網絡金融黑市愈鬧愈大
2005-04-29 00:44:03秦曉歡
海外星云 2005年22期
美國每年約有1000萬人的金融、信用等等個人資料被竊取,造成530億美元的損失,也造就了一個活力十足的跨國網絡黑市,蠶食全球金融實力。
4000萬筆信用卡資料可能外流!這項破紀錄的龐大網絡個資外泄案,再次亮起網絡時代商務安全的紅燈。
美國萬事達發卡組織(MasterCard International)6月17日表示,該卡的部分客戶信用卡資料可能外泄。這個事件不只是萬事達卡用戶受累,還牽涉到VISA等多家信用卡公司。目前這起信用卡資料外泄牽連多廣還難以斷言,但其中20萬筆分屬不同發卡公司的信用卡最危險。
事情起源于今年4月間,萬事達卡監控發現有卡被盜刷,并追蹤到來源是外包的中介公司CardSystems,于是5月中,萬事達與VISA以及另一家銀行一起要求這家公司,讓獨立調查單位介入了解公司作業,進而確認了資料外泄事件。
禍起!清賬公司違反規定
由于信用卡的交易量龐大,發卡單位不可能自己處理這些交易,而是外包給其它清賬公司,清賬公司便成了發卡單位與商家進行交易的中介。美國有數百家這類公司,CardSystems Solutions是其中一家。這家位于美國亞歷桑那州的清賬公司,每年處理的交易金額超過150億美元,公司計算機中有4000萬筆信用卡資料。如果4000萬資料流出,將是前所未見的創紀錄。
中介的清賬公司與商家簽約,他們通常設有網站,讓簽約商家可以上網查詢每天交易情況,這也開啟了黑客入侵之門。若嚴格依照萬事達與其它信用卡公司的規定,中介公司完成交易、把信用卡資料轉交發卡銀行后,不能把信用卡的資料保留下來,但CardSystems未嚴格遵守這項規定。這家公司執行長佩里(John M. Perry)坦承,他們留下約20萬筆客戶資料。他說,這些資料是用來做研究之用,以了解為什么有些信用交易會授權失敗。這些資料除了包括信用卡用戶的名字、卡號、期限,更嚴重的是還包括卡片的授權碼。授權碼是信用卡交易不可缺的資料。這20萬筆個資中,有6.8萬筆是萬事達卡,約10萬筆是VISA,其它3萬多筆則是美國運通等其它信用卡公司發行。
禍延!盜刷拖垮金融體系
像VISA、萬事達等公司對發卡銀行、清賬公司都有一套嚴格的規定,包括計算機安全防護、要求定期聘請外部獨立公司來檢查作業流程。不過,在這個龐大的市場、多重環節中,很難確信這些信用卡公司有沒有確實監控、各公司是否完全遵守規定。一個小環節出錯,就可能導致嚴重的資料外泄。
因資料外泄而被盜刷的損失,是由發卡銀行吃下。而他們消化損失的做法,通常就是靠日后向商家提高手續費。表面上看來,這些壞賬很快就處理掉,但長久下去,層出不窮的偽卡盜刷可能拖垮整個金融體系。
據美國聯邦交易委員會估計,全美每年約有1000萬人的個人資料被竊取,每年造成個人損失約50億美元、企業損失約480億美元。一位網絡犯罪防治專家梅爾尼克(Jim Melnick)告訴《紐約時報》,這些個資竊案“像癌癥,它不會立刻要你的命,而是慢慢地讓你致死。”
難抓!主機藏治安差國家
外流的信用卡資料會流向何處?這些從網絡獲得的信用卡、金融個資,已在網絡虛擬世界形成龐大的產業,Shadowcrew.com、iaaca.com、carderport-al.org都是著名的網絡黑市,在那里你可以用100美元買到一張VISA金卡。像在Shadowcrew.com這個老字號的最大英文網絡黑市,從電子郵件賬號、學生證、駕照、護照、信用卡到銀行賬號都買得到。當你在網絡上買到一張偽卡或銀行賬號后,在銀行寄出每個月的賬單到客戶手上前,你有整整一個月的時間可以好好享用這張卡片或賬戶、盡情刷卡、開支票或搬走銀行賬戶內的錢。有些服務周到的偽卡、假賬戶販賣者,還幫客戶向銀行變更賬單收件地址,月結單可能送到一個沒人住的荒廢公寓,賬戶被盜用、沒收到賬單的主人若一時未警覺,沒發現賬戶被盜用,那盜用者就可以繼續享用偽卡、假賬戶。
買賣金融信用資料是跨國分工的產業。上游供貨者除了像CardSystems的案子,也有由黑客直接入侵主機行竊,或是利用假的電子郵件、網站釣魚,騙取客戶信用資料。這些資料再批發給許多小販在網上交易。那些作為偽卡、假賬戶交易平臺的網站,主機大多都設在前蘇聯國家。這些國家法治不彰,也難以透過國際司法刑事合作來防范。再加上司法單位投入網絡犯罪防治的資源少,防治能力也相對降低。以美國FBI為例,今年雖然把網絡犯罪防治列為反恐、反情報之后第三優先業務,但是在全部50億美元的業務預算中,這項業務只分到1.5億。
難禁!犯罪者春風吹又生
打擊金融信用信息黑市的最成功案例,是去年10月美國司法單位破獲的shadowcrew.com。這個網絡黑市的會員共有4000人,網站由類似黑手黨的虛擬組織經營,領導們分布在歐美各國,藉由網絡連絡。他們在兩年內買賣超過170萬張偽卡,造成商家、銀行與個人逾400萬美元的損失。美國聯合了加拿大、英國、瑞典和幾個東歐國家共同采取行動,逮捕了28人。不過,據《紐約時報》報道,近來,這個網絡黑手黨又在虛擬世界中重新開張了,只是變得更小心謹慎。
由于偽卡、假賬戶的壽命都很短,所以需要進補大量貨源。拜方便的網絡之便,讓黑客們一次可以從CardSystems這類公司大筆進貨。信息革命提高了商業交易效率,當然也包括黑市交易;信息革命促進了金融全球化,金融犯罪也跟著全球無遠弗屆地擴展。
