網絡新危機：黑客經濟犯罪透視(1

　　　　中國證券市場發(fā)展很快，成績很大，但是很不規(guī)范。要取得全國人民的信任，股民的信任，還要做大量的工作。

　　——朱榕基

　　計算機網絡的發(fā)展，為經濟領域展現(xiàn)了美好的前景。銀行聯(lián)網，方便了轉賬、結算，“金卡”工程使人們更加便捷地使用信用卡?！敖鸲悺惫こ淌沟脟腋行У剡M行稅收管理，使納稅人交稅更加方便。證券市場計算機網絡的應用，使“無紙化”交易成為可能，新興起的“電子商務（E-Bussiness）”更使得人們的生活方式發(fā)生了改變，以往科幻小說里的場景，正在一步步成為現(xiàn)實。

　　但是任何美好的事物都伴隨著罪惡。計算機網絡在經濟領域大顯身手的同時，通過計算機網絡的經濟犯罪也在增加，計算機網絡無疑“放大”了犯罪分子的能量，高技術的犯罪分子僅僅用一臺計算機，就可以使成千上萬的資金流失，人們享受網絡發(fā)展帶來的便利的同時，也付出了資金安全風險的代價，這就是好與壞的辯證法。

　　金錢，永遠是罪犯們追求的目標之一，所謂“人為財死，鳥為食亡”。利用計算機進行經濟犯罪竊取詐騙別人的錢財，是黑客們的慣用伎倆。信息時代的來臨，使得金錢通過計算機網絡進行流通，使得黑客們有了可乘之機，于是，掌握進入商業(yè)計算機系統(tǒng)的通路就相當于掌握了進入金庫的鑰匙。

　　臭名昭著的黑客組織“詐騙高手小組”的創(chuàng)建者之一。計算機黑客約翰·李談了他十年的黑客生涯，他12歲時開始成為黑客，這期間還包括他十八九歲時在獄中呆過的一年，李不承認他干了什么壞事，他說，他在計算機上“按五個鍵就可以犯罪”。他可以做到以下幾點；改變信用卡記錄和銀行存款余額；免費乘坐機場巴士、免費搭乘班機、免費住旅館、吃飯“無需任何人付帳”；改變公用事業(yè)費用和房租；向互聯(lián)網絡上的所有用戶免費分發(fā)計算機軟件程序；輕而易舉地獲取有關交易內幕的信息。雖然坐牢“一點也不好玩”。但李承認，他肯定不能抵制再干一次的誘惑。

　　加利福尼亞州立大學的杰羅姆在進行一番獨創(chuàng)性的研究．后，在《司法評論》的一篇報告上公開了他對一個稱為“詐騙高手”的新犯罪團伙的調查結果。這些職業(yè)小偷通過偽造申請或電子偷竊獲取信用卡，然后將其在國際伙伴間流通，以騙取錢財。這些年輕人在貧困中長大，他們希望過上“好日子”。他們?yōu)樽约旱钠垓_技巧而得意洋洋，甚至狂妄到覺得他們不會被抓住。的確，在杰羅姆對他們進行跟蹤調查的5年間，他們中沒有一個人被抓住。

　　那些有不滿情緒而又為金錢而奮斗的雇員給商業(yè)造成的威脅更大。零售店的內部竊賊掌握內部消息和進入計算機的通路，造成的危害比黑客和恐怖分子更加嚴重。

　　一、黑客，第二只“金融大鱷”

　　金融領域是直接與貨幣打交道的。黑客能從中直接獲得利益，故在金融領域活動，是黑客犯罪的首選目標。黑客利用計算機技術在金融領域興風作浪，扮演繼索羅斯之后第二只“金融大鱷”的角色，金融界業(yè)內人士談黑色變。

　　計算機黑客們的經濟犯罪有多種多樣的方式，涉及經濟的各個領域，凡是應用計算機網絡進行資金管理的地方，就有犯罪的可能，信用卡的廣泛使用，電子貨幣的普及，使得信用卡領域成為黑客們的最愛。

