xnbhthf 发表于 2009-3-11 21:42:22

信息时代“失身”焦虑

  2002年万圣节前两天,凯文·巴罗斯侦探和联邦调查局(FBI)的特工在纽约郊外新罗切尔的一间屋子外面徘徊了许久,仍决定不下来是否应当破门而入,巴罗斯坚信这间屋子必有蹊跷,有人在那里秘密实行犯罪,应该会得到证据。此前,他和一队特工已经秘密潜入其中数个小时,搜查了所有的房间,但仍然一无所获,但几个月来的调查都指向这里,不该有什么错误,就这么空手而归?不行,他们决定最后一次再进去查一下。
http://www.dffy.com/upfile/20050601062236-0.jpg

  他们再一次仔细观察房间后,巴罗斯发现卧室里的家具有些不太对劲,尺码看上去过大了些,他又爬上室内楼梯再俯视一下,注意力被床正上方那个巨大的顶篷吸引住了,他走下楼轻推了一下顶篷垂下的皱褶,里面有什么东西因为太重终于支持不住了:无数的文件材料从中散落下来,那是私人秘密财务资料,涉及被盗取的千百人的各种信息,一起涉案金额5000万美元、被害人达30000余人的盗窃案告破。
  两年后,新罗切尔的这间屋子成为联邦执法机构炫耀成绩的焦点,美国历史上迄今为止发现的最大一起身份盗窃案件就发生在这里,犯罪嫌疑人是两个有天才头脑的人物,一个是屋主纳斯·巴莱斯特,他下面还有一伙尼日利亚裔街头罪犯,另一位是屋主的前姐夫菲利浦·康明斯,此人在长岛一家软件公司里任前台助理。
  巴莱斯特案和其他与之类似的案件是颇具前沿色彩的犯罪类型,也是美国迅猛增加的白领犯罪的主要类型之一。
  身份盗窃(identity theft或ID theft)这一概念可以在网上搜索引擎googleA>中搜到400多万张页面,顾名思义,就是盗窃他人身份的犯罪行为,这是当今一种最为隐私和隐蔽的,并且最有欺诈性和侵害性的犯罪,社会危害性极大。窃贼使用盗窃而来的被害人身份,从事人身和财产处分活动,如通常行使的银行提款、贷款、信用卡支付、或以被害人名义而进行贷款担保以及其他犯罪等等。
  身份盗窃这种新型犯罪近年在全美愈演愈烈,成为信息时代的新型犯罪类型,它与以住的犯罪不同,呈现很多特点:
  一是犯罪数量剧增,但又难以打击。
  身份丢失与发现需要一个过程,而盗窃手段的数字化、网络化使得多数消费者无法察觉这种犯罪,到危害发生时警方多也无从下手,使得犯罪难以侦破。即使以最快的速度侦查,也需要数个月的时间,有的大案耗时长达数年,其后还要花更多时间使被害者恢复其遭到破坏的信用记录。
  身份盗窃案件的增加涉及较为复杂的因素:一是网络和数字经济的快速增长,二是几十年来全球性的信用卡消费扩展,三是美国地方和联邦执法力量在打击犯罪方面的步调存在差别,四是不断改进但仍然常常存在不足的信用卡治理规则。
  这些似乎都是老问题了,政府早在十多年前就对这一问题进行了足够关注,国会也在1998年把身份盗窃规定为联邦犯罪,联邦贸易委员会(FTC)在一年后还成立了一个特殊的身份盗窃被害者帮助中心,但直到最近几年政府才摸清了身份盗窃犯罪的全景:以往,犯罪专家和联邦政府一直估计每年身份盗窃只不过数千起而已,而在2003年,FTC提供的数据显示了这一犯罪的疯狂滋长和巨大破坏力,FTC消费者保护局的报告指出,从1998年4月到2003年4月这5年中,有2730万人次遭遇身份盗窃而“失身”,其中990万人、即超过三分之一的人在最后的这一年当中成为被害者。他们所遭遇的犯罪从盗窃信用卡号码到更明目张胆的行为——如用窃得的身份进行贷款担保。统计报告显示,2003年一年中,仅因身份盗窃所致的商业和财务机构损失就高达480亿美元,而被害消费者为此花费了超过50亿的额外支出来重获新生——恢复其经济身份与自由。
