6月26日,Cosmo被關進加州長島的拘留室內;身高6呎7吋、體重200磅,未來還會長得更高大壯碩。因為以精湛的社交工程技術入侵亞馬遜、蘋果、AT&T、PayPal、AOL、Netflix、Network Solutions、微軟安全系統,用「Cosmo the God」之名在網路橫行霸道的Cosmo,年僅15歲。
Cosmo明年3月滿16歲,而他很可能得在監獄裡度過自己的生日。
Cosmo連同數十名嫌疑犯因信用卡詐欺遭到多州FBI聯合逮捕。他是駭客組織UGNazi(underground nazi(地下納粹)的簡寫,發音為you-gee)的成員,今年不少引發軒然大波的駭客行動,都有他的份。
從冬天到春天,UGNazi展開分散式阻斷服務(DDoS)攻擊。4月,納斯達克指數、加州政府、美國中央情報局等各類形式的政府與金融網站,全都淪為他們的囊中物,長達數小時之久。UGNazi繞過Google阻絕駭客的兩步驟驗證機制,劫持4chan的DNS,重新定向至他們的Twitter帳號,並不斷在網路散布紐約市長Michael Bloomberg的地址與社會安全號碼;今年5月,UGNazi利用社交工程技術闖入一家結算公司,把約50萬筆信用卡號碼洩漏到網路上。
Cosmo是UGNazi的社交工程師,擅長躲避網路安全防護措施。他竊取亞馬遜、蘋果、AOL、PayPal、Best Buy、Buy.com、Live.com(Hotmail、Outlook、Xbox)以及許多其它網站的使用者帳戶,還曾從AT&T、Sprint、T-Mobile或者地方電信機構綁架電話號碼。
沒錯,他就是Cosmo the God。
Cosmo的真實身分是Derek(註:由於Cosmo未成年,此非真名)。或許Cosmo神乎其技,Derek卻只是個孩子,也是一位高中中輟生、騙子、詐欺犯、破壞王、竊賊,但終究,是個孩子,是個缺乏成人管教與指引的孩子。
這群駭客運用社交工程技術規避蘋果及亞馬遜的安全機制,侵入我的帳戶後,摧毀我的電腦、電話和平板,刪除我的Google資料,竊進我的Twitter帳戶。事發後,我墜入他們的世界,開始跟攻擊我的駭客Phobia定期聯繫,他也是個孩子。Phonia向我介紹了Cosmo,說Cosmo想要揭露各種帳戶的漏洞型態。上個月,我飛往長灘,與他會面。
變身Cosmo
我們在他奶奶的客廳內談話,Cosmo坐在椅子上侷促不安。奶奶的公寓不大,鋪著一張深褐色的地毯,前門敞開,以讓空氣流通,但就算待在電風扇旁,還是十分燥熱。
Cosmo與母親住在一起,她每週工作六天,總上班到深夜才返家,而他與父親毫無互動。他們住在長灘國道六號的南方,我在美國犯罪紀錄查詢網站CrimeReports查到此處與犯罪與暴力事件頻繁且猖獗的區域緊鄰,不過Derek的奶奶說,他從未捲入任何犯罪活動:「Derek一直都待在家裡,哪兒也不去。他是個乖孩子,他是個非常乖的孩子。」
在奶奶面前,Cosmo或許真是個好孩子,但其實這不是他第一次惹上麻煩。
我租了輛車,載他到處尋找安靜的場所談話。車內狹小的副駕駛座讓他坐立難安,頻頻扭動身子。我邊開車,邊聽他訴說自己過去惹事生非的經驗。一年前,Cosmo在學校廁所抽大麻遭到拘捕,我問,這是不是他唯一一次被抓包,他起先答是,後來停頓了一下。