　　失信的信用卡系統(tǒng)

　　在美國，信用卡普及率非常高，據統(tǒng)計，平均每個美國人擁有1．7張信用卡，信用卡涉及的資金流通占整個美國資金流通量的13％，所以，美國也就成為信用卡事故的“高發(fā)區(qū)”。

　　1998年10月20日三名十幾歲的美國黑客聲稱他們偷偷進入了一家叫Dalco Electronicsd的電子產品零售店的服務器內，竊取了大約8000份用于在線信用卡訂購的訂單，里面包括該零售店過去兩年以來的訂單，幸虧這幾個黑客僅僅為了好玩，而并沒有利用這些資料。這幾名美國黑客聲稱，他們向Dalco服務器內上載了一個叫Sery·U的FTP服務器器件，其缺省目錄設置成了目標機器均硬盤，該程序在后臺運行。這樣黑客就可以瀏覽目錄并竊取數(shù)據了。一個安全專家認為，將這么多訂單留在能連人互聯(lián)網的機器里簡直就是在邀請黑客進來。較好的處理辦法是在處理完在線訂單以后立即刪掉。

　　2000年1月20日，美國加利福尼亞州一家公司遭黑客襲擊達數(shù)小時，致使公司的信用卡數(shù)據庫泄露。這一事件再次引起人們對電子商務安全性的關注。受害者是位于加州的“環(huán)球健康特拉克斯公司”，這家專營飲食補給品的公司在全美擁有3500家經銷商。l月17日，黑客侵入了公司的網址，結果造成國內數(shù)百個經銷商的財務信息泄露，包括家庭電話號碼、銀行賬戶及信用卡號。隨后，信用卡公司發(fā)現(xiàn)有人從網上音樂商店“CD宇宙”盜用他人信用卡號．于是注銷了數(shù)千張能被解密的信用卡；信用卡公司說．“CD宇宙”案導致他們采取了最大一次hi用卡集體注濟河動。待拉克斯公司認為，這一事件是由公司的3名前雇員制造的。

　　2000年2月一家叫San Carlos的互聯(lián)網公司確認黑客已經進入了公司的電腦并且盜取了幾千個密碼和1．5萬個卡號。Real Names事前就攻擊事件告誡了其用戶。Real Names 公司主要是向網站管理員銷售容易記住的關鍵字，使用戶可以很快找到很長的網址。Real Names通知了FBI和信用卡公司，讓他們更改賬戶。在該公司5萬個客戶中大約13％用信用卡付款，本地用戶包括Women．com和eBay。使用RealNames技術在站點上購物者的卡號沒有危險。

　　2000年1月，Pacific Bell也要求用戶更改密碼。這是在黑客盜取了6萬個密碼而且攻擊了超過24個其他的互聯(lián)網絡服務供應商、商家和學校之后。Real Names的總執(zhí)行官KeithTeare說Real Names沒有在公司自己的電腦上加密卡號，因為在防火墻后面很安全。但在黑客案件后，Tears表示公司已安裝了第二層防火墻并且加密了卡號。還向ISS，亞特蘭大的一家在線聯(lián)網安全公司尋求幫助。

　　2000年3月6日，紐約Buffalo一家名為Sales Gate com的電子商務網站又遭黑客闖入。黑客竊取了用戶的信用卡密碼，并將這些資料在網上公布于眾。據悉，還有幾家網上商店也遭到了類似的攻擊。

　　Sales Gate．com創(chuàng)建人Christopher Keller肯定了這一消息。但他表示，并不是所有的賬戶都被攻擊，“我們已了解清楚有哪些用戶的密碼被竊取，并立即通知給那些用戶和銀行?！?