  非赢利志愿者组织“身份失窃信息中心”的数据印证了这一严重势头,中心执行主管林达·弗莉指出,2002年该中心估计的“失身”人数在40万人至50万人之间,而2003年会达到75万人。对此评估,商业界都在质问有没有搞错,认为根本不会有那么多,“呵呵,我们确实是搞错了,因为现实数字要比这高得多”。
  二是被害人广泛,且损失的恢复困难。
  从目前的数据来看,身份盗窃犯罪主要是通过对被害人的财产进行非法处分来达到犯罪目的,虽然从最终意义上讲,一旦犯罪被揭露,被害者并不需要履行因罪犯的行为而对他人产生的债务,但事情远没有这么简单。遭遇身份失窃的布里特·托马斯对此深有体会,她住在洛杉矶,是位家庭主妇,2002年,一个小偷盗得她的身份,以她的名义搞走了65000美元贷款,事发后,为了修复个人信用,她花费了好几个月的时间,“那些个不眠之夜,你为清除自己的不良记录而承受的紧张焦虑,真真让人头痛。”
  而现实中,每个人似乎都难逃这种危险。最近发生的一起身份盗窃案的被害人是家住华盛顿州博瑟县的一个刚满三周的婴儿。而政府则宣称,死人的身份多年来一直是窃贼们的目标。
  法人也难逃此劫。安全专家和执法官员指出,身份盗窃已经不限于自然人,越来越多的窃贼现在看上了公司的身份,他们盗取公司身份后,更改其雇员的认证号码,以此来担保贷款、或者制订团体租约、或购买昂贵的办公用品等等,不少法人的财务被搞得狼狈不堪。
  三是犯罪方法多样化,范围广大。
  在银行提款机附近安装摄像头盗取密码,或者用高倍望远镜观察客户的提款过程、电话窃听,或者从主人的垃圾袋内查询函件信息,这些都是传统的办法,与时俱进的窃贼们现在几乎看不上这些,他们有公司内鬼,还有互联网和黑客工具。
  现在流行的一种钓鱼网(phishing)不少人都听说过,这是飞速发展的电子商务的副产品之一。Phishing与fishing(钓鱼)同音,是这种网络欺诈行为的专用名称——窃贼用电子邮件或其他方式诱惑消费者登录一个网站,该网站一般伪装成可信度较高的银行和信用卡发行人主页,在线访问者如果根据引导而填上密码和银行账号,社会安全号及信用卡号,相关的信息就会汇总到窃贼手里,你以为自己在搞网上交易和电子支付,而你的财富已在窃贼的掌握之中了。
  以互联网作为犯罪手段,注定了身份盗窃的国际化趋势。据FBI透露,在美国发生的身份盗窃和电脑犯罪有不少是由俄罗斯的犯罪集团策划的,还有罗马尼亚和西非国家的罪犯卷入,因此,FBI正努力联合这些国家的执法机构共同解决问题。银行业自律组织的领头人物联邦储备保险公司曾于2004年6月发布警告,指出剧增的国际商务合作和往来使得身份认证工作和服务系统以及其他类型的跨国工作(者)增加了身份失窃的危险。
  四是内鬼作案,防不胜防。
  专家指出,身份盗窃流行开来后,“失身”与“赎身”已经从独立的盗窃案件进化出来,形成了前所未有的广大领域,而且对经济的破坏力也更强了。
  前述的托马斯女士的遭遇可能只是个案,但巴罗斯查获的案子就全然不同。盗贼不止贪婪和凶狠,最要命的是这类案件多与公司中埋布的内线有关。内鬼从数据库中劫持了敏感的个人信息后,就可以随便地从千万个人的兜里掏钱。
