海外短視頻空投騙局不斷

李忠東

Twitter：詐騙觸目驚心

近年以來，不少犯罪分子利用短視頻平臺傳播快、傳播范圍廣等特點，對多種多樣的行騙理由進行包裝并廣泛宣傳，再將受騙者引流到社交平臺，繼而實施詐騙。2020年7月16日凌晨3點左右，Twitter上100多位知名人士的認證賬戶被詐騙犯盜竊。攻擊始于區塊鏈行業，Binance、Coinbas、BitFinex 和Gemini等多家知名加密貨幣龍頭企業的Twitter賬號全遭劫持。后來微軟創始人比爾·蓋茨、亞馬遜創始人杰夫·貝佐斯、彭博社創始人邁克爾·布隆伯格、蘋果官方賬號、特斯拉CEO埃隆·馬斯克、美國知名歌手耶·維斯特、美國前總統奧巴馬和當時的總統候選人約瑟夫·拜登等人的賬號也被盜竊。

犯罪嫌疑人通過短視頻，逐一發布相同的比特幣釣魚詐騙信息：“為了感謝大家（支持比特幣），現在對大家進行回饋。你只要給以下地址轉賬1000美元，我就向你返還2000美元。活動僅限半小時！”他們利用民眾對Twitter的信任以及名人的公信力，讓大家認為這次活動是真的。區塊鏈分析公司Elliptic最新統計指出，在攻擊進行的3小時內，通過 ChipMixer 和 Wasabi Wallet混幣器完成洗錢程序，有等值118000美元的比特幣被騙走。

美國司法部7月31日宣布，這起Twitter世紀比特幣詐騙案的偵破工作有了實質性的進展，3名涉嫌參與的黑客已被抓獲并被起訴。年僅17歲的格雷厄姆·克拉克被認為是該案件的“幕后主使”，他被提起30項重罪指控，具體包括組織欺詐活動、出于欺詐目的使用他人信息以及未經授權訪問受保護的計算機系統等。因尚未成年，根據《聯邦青少年犯罪法案》，美國司法部已將針對他的訴訟移交給佛羅里達州坦帕市檢察官。來自英國的19歲黑客梅森·謝潑德被指控合謀電信欺詐、合謀洗錢，以及故意訪問受保護的計算機系統，22歲的美國佛羅里達州奧蘭多黑客法澤里被指控協助和教唆他人訪問受保護的計算機系統。

美國國稅局的網絡犯罪調查部門進行了區塊鏈分析，并對比特幣交易進行了去匿名化處理，借此追蹤到了涉案的黑客。對“只花幾周”便破獲案件的效率，美國聯邦調查局非常滿意。Twitter方面也對執法部門的快速行動表達了感激，并表示會繼續與官方合作，并定期對外公布調查進展。佛羅里達州檢察官安德魯·沃倫表示：“聯邦調查局和美國司法部在全國范圍內進行了詳盡的調查，在希爾斯堡找到并逮捕了犯罪嫌疑人克拉克。這些犯罪嫌疑人盜用了知名人士的賬戶，但這些名人并不是主要受害者。詐騙的目標是騙取全國各地的普通人的財產。”

根據Twitter聲明中的說法，犯罪嫌疑人通過訪問僅內部團隊可用的工具，鎖定了130個Twitter賬戶作為攻擊目標展開賬戶劫持，其中有45個賬戶被黑客重置密碼成功登入，發布詐騙訊息推文。Twitter認定，黑客是利用“社交工程攻擊”作案的，即蓄意誘騙并操縱幾名內部員工來執行某些操作，讓他們泄露機密資訊，騙取內部系統訪問憑據資格，使得具有密碼雙因素認證的賬戶也遭到攻擊。此次Twitter黑客攻擊事件震驚全球。

YouTube：對部分欺詐行為不作為

2020年7月22日的一份文件顯示，蘋果公司創始人史蒂夫·沃茲尼亞克在起訴YouTube及其母公司Alphabet沒有得到任何反饋后，與其他17名受害者一起再次提出訴訟，要求法院下令上述兩家公司立即將詐騙短視頻刪除，同時要求賠償。

原告方表示，YouTube幾個月以來一直允許騙子使用沃茲尼亞克的頭像和名字在YouTube發布的短視頻上進行詐騙，致使數百萬美元的加密貨幣丟失。他們在短視頻直播中插入欺詐性的信息，讓用戶相信沃茲尼亞克正在舉辦饋贈活動，誘使觀眾發送比特幣（或其他加密貨幣），并承諾雙倍的回報。毋庸置疑，當用戶發送比特幣后根本不可能收到任何錢，騙子因此獲得了數百萬美元。他們指控YouTube和Alphabet在故意為詐騙者提供有針對性廣告的情況下，積極為他們宣傳并從中獲利。