　　Keller拒絕透露該網站遭遇襲擊的確切時間。他說，他們正在協(xié)助聯(lián)邦警局著手進行調查，關于此次攻擊事件的細節(jié)將在稍后公布。

　　這名黑客的主頁名為‘“Curador·The Of E·Com．merce”，他已將6000余個信用卡號碼公布在該網頁上?！癈urador”將他攻擊過的網站列表放在他的站點上，列表包括Fellgoodfalls．com，Pro。bility．com和Shopping Thailand．com等在線銷售商?！癈urador”聲稱，他已掌握這些網站的至少2300個信用卡號碼。

　　“Curador”主要是利用了微軟軟件的一個還沒被修復的漏洞對上述網站進行攻擊的。他已至少闖入過12個站點。加拿大、泰國、英國及美國的警方都在追捕他。

　　比爾·蓋茨是當今世界首富，其資產到1999年底已達1000億美元，“人怕出名豬怕壯”，蓋茨的巨額資產引起了眾多黑客的覬覦。

　　2000年2月8日，英國《每日紀事報》報道：m歲的“庫拉多”是在他位于美國科羅拉多州的寓所中，閑來無事在互聯(lián)網闖入某網頁時，竟然給他發(fā)現(xiàn)了全球最有錢的富商蓋茨的信用卡資料。

　　他聲稱，自己在闖入一家以泰國為基地的網上商場，并竊取了至少五千名顧客的信用卡資料，并威脅再將千人資料上網。

　　“庫拉多”其后把蓋茨信用卡號碼等資料，放在美國全國廣播公司（NBC）附屬一個向互聯(lián)網用戶提供個人網頁的網址XOOM COM中，這不但使瀏覽該網頁的人盡數(shù)得悉蓋茨的信用卡資料，而且還可能讓不法之徒有機可乘，拿取這些資料犯案。

　　到底“庫拉多”此舉是出于什么動機？據他自己聲稱，他這樣做是為了解悶，他說：“我主要的動機是出于無聊，是單純及簡單的，所以我才‘闖入’?！庇终f：“我不會要求那家完全不知我已把這些資料置于網上的電子貿易公司給我金錢?！?

　　微軟發(fā)言人索思沒有證實蓋茨的信用卡資料是否被人在網上公共場所公開，但說：“非常不幸，竟然有人做這種事。這是不負責任及犯法的?！?

　　至于該網負已在全國廣播公司職員收到一名顧客的警告后被關閉，并已向有關部門報告。

　　不過，微軟公司發(fā)言人承認，不清楚該網址已存在了多久，也不知有多少人曾測覽該網址。

　　這次是微軟公司半年內發(fā)生的第二宗尷尬事件，半年前該公司旗下向互聯(lián)網用戶提供電子郵件戶口的Hotmail，被黑客入侵，并取得數(shù)以千計用戶的個人資料，其后，微軟公司聲稱已安裝了互聯(lián)網上其中一個最安全的密碼。

　　除了蓋茨的微軟，其它的跨國公司也難逃黑客的魔掌。

　　2000年2月18日據英國《星期日泰晤士報》報道：一批黑客在過去幾個月里入侵了至少12家跨國公司的電腦系統(tǒng)竊取機密資料，然后向受害公司勒索。其中一家受害公司Visa 信用卡公司被勒索高達1000萬英鎊。英國警方認為，從作案手段春，這些黑客都是專業(yè)老手。他們作案的手法顯示，某些案件是受雇于人的有償服務，有可能受雇于某個犯罪集團。

　　報道援引一位警察的話說，這是英國有史以來最嚴重的有計劃入侵公司電腦系統(tǒng)案件。他們的作案手法非常先進，而且一直在利用電子郵件和網上聊天互通信息。

　　Visa信用卡公司公開承認，其英國分公司五月接到一個匿名勒索電話和相同內容的電子郵件，勒索金額高達1000萬英鎊。該公司的一位發(fā)言人說，他們的系統(tǒng)在1999年7月份被黑客入侵，一些內部資料被竊。他們已將上述情況通知蘇格蘭警察局和美國聯(lián)邦調查局。

　　據報道，黑客從Visa公司電腦系統(tǒng)盜取的資料是編寫系統(tǒng)軟件所使用的源程序，而且聲稱，如果Visa公司不合作，就會使整個系統(tǒng)癱瘓。據報道，Visa公司有8億個信用卡客戶，每年營業(yè)額近1萬億英鎊，只要其電腦系統(tǒng)癱瘓一天，便有可能損失數(shù)千萬英鎊。

