小贼抢银行 大盗偷“身份”(组图) | ||||||
---|---|---|---|---|---|---|
http://www.sina.com.cn 2005年07月02日09:47 大洋网-广州日报 | ||||||
将于7月4日出版的美国《新闻周刊》报道称,近几个月来随着一家又一家的大公司爆出客户信息失窃的新闻,数百万的美国人现在有一个新理由去讨厌自己的信箱了。除了那些烦人的垃圾广告信件,他们会从信箱里翻出缴税通知单、拒绝入学通知书,最重要的是,信箱里还会出现一些大公司寄来的通知书:对不起,您已经成为了身份大盗的一名受害者。 猖狂的身份盗窃者偷取的不只是信用卡信息和银行账号,对社会保障号码(相当于身份证号码)或是其他的私人数据也同样不肯放过。他们钻商家的空子、利用这些偷来的信息疯狂购物、申请贷款,甚至还“克隆”身份,以受害者的身份在另一处生活。而让这些信息的真正主人承担金钱、法律和精神上的损失。据统计,身份大盗一年非法攫取的钱财高达530亿美元。许多人的生活都被这些身份大盗给搅得天翻地覆。——本版文字:鹏致 “抢银行不如偷身份” 本报综合报道黛博拉·莫琼拉斯是美国联邦贸易委员会(FTC)的主席,身份被盗窃的受害者都需要将相关资料知会FTC。可是就在上个月,可谓“位高权重”的莫琼拉斯也尝到了这种身份被盗的苦涩滋味。6月的一天,莫琼拉斯莫名其妙地收到了来自美国著名鞋业零售商DSW的高额账单。 据媒体报道,2004年12月至2005年2月期间有100多家DSW公司、总计超过140万的顾客的信用卡信息失窃。黑客闯入了该公司的数据库,盗走了包括莫琼拉斯信用卡在内的信息,以她的名义买鞋。 数百万身份资料失窃 曾经有一名银行抢劫犯在被问到犯罪原因时说:“因为钱在银行里。”可是现在情况已有所变化,对于那些身份大盗来说,更容易到手的钱并不在银行里,而是“存放”在银行的数据库里,那些存在高速缓冲存储器、硬盘里的顾客姓名、社会安全号码、信用卡记录、财政档案等信息都可以迅速地转手变为现金。偷窃者将之卖给“专业”的诈骗犯,诈骗犯会假扮信用卡主人的样子,大摇大摆地刷卡消费。他们肆无忌惮地浏览色情网站、购买昂贵的音响设备、买车、或者是按揭购买别的商品。而这些都会摧毁信用卡主人的信用指数,因为没有信用,他们无法找到新工作、无法买房,甚至在问题解决之前无法申请护照。由于这种特殊的犯罪行为并不需要一个固定的活动地,因此现在的身份大盗很少会像以前的银行抢劫犯那么“辛苦”、冒那么大的风险。 许多人已经习惯了在网络上进行转账、贷款和购物,但是网络恰恰是身份大盗最得心应手的地方,因此现在的美国人不得不加倍小心地看管好自己的信用卡和个人资料。可是最近几个星期情况却又有了新变化,关于个人信息失窃的新闻报道如瀑布般进入人们的视线。现在看管好自己的个人资料似乎也不管用了,因为身份信息已经不再是一个接一个地失窃,而是每次以百万计地失窃。 一年攫取钱财530亿美元 “罪犯专门光临那种收集个人资料的数据库。”美国司法部计算机犯罪部门的负责人玛撒·斯坦赛尔-甘如是说。上周爆出的最大一宗个人信息失窃案是,信用卡第三方服务商CardSystems的系统中泄露了4000多万条磁条信息,包括万事达、Visa、美国运通和Discover的各种信用卡信息。而根据最新消息,黑客们已经开始将这4000多万份数据“转化”为现金和商品了。 “过去9年来,罪犯们对信息、网络的力量有了更深的了解,”安全顾问公司“今日隐私”的专家罗布·道格拉斯说,“身份大盗现在来钱比毒贩还要快,可是被抓获的可能性却几乎为零。”美国司法部一直不遗余力地对付这种犯罪行为,但是目前的效率并不高。一家研究机构公布的统计数据称,在美国,700名身份大盗中被宣告有罪的还不到一个———而这也是为何这种犯罪行为在本世纪“发展”迅速的原因。 FTC主席莫琼拉斯已经在美国议会上作证,她代表FTC给出的证据标明,身份大盗一年攫取了高达530亿美元的钱财。