「喔!還有一次是在2011年10月,也可以說是被捕啦。有個傢伙打電話說有人在我們學校放了顆炸彈,他們那個星期每天都打來,第五天的時候他們報出我的名字,他們說我有把槍,我被別的駭客搞了。」Cosmo的名字和住址早就被公布在網路上,這意味著他已成為駭客組織vegeance與lulz的目標,只因為他是Cosmo the God,他是網路上惡名昭彰的社交工程師之一。
他微笑著說:「有人謊報(swatted)我家出事,這實在太常發生了,SWAT(美國特種武器和戰術部隊)只單獨來我家一次,不過很多時候都是跟著當地警察部門一起造訪。」「Swatting」是一種駭客的惡作劇,他們利用網路電話系統通報虛假的脅持事件,集結當地執法機關,勞師動眾前往被惡搞的受害者家裡一探究竟卻一無所獲。
「你可以透過AOL用AT&T Relay通報SWAT,這是提供殘疾人士的服務。雖然要先註冊,但審核不嚴。你只要用AT&T Relay的身分傳訊息給911,他們會問你的所在之處、有何緊急事件,那就是他們對我和我學校幹的好事,因為用這種方法比較不會被逮到。」
Cosmo聳聳肩,彷彿對一個青少年來說這只是件微不足道的日常小事。2012年,這位百無聊賴的青少年墮入犯罪邊緣,似乎也不令人意外。朝汽車丟雞蛋、拿球棒砸郵箱不是他的作風,搗亂網際網路才是他的樂趣所在。
線上遊戲是Cosmo駭客生涯的起點。
Xbox伴他成長,他是線上遊戲的強者,但有一次玩到一半突然被踢下線而輸掉遊戲,Cosmo發覺,對方對付他的方式,只是玩家在對手IP位址動點手腳這種雕蟲小技,從此他開始用相同的伎倆,只需像「Cain and Able」這種現成的密碼竊取工具就可不負吹灰之力擊敗敵人。而這次經驗,不啻為他揭開駭客世界的面紗。
Xbox每個玩家都有代號,對年輕玩家來說,代號愈短愈好,譬如「Fred」很酷,而冗贅的「Fred1988Ohio」就遜掉了。在微軟加強安全措施之前,只需回答姓名、帳號、信用卡末四碼與失效日期就可以重設Windows Live的密碼(因此而能盜用某個玩家代號)。Derek注意到代號為「Cosmo」的玩家在Netflix也有帳號,這是他之所以成為「Cosmo」的來由。
他竊笑著說:「我打給Netflix,一切根本手到擒來。他們詢問我的名字,我說『Todd』,並給了他的電子信箱,他們說『好,你的密碼是12345』,我就真的登入了,然後看到他的信用卡末四碼。Windows Live的密碼重設表格需要填入的資料只有信用卡持有人的姓名和末四碼、失效日期。」
此方法依然有效。《Wired》打電話給Netflix,只給了帳戶所有人的姓名和電子郵件,就取得相同的密碼重設表單。
Cosmo 說,在打電話之前,他也不確定Netflix有沒有他所需要的資料。不過,突如其來的靈光乍現,讓他獲得成功。
「我想,如果Netflix可以攻破,任何大型供應商也應該都不成問題。亞馬遜甚至更容易入侵,雖然後來它的安全措施稍微進步了一些。很多網站都以信用卡末四碼來重設密碼的不成文規定讓我頓悟,你只需要到Fakenamegenerator.com(假身分製造機網站)得到一組信用卡號碼。因此,我就增加那張假信用卡,掛電話,回撥,並給出假信用卡的末四碼,他們就會讓你重設密碼。」
盜用我帳戶的駭客就是依循此途,Cosmo可說是開宗始祖(儘管其他駭客紛紛聲稱他們也憑一己之力發現這方式)。我問他,他是怎麼辦到的,因為他的方法既迂迴又巧妙。
他又聳聳肩,「我就是辦到了。」
from WIRED.tw http://wired.tw/2012/10/03/cosmo-the-god-who-fell-to-earth-1/index.html
