6月26日 Cosmo被關進加州長島的拘留室內；身高6呎7吋、體重200磅神鬼交鋒網路世代版：謎樣的15歲駭客之神

發表日期 2012-12-12T13:50:20+08:00

facebook linkedin mastodon messenger pinterest reddit telegram twitter viber vkontakte whatsapp 複製鏈接

趣味新聞網記者特別報導 : 6月26日，Cosmo被關進加州長島的拘留室內；身高6呎7吋、體重200磅，未來還會長得更高大壯碩。因為以精湛的社交工程技術入侵亞馬遜、蘋果、AT&T、PayPal、AOL、Netflix、N ... .....

6月26日，Cosmo被關進加州長島的拘留室內；身高6呎7吋、體重200磅，未來還會長得更高大壯碩。因為以精湛的社交工程技術入侵亞馬遜、蘋果、AT&T、PayPal、AOL、Netflix、Network Solutions、微軟安全係統，用「Cosmo the God」之名在網路橫行霸道的Cosmo，年僅15歲。

Cosmo明年3月滿16歲，而他很可能得在監獄裏度過自己的生日。

Cosmo連同數十名嫌疑犯因信用卡詐欺遭到多州FBI聯閤逮捕。他是駭客組織UGNazi（underground nazi（地下納粹）的簡寫，發音為you-gee）的成員，今年不少引發軒然大波的駭客行動，都有他的份。

從鼕天到春天，UGNazi展開分散式阻斷服務（DDoS）攻擊。4月，納斯達剋指數、加州政府、美國中央情報局等各類形式的政府與金融網站，全都淪為他們的囊中物，長達數小時之久。UGNazi繞過Google阻絕駭客的兩步驟驗證機製，劫持4chan的DNS，重新定嚮至他們的Twitter帳號，並不斷在網路散佈紐約市長Michael Bloomberg的地址與社會安全號碼；今年5月，UGNazi利用社交工程技術闖入一傢結算公司，把約50萬筆信用卡號碼洩漏到網路上。

Cosmo是UGNazi的社交工程師，擅長躲避網路安全防護措施。他竊取亞馬遜、蘋果、AOL、PayPal、Best Buy、Buy.com、Live.com（Hotmail、Outlook、Xbox）以及許多其它網站的使用者帳戶，還曾從AT&T、Sprint、T-Mobile或者地方電信機構綁架電話號碼。

沒錯，他就是Cosmo the God。

Cosmo的真實身份是Derek（註：由於Cosmo未成年，此非真名）。或許Cosmo神乎其技，Derek卻隻是個孩子，也是一位高中中輟生、騙子、詐欺犯、破壞王、竊賊，但終究，是個孩子，是個缺乏成人管教與指引的孩子。

這群駭客運用社交工程技術規避蘋果及亞馬遜的安全機製，侵入我的帳戶後，摧毀我的電腦、電話和平闆，刪除我的Google資料，竊進我的Twitter帳戶。事發後，我墜入他們的世界，開始跟攻擊我的駭客Phobia定期聯係，他也是個孩子。Phonia嚮我介紹瞭Cosmo，說Cosmo想要揭露各種帳戶的漏洞型態。上個月，我飛往長灘，與他會麵。

變身Cosmo

我們在他奶奶的客廳內談話，Cosmo坐在椅子上侷促不安。奶奶的公寓不大，鋪著一張深褐色的地毯，前門敞開，以讓空氣流通，但就算待在電風扇旁，還是十分燥熱。

Cosmo與母親住在一起，她每週工作六天，總上班到深夜纔返傢，而他與父親毫無互動。他們住在長灘國道六號的南方，我在美國犯罪紀錄查詢網站CrimeReports查到此處與犯罪與暴力事件頻繁且猖獗的區域緊鄰，不過Derek的奶奶說，他從未捲入任何犯罪活動：「Derek一直都待在傢裏，哪兒也不去。他是個乖孩子，他是個非常乖的孩子。」

在奶奶麵前，Cosmo或許真是個好孩子，但其實這不是他第一次惹上麻煩。

我租瞭輛車，載他到處尋找安靜的場所談話。車內狹小的副駕駛座讓他坐立難安，頻頻扭動身子。我邊開車，邊聽他訴說自己過去惹事生非的經驗。一年前，Cosmo在學校廁所抽大麻遭到拘捕，我問，這是不是他唯一一次被抓包，他起先答是，後來停頓瞭一下。

「喔！還有一次是在2011年10月，也可以說是被捕啦。有個傢夥打電話說有人在我們學校放瞭顆炸彈，他們那個星期每天都打來，第五天的時候他們報齣我的名字，他們說我有把槍，我被彆的駭客搞瞭。」Cosmo的名字和住址早就被公佈在網路上，這意味著他已成為駭客組織vegeance與lulz的目標，隻因為他是Cosmo the God，他是網路上惡名昭彰的社交工程師之一。

他微笑著說：「有人謊報（swatted）我傢齣事，這實在太常發生瞭，SWAT（美國特種武器和戰術部隊）隻單獨來我傢一次，不過很多時候都是跟著當地警察部門一起造訪。」「Swatting」是一種駭客的惡作劇，他們利用網路電話係統通報虛假的脅持事件，集結當地執法機關，勞師動眾前往被惡搞的受害者傢裏一探究竟卻一無所獲。

「你可以透過AOL用AT&T Relay通報SWAT，這是提供殘疾人士的服務。雖然要先註冊，但審核不嚴。你隻要用AT&T Relay的身份傳訊息給911，他們會問你的所在之處、有何緊急事件，那就是他們對我和我學校乾的好事，因為用這種方法比較不會被逮到。」