其中,个体消费者直接承受了50亿美元,而剩下的损失基本上是由零售商或者公司来承担———但事实上最终这些公司又将其遭受的损失额转嫁到消费者头上。 盗窃整套个人资料 丢失信用卡虽然是一件不幸的事情,但是至少还受到法律的保护。可是在更多的时候,身份大盗并不满足于只偷走信用卡号码,他们还要盗走持卡人的整个身份。去年9月,28岁的杰米·兰内斯计划申请一项贷款,可是银行却告知她说提供的住址与档案中的记录不符。兰内斯查阅自己的档案后惊讶的发现,原来自己在加利福尼亚州“拥有”一套房产,可事实上她从未到过加州。兰内斯还发现有人以她的名义申请了8700美元的汽车贷款。种种迹象显示,有人在相当长的时间内冒用她的身份生活和工作着。可是由于无法提供更多的证据,当地警方对此也无能为力,兰内斯只能独自吞下苦果。另一名受害者金·刘易斯则发现,别人冒用她的身份注册结婚了,而她本人其实是个单亲母亲。 公司大意引狼入室 本报综合报道现在,计算机使用者变得越来越聪明,此前流行的那种网络钓鱼者的作案手法已经骗不了人了,聪明的消费者不会回复那种要求更新个人资料的邮件。网络钓鱼不久前还是身份大盗盗窃信息的重要手法之一。学乖了的美国人知道如何以一双锐眼查看信用卡账单上的每一笔消费,要求信用卡公司提供清单,或者用碎纸机将印有个人资料的纸张绞得粉碎再扔掉。 但是现在身份失窃的主要“目标”并非个人用户,而是那些大型的商业公司。这些公司如何处理数百万甚至数十亿人的数据资料呢?似乎并不十分小心,这也是最近频频爆出数据失窃报道的原因。 1、有些公司计算机的加密性能不好,黑客很容易攻入数据库。 上文提到的DSW鞋业零售商并不是唯一一个遭到黑客袭击的公司,更有甚者是那些根本就不对信息进行加密处理的公司。根据美国联邦贸易委员会的记录,总部设在美国马萨诸塞州的BJs批发会员店不但没有加密客户资料,而且没有使用计算机防火墙防止网络黑客侵入,只是以非常容易猜到的简单密码锁住数据系统。结果,2004年初,这些资讯被用于价值数百万美元的欺诈性采购。 2、有些公司无意中将这些资料卖给了骗子。 美国ChoicePoint公司是一家专门为保险和信用评估公司提供确保个人资料安全的措施公司,能通过各种渠道获取美国消费者190亿项的消费记录。这家公司一向以其数据库的高安全系数为荣。可是就在今年3月,它被披露由于有人提交虚假的商务需求,去年误将至少14.5万名客户的资料出卖给一家捏造的公司,这些被出卖的资料中包括了每个人的社会安全号码。讽刺的是,该公司的首席执行官去年还因为这笔交易多得了180万美元的红利。 3、有些公司只用普通的快递服务来运送机密的客户资料。 全球最大的银行花旗集团下属的花旗金融服务公司在去年5月就是用普通快递运送390万包含账户信息的电脑备份磁带,在中途全部丢失。今年6月,花旗集团才通知客户称,他们的身份信息处于被盗用的危险当中。 4、有些公司将资料储存在笔记本电脑里,而电脑被偷走了。 去年3月,美国加州大学柏克利分校就遭遇了这种事情。有人在校园里偷走了一部笔记本电脑,里头存有从1976年~2004年毕业的10万名校友资料。 5、有些公司没有对可能出现的“内鬼”问题进行监控。 今年4月,美国新泽西州警方逮捕了美洲银行的8名雇员,原因是他们暗地里将客户信息卖给一家未注册的机构,该机构竟由一名有犯罪案底的人运营。这些“内鬼”至少出卖了67.6万人的个人信息。 6、有些公司已经“习惯”丢失客户信息。 丢失客户信息的公司已经不是一个两个了。美洲银行去年12月丢失了包含120万政府雇员的客户信息的电脑备份磁带,目前仍然在寻找当中。时代华纳公司今年3月在常规运输途中丢失了存有60万名在职和离职员工及其家庭信息的40盘磁带。 盗窃身份“流程” 物色目标、精心策划。 一旦资料到手,身份大盗就通过网络上的聊天室或者是即时信息系统将信息转手卖出,这些过程非常迅速而且不为人知。有时候一些大胆的身份大盗还会直接将“商品”挂在某个网址上公然叫卖。 黑买主可以花200美元买到50个社会保障号码,而全套资料(包括持卡人社会安全号码、信用卡号码和出生日期)则卖到40美元/套。 