  密执安州立大学刑法学副教授、身份盗窃研究专家朱迪·科林斯认为,“我们身处信息时代,内线盗窃本来就防不胜防,现在转向了信息盗窃,特别是特定的个人信息盗窃。有了假身份,罪犯更加如鱼得水,可以以另一个人的信用任意挥霍和享受服务,而在地球村时代,我们会看到从美国盗走的身份会在全世界各个地方出现和使用,这类案子正在不断增加。”


  2003年,科氏完成了对1999年至2002年间的1000例“失身”案件的研究,她的结论之一是,有5%的案件与公开或怀疑是恐怖分子的人有关。执法官们的调查印证了这一发现,例如,爱尔兰共和军某成员和被挫败的洛杉矶国际机场爆炸阴谋相关,此类人经查严重依赖于窃得的身份作案或获取行动资助。司法部计算机犯罪调查组织之一的“网络诱捕行动”也于2003年夏开始运作,据其官方资料,也显示出盗窃身份与恐怖资助的密切联系。
  科林斯的研究还表明,身份盗窃最为重要的一个特征,表现为公司内线作案占到身份失窃案的近半数,FTC的研究也有类似结论。“内鬼常常被有组织的犯罪集团相中而拉下水”,她说,你可以发现此类组织把某个人安插于一个公司临时的位置甚或监督部门,当他们骗过关键人物或就职于这个关键位置时,偷窃身份就是个很简单的事了。
  当然,像巴莱斯特和康明斯这对搭档伙伴案件所示,植入一个内鬼有时像处理一个家庭事务那么简单,轻松可以搞定。
  我们还是回到文首的案件来看一下。
  巴罗斯现在单独开业作私人侦探,他认为,“从各个方面来看这本应是个天衣无缝的案件,进行得非常完美,但如果这俩人能再聪明一点,也就是不用电话线完成作案的话,我们或许永远不会发现他们。”
  正是这根电话线把侦探引到郊外的这所屋子里来的。
  巴罗斯和FBI探员在2002年初注意上此案,当时,底特律的FBI传给巴氏的纽约上司一起诈骗案,要求协助进行调查,实际上他们是把案件移交过来,因为底特律方明确表示本案无从下手,无法调查。
  巴罗斯早先在华尔街干过分析员,偶然的机会使他成功地侦破过一起证券欺诈案,他的上司就指明让他去调查此案。对于本案,从涉案的三个主要的公司来看,警方当时只知道有约15000人被害,缘于某个罪犯使用了公司代码和密码侵入了客户的信用记录。
  当然,某个人是否偷了别人的身份、是否用了私人注册码和密码,要调查这些相关联系并不需要运用多少智慧,最根本的问题在于是谁干的,这个却最难调查。
  巴罗斯作了曼哈顿国家助理检察官的临时助手,这对搭档开始把焦点注目于谁、能在什么关键位置上得到这些密码。
  全美有多家公司的客户身份被盗,都不清楚问题所在,公司之间也各不相同,有银行,有自动送贷商,也有医院——但调查发现,这几家之间存在一个共性,它们全都用的是长岛一家公司生产的计算机软件——豪普格远程数据联络系统,该软件提供公司使用个人电脑从已申报的公司和机构来索取和下载信用卡历史。
  巴罗斯把注意力放在类似的信息看门人职位上,仔细追踪每个前台雇员的活动,他知道,这些人可以直接接触到客户所提供的私人信息,最有可能实施身份盗窃。巴罗斯秘密核对几个公司与远程数据的电话记录,企图发现蛛丝马迹,这个自动派贷订购系统有海量的信用记载,查看这些资料连续用了四个多月,这是令人头疼的四个月,大海捞针一样艰难。
  幸运的是,巴罗斯捞到了他的针:有一个号码指向了巴莱斯特在新罗切尔的家。
  剩下的事正如读者在本文开始所看到的一样。发现了卧室中的信用卡秘密后,他们又发现了更多记录了巴莱斯特付款和入款的细账,巴罗斯又在卧室里藏着的一个手提电脑里面找到了一个文件,里面的一个文件属于屋主的前姐夫康明斯,此人正在远程数据前台工作!
