測試一道道的門鎖，一道道的破; 有的是擒賊先擒王，抓到一個維安漏洞，再把手伸長從洞穴裡拉出一整個大蜂窩，有源源不絕的甜美蜂漿流溢而出。 Uber在2016年十月遇到的狀況就是後者，當年的Uber已經在世界上的五百個城市運轉著，有五千七百萬個用戶資料受波及。為了確保這些個資不外露，駭客在當年的黑市索價十萬美元，在江湖上就稱作保護費。當然Uber不是第一個被收取保護費的，也不是最後一個。當初的這個事件牽扯出更多的錯綜複雜，Chief Security Officer 受牽連，到今年九月案件的審理還在進行中。

破解密碼的駭客同時也是進行詐騙的人嗎？就跟報團旅行一樣，旅行團一般要有一條龍的服務。旅行社幫你安排行程，到了當地有當地熟門熟路的導遊接手，再跟當地的餐廳接洽三餐事宜，同時要有租車公司打點舟車往返景點，下榻休息則有旅館接應。通常破解帳號的駭客，只擔任了一條龍中的上游角色，因為駭客的酬庸有多高呢？

在美國的ethical hackers (就翻成有道德感的駭客好了)，他們偵破網路維安破洞，但自己並不利用這個缺口，而是在偵破後告知對方維修。這過程有點像專門打電動破關解碼的人，協助電玩產品設計的提升。這種有道德感的駭客，年薪的中位數在十七萬到三十七萬美元不等。相較於每年因網路維安缺漏造成約六十億美元的損失，和公司的形象受挫相比，這只是九牛一毛。那麼不打算走道德路線的駭客呢？

網路上這一堆被破解密碼後的帳號，就進入黑市被論斤論兩一批一批的賣。而接手這些帳號的人，就是日常生活中執行詐騙任務的人。

Catch me, catch me not. 有組織有紀律的世界級詐騙集團，一天可以讓一家有規模的公司輕輕鬆鬆的流失一百萬美元。官兵抓強盜，官兵有時候真要懷疑自己是不是站錯邊了。詐騙也有社交群組互通有無，今天在拉丁美洲用這個方法網路詐騙成功，明天就在英國倫敦看到一樣的手法，接著就到了新加坡，所以網路官兵的破解速度也要夠快。

執行網路詐騙的組織，就跟一般的公司一樣，也有一個辦公室，裡面有好多僱員忙碌著。這在許多電影電視劇裡的場景都出現過，實際上在過去的破案現場看到的也是如此，同時會查獲一屋子的手機，好像夜市堆積如山的A貨那樣，供網路詐騙用。

高明的詐騙，與其守株待兔，佯裝自己是個有信譽的商家等待無知的買方上門，還不如讓自己同時扮演著甲乙兩方的角色，這讓犯罪的時間和地點變得更有彈性，騙子可以到夏威夷渡個假身心靈都放鬆後再上工。

既然已經在黑市買了一堆破解密碼後的帳號，那麼拿一個當賣方，另一個當買方，剩下的就是錢從哪裡來的問題。就跟盜用網路帳號一樣，再去黑市買一些盜用的信用卡，如此就有了媒介。賣方假裝出售一台水果牌電腦，買方用盜用的信用卡付款，賣方隨即將收到的款項轉至銀行帳號並提領現鈔(包括這銀行帳號也是偷來的作為轉帳用)，如此大功告成。既然手邊有許多張盜用的信用卡和許多個盜來的帳號，那麼就可以同時進行多筆買賣，把錢轉入自己的口袋。

今天我寫得出這些網路詐騙的規格，就代表這些規格都有相對應的破解之道，常常一種規格在演進到下一種規格之前還可以有三十六變。在網路上凡走過就留下足跡，足跡就是資料，只是足跡交互雜沓需要整理歸納成蛛絲馬跡供偵測用，所以有資料工程師 data engineer 和資料科學家 data scientist 的角色出現。

今天所有具規模的網際網路公司，都有這樣一群人對應著網路詐騙的一條龍，從上游防堵駭客入侵(每天的攻擊次數以百萬為單位計算)，到中游偵測詐騙行為的發生(有無數的Machine Leanring與樹狀決策模型待命)，到下游堵住讓詐騙來的錢也流不到騙子的手上。至於防守的藝術，有寧可錯殺一百也不錯放一人，也有寧可縱放一百也不錯殺一人，還有怎麼做可以面面俱到的錯綜複雜。更有甚者，警力和FBI也如影隨行，如有重罪者可處二十年徒刑。