　　報道說，黑客的成功表明，商業(yè)電腦系統(tǒng)并不安全，還存在著許多漏洞。

　　從以上，我們可以看出，信用卡是計算機黑客們經常作案的對象，這既有管理上的原因，也有技術上的原因，下面我們分析一下技術上的原因。

　　如果加強預防，盡可能地截斷一切與計算機的非法連接，計算機犯罪就會大大減少。現(xiàn)有的預防措施一般是通過一些技術來鑒定程序編制員和計算機使用者。例如，分配給想與計算機系統(tǒng)接通的人一個秘密口令或識別碼。在執(zhí)行任何數(shù)據處理或程序之前，他必須把該識別碼先輸入計算機。識別碼輸入后，計算機立即就可確定該使用者的身份，并把它導入計算機系統(tǒng)的專門記存工作時間和工作性質的儲存裝影內，然后對該使用者提出一些執(zhí)行什么功能的限制。使用秘密口令也不安全，因為它是非常容易被盜用的。即使沒有口令，只要有口令的基本圖案，計算機專家也能做出準確的推測，設法使用計算機。通行詞不是唯一的，它并不能真正標明特定個人的特征。它僅僅證明某人有一合乎手續(xù)的通行識別碼，而沒有表明這個人的實際身份。后來改為使用一組口令，把特定物理終端與使用者區(qū)別開來。這種終端通過硬件來識別，苦執(zhí)行正確，使用者甚至無需知道這種形式的終端口令是否存在，別可接通使用。這種相結合的方法雖然較為安全，但也不是堅不可摧的。將采聲音識別、指紋識別等手段完善之后，可能有助于改進這種方法。

　　既想避免本經認可的使用者與計算機接通，又想使認可的使用者易于與計算機系統(tǒng)接通，這兩者是相沖突的。越是使認可的使用者易于接通，那就使罪犯越易于得手。要防止狡猾的罪犯得手，就必須使系統(tǒng)更加復雜，以致普通使用者難以接通?？梢姲踩耘c經濟性、可通知性是不相容的。只有極端簡易、高度精確的預防電子鑒別方法才能解決以上矛盾。但這種技術至今尚未出現(xiàn)。其實，完全無機可乘的計算機系統(tǒng)也是無法設計的。

　　使用銀行信用卡邁過自動提款機提取存款是方便的。提款時，只要把信用卡插進付款機，用鍵盤打出幾個口令號碼和提取款數(shù)，就可以把款取走。如前所述，四個經常被盜用，而且信用卡實際上很容易偽造。因此，罪犯總能設法用偽造的信用卡和四個盜款。無論把信用卡本身搶得多么復雜，只要它是所有金融機構按照統(tǒng)一規(guī)格各自制造出來的，它就必然存在發(fā)行時搞鬼的可能性。把信用卡的制作方法搞得復雜些固然是個辦法，但更安全的辦法是使口令號碼成為真正的密碼，例如不得把口令錄制在信用卡上，只能把它保存在總行電子計算機上的特殊儲存裝置里，或者可隨時、隨意更換通行詞號碼，例如把特殊的、用于記錄通行詞號碼的機器與現(xiàn)有的自動付款機連放在一起使用。這種機器上應裝有用于信用卡的讀出裝置和數(shù)字鍵盤，它能從信用卡上讀出銀行名稱、分行名稱、存款方式以及賬號等內容。存款人把舊的通行詞號輸送進去，“更改記錄機”便把從信用卡上讀出的信息與存款人輸入的p令號碼一起傳送給總行計算機?？傂杏嬎銠C根據賬號找出以前存儲進來的口令號碼，并與存款人此時輸入進更改記錄機里的口令號碼進行核對。如果新舊號碼一致。接到該指令后，存款人便可破前鍵盤，把新的口令號碼輸入?？傂杏嬎銠C將用這個新號碼更換原來的口＞號碼。