  调查表明,巴莱斯特在2001年跟康明斯接上了头,并答应给钱让他下载尽量多的客户信用资料史,之后他又取得密码以便直接从远程数据系统来下载,他的手下另外还至少有20多个尼日利亚裔街头混混在布鲁克林和布隆克斯从事边缘工作,巴氏给他们取得的每个信用卡支付60美元。
  被害者姓名及密码信息和信用卡对应上以后,这些混混们一卡在手,闯入超市,疯狂购买货物,而后再把买来的东西卖给他们自己的商家,卖出价一般只是持卡买入价的一半,而身份窃贼也要用偷来的信息想法耗尽主人的银行账户,例如把直接账目中的地址改掉或把资金贷出。
  据执法官员讲,巴、康二人组合在2000年至2002年之间偷取了3万多人的身份,获利上千万美元。法庭材料则将二人指为此一犯罪的设计者,至于二人如何分配赃物,检察官办公室拒绝透露。
  小屋被搜查后不久,这二人和另外涉案的5人被捕,依曼哈顿联邦法律,巴、康二人被确定为欺诈罪,等待审判。
  面对管理疏漏的指责,远程数据公司总裁威廉·纳斯不断辩称,说他的公司在雇佣康明斯时曾经详细调查过他的工作记录,此前康在大银行干过七年多,而康在远程数据工作始于1999年6月,干了只不过九个多月,多数犯罪发生在他离开公司的阶段,而远程数据也自此升级了其产品和程序以防止类似的问题再发生。纳斯称,任何公司对于这种狡猾的内鬼都难以应付。
  巴罗斯对此表示同意,他认为,最难于击败的是内鬼,因为无论你多么努力防范,受到腐蚀的内线总会钓取客户资料,像巴、康这个案子“可能永远无法解决,直到偶然的幸运使得一切发生了根本改变”。
  确实得承认,抓住这二位的过程中运气占了很大的比重,而“运气”二字是执法者们打击身份盗窃犯罪的共识,他们对类似的案子作过无数的调查和处理工作,但不得不承认,要破案实在是太难了。
  此外,还有重要的一点,执法者也都不想接手身份盗窃案。前文中我们已经交代,巴、康案是底特律的FBI推过来的,这种案件查获后,更难的在起诉,专家认为,对这类案件的起诉受制于陈重守旧的执法官僚体制,这使身份盗窃更难防范或缓和。布什于2004年签署法律,要严惩身份盗窃行为,但很多执法者认为以往的障碍犹存,小案子时常被忽略拖延直到形成巨额损失和造成极坏的影响时,才会被严加查处。
  FBI网络犯罪投诉中心主任拉尔金直接承认,对他而言,在动用资料之前,要累积案件是个很显见的现实,通常他们都会把小案子积少成多然后再处理,这种现象正在改观。FBI过去几年一直在推动大公司局内和当地执法机构协作,FBI现在如受邀请,也有能力介入当地的身份盗窃调查。
  体制因素制约着这类犯罪的查处。对被害者而言,苦头也不少,例如,要求警方定期作出安全报告,往往是件沉重的、等不到尽头的事情:联邦体制内还好点,而地方警方基本上并不对发生于外地的本地居民身份失窃问题作出报告,而绝大多数州也不要求警方这样做。直到信用卡发行人和报告到局里的被害人双方都请求警方时,案子才被认真对待。这些,都使得被害人和其他消费者在试图修复遭到破坏的信用记录时不知所措。
  2003年,布什政府签署法律,扩大了消费者信用保护范围,也承诺将设立新的法规使得消费者个人简化了解决“失身”问题和保护账号的问题,新法已于2004年12月生效,它规定消费者一旦被发现“失身”警方就应当作出报告。
  保护应是全方位的,根据研究信息技术的Gartner公司的民意调查显示,民间的批评主要针对银行、财务服务公司和其他信用卡发行公司,他们认为这些公司没有安装更为严格的电脑扫描和加密程序以保护消费者账户安全,最终迫使身份失窃被害人承担了罪犯们的社会经济支出。“身份失窃信息中心”的弗莉认为,由于身份盗窃已经产生了一个自我责备的被害者群体,而多数问题起源于公司对消费者和雇员掌控信息的管制太松。
  有些被害人在经受修复信用记录的漫长折磨后,已经意识到谁该为此受到指责,托马斯女士就是这样。“我的怒气从朝向身份盗窃者很快转移到了信用卡保护体制本身”,她说这一体制大大忽视了她克服身份盗窃后的努力,也根本不管被害人经受的打击。银行和其他一些信用卡公司则认为自己也是冤枉的,他们自承也十分关注身份盗窃这场战争,而且是作为最优先的事情加以考虑,银行家协会的成员也遭遇过“失身”,保密服务和客户教育也越来越严格。


  VISA和MASTER这两家最大的信用卡公司也发表声明,称他们正在更加仔细和严密地保卫客户的账号,一个最新的举措,就是现在在投递往客户家中的信件上删除了相关的数字信息。两家公司也都开始在互联网上监视盗窃信用账号和其他个人信息的事态发展,他们发现,一个人的身份在网上只值10美元,既然一个ID这么便宜,也难怪罪犯们会如此轻松地把自己扮作另一个人“大显身手”。
  弗莉指出,身份盗窃的最终限度就是小偷们的创造力,这太具有讽刺意味了,因为人的创造力是无止境的。看来,这场由窃贼引路的疯狂旅程还远没有到达终点的时候。
页: [1]
查看完整版本: 信息时代“失身”焦虑