在诈骗犯购买了这些信息后,他们一般是用信用卡卡号以最快的速度购买商品,这种疯狂购物会持续到商家的反诈骗软件发现不正常的情况而将该号码停用为止。 技术法律双管齐下 本报综合报道虽然身份大盗非常难以对付,但是对付这种以网络为主的犯罪的关键还是在于加固每一个信息数据库。FTC主席莫琼拉斯说:“我们还没有营造一种高强度保护信息数据的氛围。”她表示,这也是为何大公司在保护客户信息能力方面言不符实的原因。例如,ChoicePoint公司大量客户资料外泄后,包括万事达在内的各个信用卡公司仍然继续与该公司合作。 相关议案纷纷出台 《新闻周刊》分析称,近日各大公司客户信息失窃事件的频繁曝光可能会加速一些法律制度方面的改革。2003年,美国加利福尼亚州就通过了一项法律,要求各公司若出现疏忽行为并且对本州居民造成不良影响时必须予以公布,这也是为什么最近如此多公司主动宣布信息失窃或者遗失的原因。 美国参议员黛安娜·费恩斯坦已经向参议院提交了一份议案,要求建立强制公布公司数据库安全漏洞的国家标准。而另外一项议案则希望能够让公司为其安全疏漏“买单”。参议员查尔斯·苏莫尔和比尔·尼尔森共同提交了一份议案,要求对遗失客户个人资料的公司处以罚金,并且处罚那些不使用常规安全措施的公司。 美国政府对身份大盗的问题也没有闲着。白宫发言人麦克莱伦出面表示身份大盗“是行政部门的主要事务之一”,美国总统布什也签署了一项法案,将对信用卡诈骗犯处以重刑。 由于社会保障号码是身份诈骗犯的万能钥匙,因此如果各公司只要不对人们的社会保障号码如此依赖,身份大盗的处境会更为艰难。美国佛罗里达州众议员克莱·肖今年已是第四次递交议案,要求限制社会保障号码的使用,赋予人们要求将他们的消费记录从商家数据库中删去的权利。商家抗议这么做会导致交易速度降低,但是其实欧洲已经立法保障人们决定不让自己的个人信息进入商家数据库的权利。 身份被盗真实个案 1他的信用卡号被“劫” 42岁的丹尼尔·布利是居住在芝加哥的一名工程师。他去年办理了一张信用卡,年费40美元,但是很快信用卡资料就被黑客窃取了,里头的个人信息还被用来在另外一家信用卡公司办理了一张新卡。在布利发现自己信用卡号码被窃的时候,他已经损失了4000美元。由于个人信息被盗,他莫名其妙地“拥有”了一套房子、一个新的职位和一大堆的信用卡账号。 2她被同事背叛 23岁的金·刘易斯是一名住在亚特兰大的单亲母亲。三年前她在一次查账时突然发现有人以她的名义开了25个信用卡账户,支取贷款买车,而且还以她的名字注册结婚。刘易斯通过蛛丝马迹找到了这个人———她曾经的同事、一名来自墨西哥的非法移民。回忆起来,这名同事应该是趁在刘易斯家借宿之机偷取了她所有的个人资料。为此,刘易斯背上了37000万美元的债务,而她向警方报案后至今还没有结果。 3他把身份大盗送上法庭 美国的一名助理律师西恩·霍尔这阵子正在忙着为一宗身份盗窃案收集证据。在当地侦探罗伯特·康拉德和史蒂夫·威廉斯的帮助下,他已经成功起诉了一名俄勒冈州的男子。该男子偷取了50人的社会安全号码,并因此获利10万美元。除了起诉身份大盗外,霍尔还与朋友合作为美国联邦调查局(FBI)进行计算机犯罪的培训,并且到各地发表演讲,教公众如何保护自我信息。 4她早早吹响保护隐私权的号角 贝斯·基文斯早在“身份大盗”这个名称出现以前就与身份盗窃者展开斗争了。54岁的基文斯是圣地亚哥非营利性消费者组织隐私权益数据中心的创始人,她很早就开始教育消费者如何保护隐私,帮助身份大盗的受害者,并向人们鼓吹建立更有利于消费者控制自己的私人信息的法律。 1997年,基文斯鼓励身份大盗的受害者琳达·福利在有关听证会上作证。在她的鼓励下,福利与丈夫后来创建了身份大盗资源中心,帮助数千名受害者洗清了信用污点。去年,福利创办的机构还被美国司法部授予了美国犯罪受害者服务奖。(本报综合报道) 英国政府计划在今年年底为国民颁发含生物识别技术的护照,以防范个人资料被盗。(资料图片)(来源:广州日报) | ||||||