指尖博弈——FBI竟建立虚假联邦快递网站?!

 

概述

为了找出针对企业进行勒索的网络犯罪分子,联邦调查局近期创建了一个虚假的FedEx网站,并在其中部署了具有陷阱的“恶意”Word文件,从而获取诈骗者的IP地址。

根据Motherboard对法庭公开文件的分析,我们发现联邦调查局已经开始利用其自身的黑客技术,试图找出进行财务诈骗的网络犯罪分子。这一情报,标志着联邦调查局已经不再仅针对儿童色情和炸弹威胁事件使用技术工具,他们将覆盖的范围进行了扩大。但同时,也使这种由技术驱动的方法变为一种常规化的手段。因为犯罪嫌疑人不断掩盖其数字化线索,因此执法部门也必须转向一种更加新颖的解决方案。

我们发现,执法部门在2017年申请了2次搜查令。网络犯罪分子将自己伪装成可以信任的特定人员,欺骗受害公司,向犯罪分子支付了大量现金。搜查令显示,为了抓住这些网络犯罪分子,联邦调查局在其中一个案件的破获过程中,建立了一个虚假的FedEx网站,并在其中放置了两个他们特制的Word文档,这两个文档的目的都在于暴露欺诈者的IP地址。这些案件在2018年10月解密。

斯坦福互联网与社会中心的监控和网络安全副主任Riana Pfefferkorn在阅读这些案件后,向我们表示:“儿童色情和暴力威胁的犯罪分子,通常会掩盖他们的位置。除此之外,还有一些从事网络犯罪的有组织犯罪集团,其中就包括商业电子邮件诈骗。它们都属于同一类阵营。”

 

第一起案件调查过程

根据法庭记录,第一个案件的受害者是Gorbel,这是一家起重机制造公司,总部设在纽约。网络犯罪分子使用了一个与公司首席执行官Brian Reh非常相似的电子邮件地址,向财务部门发送电子邮件,要求向新的供应商付款。诈骗者提供了特定公司的W9表格,随后,财务部门向其邮寄了超过82000美元的支票。随后,Gorbel发现这一欺诈事件,并在7月份通知了FBI。不久之后,Gorbel收到了伪装成Reh的另一封电子邮件,要求再次进行转账。而这一次,财务部门和FBI已经做好了准备。

根据法庭记录,FBI建立了一个虚假的FedEx网站,并将其发送给目标,希望能够获得黑客的IP地址。FBI甚至炮制了一个虚假的“访问被拒绝,此网站不允许代理连接”页面,以诱使网络犯罪分子从真实的IP地址进行访问。根据网上的记录,目前GoDaddy已经收回了这一域名,并且该域名曾短时间解析到纽约罗切斯特的一个IP地址,FBI特工在该地址上发布了应用程序。

目前,尚不清楚FBI是否获得FedEx的授权,而FedEx也没有对我们进行回应,同样FBI也没有对该事件做出回应。值得注意的是,之前有一个域名,指向了与伪造FedEx页面相同的IP地址,这是一个律师事务所的网站,该网站仅存在了一小段时间,在撰写本文时已经下线,并且具有非常小的数字指纹。由此看来,这一律师事务所域名也可能与FBI有关。

然而,FBI的此次尝试并没有成功。似乎网络犯罪分子从6个不同的IP地址检查了这一链接,其中包含一些代理。此后,FBI继续使用网络调查技术(NIT)进行案件的调查。NIT是FBI使用的各种黑客攻击方式的总称。在此前的一个案件中,FBI曾经利用Tor浏览器的漏洞,攻击目标计算机,并使其强制连接到FBI服务器,从而暴露目标真实的IP地址。其他NIT从技术上来看也不是非常复杂,其中包括“打电话回家”的诱导视频,以及一些其他的Word文件。

这种新型网络调查技术,属于后一类。根据法庭记录,FBI试图使用一个包含图像的Word文档来定位网络犯罪分子。该图像会连接到FBI服务器,并显示目标的IP地址。法庭记录中还补充说道,该图片是FedEx跟踪门户网站支付付款的截图。

 

第二起案件调查过程

根据法庭记录,在2017年8月,纽约西区的一家企业收到一封电子邮件,自称是智利海鲜供应商Invermar(该企业的供应商之一)。这封电子邮件冒充Invermar的一名已知员工,要求受害者将资金汇入新的银行账户。合法的Invermar域名以.cl后缀结尾,但黑客使用的域名是以.us结尾。该企业显然没有注意到不同的域名后缀,并且在9月和10月期间,以电汇方式向网络犯罪分子支付了大约120万美元,受害者最终追回了30万美元。

在法庭文件中,没有指明受害企业的名称,但在今年早些时候,Wegmans食品市场针对类似的骗局向Invermar提起诉讼,要求得到损害赔偿。为了确定犯罪分子的位置,FBI再次决定部署网络调查技术。

法庭记录显示,FBI向受害者提供一封电子邮件的附件,该附件将作为目标用户需要填写的表格,需要在该企业(受害者)付款前填写。这一文档要求用户(网络犯罪分子)退出“保护模式”,该模式在Microsoft Word中用于阻止文档连接到网络。在申请搜查令的过程中,FBI表示无需向政府申请就可以向目标发送嵌入式图像,但出于谨慎,再加上目标用户需要主动关闭保护模式的事实,FBI还是申请了这一搜查令。

根据申请内容,这两个“恶意”Word文档都被设计为仅获取目标IP地址和User Agent字符串。User Agent字符串可以显示目标正在使用的操作系统。尽管申请由两位不同的FBI特工签署,但它们都来自于纽约罗彻斯特Buffalo分部的网络小组。

我们并不知道这些网络调查技术在识别嫌疑人方面已经取得了怎样的成果。但在Gorbel案件中,司法部多次要求延期公开,从而保证搜查令中具体细节的保密性。
“使用网络调查技术是合法且有效的”,FBI发言人在一封电子邮件中告诉Motherboard。“他们只在必要时,才会对一些较高级别的罪犯使用这项技术。这项技术耗费时间和资源,对大多数调查来说都不是一个可行的选择。”

在此前,FBI曾将网络调查技术运用在大规模的范围中,甚至有时会不加选择。在无线电通信局针对暗网托管服务提供商Freedom Hosting进行调查时,发现网络调查技术还影响了一个不涉嫌犯罪的用户的一些电子邮件隐私。在新申请的搜查令中,FBI强调,只会针对特定目标运用网络调查技术。

另一份文件补充道:“FBI仅会对目标用户发送电子邮件,该用户会在登录邮箱和收取电子邮件后,才能打开电子邮件及其附件。针对电子邮件目标,会进行仔细检查,并直接发出邮件,从而避免任何侵犯公民隐私的行为。”

网络安全和监视专家Pfefferkorn表示:“政府已经从自由托管的案例中获得了经验,如果直接在政府接管的网站上部署NIT,并没有足够的针对性,最终感染了无辜公民的浏览器。”

考虑到这种执法过程中的黑客攻击可能会变得更为普遍,在2016年底,司法部修订了关于搜查令的第41条规则。修订后的内容,意味着美国法官可以签署搜查令,以搜查其所在地区以外的计算机,特别是针对执法部门不知道嫌疑人所在位置的情况。

Pfefferkorn说:“现在第41条规则已经修改,我们可以开始期待网络调查技术在调查犯罪领域的应用,而不仅仅再局限于儿童色情内容的调查。”

(完)