沃茲尼亞克強調說：“此類騙局已經并將繼續對我和其他原告造成名譽損失，如果YouTube能夠盡早采取行動阻止這類騙局，事態也不會發展到現在這一步。與Alphabet一樣，YouTube似乎也依賴于算法，而且在這些犯罪案件中，違法者不需要付出特別的努力，就能快速達成欺詐目的。”

代表原吿的是位于加州的Cotchett，Pitre & McCarthy律師事務所，合伙人喬·科切特指出，曾被用來宣傳比特幣空投騙局的名人除了沃茲尼亞克，還有亞馬遜首席執行官杰夫·貝佐斯、微軟創始人比爾·蓋茨、谷歌前CEO埃里克·施密特、比特幣公司Coinbase首席執行官布萊恩·阿姆斯特朗、美國電子游戲開發公司Epic Games首席執行官蒂姆·斯威尼、FUBU服裝公司首席執行官戴蒙德·約翰以及《富爸爸窮爸爸》作者羅伯特·清崎等。“YouTube的比特幣空投騙局規模龐大，而且仍在繼續，影響了所有地區的用戶。”該律師事務所的另一位合伙人布萊恩·丹尼茨說：“提起訴訟的受害者來自世界各地，包括美國、加拿大、日本、馬來西亞、中國以及整個歐洲。”

網絡安全公司Adaptiv的首席執行官賈斯汀·李斯特用了一個月的時間，一直在追蹤發送到包含埃隆·馬斯克、特斯拉或SpaceX等名字的欺詐網址，發現包含一些看似可信的單詞、名稱或短語，如“1Musk……”。他同時還查到已經報給Bitcoinabuse.com進行詐騙的66個網址。Bitcoinabuse.com是一個公共數據庫，專門記錄黑客和犯罪分子使用的比特幣地址。根據他的研究和來自該網站的數據，總共有214個比特幣被發送到包含馬斯克名字的欺詐網址，這些大多數由黑客通過YouTube短視頻直播共享。

歐盟：制定《通用數據保護條例》

在社交平臺上，短視頻違法案件時有發生。為了保護用戶的利益，歐盟制定了歐洲數據隱私法規《通用數據保護條例》（GDPR）。它是保護歐盟個人數據的法律。根據GDPR，違反一般條款處以1000萬歐元—2%企業年收入的罰款;違反關鍵條款處以2000萬歐元—4%企業年收入的罰款。作為目前全球在保護個人數據方面規定最嚴、處罰最嚴的法規之一，GDPR適應云計算、互聯網、大數據。

據“今日俄羅斯”網站2020年12月15日報道，愛爾蘭數據保護委員會（DPC）近日宣布，由于Twitter未能按照GDPR的規定及時公布并妥善記錄短視頻里一起私人推文公開的數據泄露事件，它被處以45萬歐元的罰款。DPC是谷歌和蘋果等多家大型科技公司在歐盟的監管機構，因為這是它首次依據GDPR做出的跨境罰款決定，所以備受關注。2019年1月，DPC宣布正在對Twitter泄露數據一事進行調查。此前，Twitter也發生過類似泄露事件：使用Twitter安卓程序的用戶在更改賬戶信息（比如更新電子郵件地址）時，個人信息由于安全漏洞被泄露。在回應GDPR的決定時，Twitter首席隱私官達米安·基蘭表示：“我們對這一錯誤負責，并始終致力于保護客戶的隱私和數據，包括通過工作迅速透明地將發生的問題告知公眾。”

GDPR要求相關企業必須在管制員察覺到數據泄露的72小時內，通知有關監管機構。此外，還要求服務提供商記錄涉及哪些數據、可能受此情況影響的個人以及他們是如何應對安全事件的，以便相關數據主管可以檢查其合規性。DPC在一份聲明中稱，“已發現Twitter違反了GDPR第33（1）條和33（5）條，Twitter未及時將違規情況通知DPC，且未充分記錄違規情況”。DPC最初曾考慮對Twitter處以15萬—30萬歐元的罰款，但奧地利、德國和意大利當局紛紛表示這一處罰不足以發揮重要作用，該機構隨后決定加大處罰力度。

編輯：夏春暉? 386753207@qq.com