Cosmo聳聳肩，彷彿對一個青少年來說這隻是件微不足道的日常小事。2012年，這位百無聊賴的青少年墮入犯罪邊緣，似乎也不令人意外。朝汽車丟雞蛋、拿球棒砸郵箱不是他的作風，搗亂網際網路纔是他的樂趣所在。

綫上遊戲是Cosmo駭客生涯的起點。

Xbox伴他成長，他是綫上遊戲的強者，但有一次玩到一半突然被踢下綫而輸掉遊戲，Cosmo發覺，對方對付他的方式，隻是玩傢在對手IP位址動點手腳這種彫蟲小技，從此他開始用相同的伎倆，隻需像「Cain and Able」這種現成的密碼竊取工具就可不負吹灰之力擊敗敵人。而這次經驗，不啻為他揭開駭客世界的麵紗。

Xbox每個玩傢都有代號，對年輕玩傢來說，代號愈短愈好，譬如「Fred」很酷，而冗贅的「Fred1988Ohio」就遜掉瞭。在微軟加強安全措施之前，隻需迴答姓名、帳號、信用卡末四碼與失效日期就可以重設Windows Live的密碼（因此而能盜用某個玩傢代號）。Derek注意到代號為「Cosmo」的玩傢在Netflix也有帳號，這是他之所以成為「Cosmo」的來由。

他竊笑著說：「我打給Netflix，一切根本手到擒來。他們詢問我的名字，我說『Todd'，並給瞭他的電子信箱，他們說『好，你的密碼是12345』，我就真的登入瞭，然後看到他的信用卡末四碼。Windows Live的密碼重設錶格需要填入的資料隻有信用卡持有人的姓名和末四碼、失效日期。」

此方法依然有效。《Wired》打電話給Netflix，隻給瞭帳戶所有人的姓名和電子郵件，就取得相同的密碼重設錶單。

Cosmo 說，在打電話之前，他也不確定Netflix有沒有他所需要的資料。不過，突如其來的靈光乍現，讓他獲得成功。

「我想，如果Netflix可以攻破，任何大型供應商也應該都不成問題。亞馬遜甚至更容易入侵，雖然後來它的安全措施稍微進步瞭一些。很多網站都以信用卡末四碼來重設密碼的不成文規定讓我頓悟，你隻需要到Fakenamegenerator.com（假身份製造機網站）得到一組信用卡號碼。因此，我就增加那張假信用卡，掛電話，迴撥，並給齣假信用卡的末四碼，他們就會讓你重設密碼。」

盜用我帳戶的駭客就是依循此途，Cosmo可說是開宗始祖（盡管其他駭客紛紛聲稱他們也憑一己之力發現這方式）。我問他，他是怎麼辦到的，因為他的方法既迂迴又巧妙。

他又聳聳肩，「我就是辦到瞭。」

加入UGNazi

沒有哪個網站能從Cosmo手中逃過一劫。

Hulu、Buy.com、Bestbuy、PayPal、蘋果與AOL，進入他人帳戶的通道在Cosmo麵前敞開，信用卡號碼、地址、電子郵件無所遁形。他學習新的網路社交工程技術，也不吝與其他人分享他的竅門，網路上的訊息往來源源不絕，IRC與AIM是他們用來竊取美國企業客戶資料庫的利器。

同時，他有更充裕的時間經營自己特有的駭客事業；炸彈威脅事件後，10月他被Woodrow Wilson高中退學，起初Cosmo上瞭成人進修教育課程，期望取得高中文憑，不過他覺得上課實在無聊透頂，到12月，他又輟學瞭，開始過著每天足不齣戶、無所事事的日子。1月，一位網友Josh the God要Cosmo加入他所籌策的駭客組織UGNazi，目的是結閤參與者的網路技術對抗SOPA與CISPA；這兩項正在研擬的反盜版法案並未造成嚇阻作用，反而讓駭客蠢蠢欲動。

UGNazi欲打擊SOPA、CISPA和其支持者，Cosmo的任務是以社交工程技巧獲取攻擊對象的數據資料。

擁護SOPA的UFC.com（Ultimate Fighting Championship，美國終極格鬥冠軍賽），是他們最初鎖定報復的目標之一（Coach.com也受到相同對待）。Cosmo蒐集UFC總裁Dana White的必要資訊，接著他們透過主機代管公司Network Solution入侵UFC的帳號，重新定嚮DNS到他們控製的網站。

SOPA無疑的，消亡瞭，但UGNazi並未隨之偃旗息鼓。

他們繼續竊據加州政府、華盛頓州政府、紐約市、華盛頓特區的網站；他們佔領Papa John的網站，隻因這傢披薩店沒有準時送上餐點；他們攻陷提供網站論壇服務的MyBB.com，並綁架其域名；他們漫無目的地興風作浪。

4chan是UGNazi最後的大型攻擊。

Cosmo解釋入侵4chan的原由：「Josh覺得4chan的使用者都有虐童傾嚮。」不過他們的動機應該沒有那麼單純；更何況是巨大流量的誘惑，如果他們能夠重新定嚮4chan到自己的Twitter訊息流，哪怕隻有一分鍾，也已夠讓他們聲名大噪。

UGNazi利用DNS服務供應商CloudFlare脅持4chan（諷刺的是，UGNazi.com也是CloudFlare的客戶）。他們原本是想用老方法奪下CloudFlare，CloudFlare執行長Mattew Prince的資料，以及依據過去駭入NetSol帳戶經驗所需的一切資訊，已一應俱全，不過這迴駭客踢到鐵闆，Prince的帳號設有兩步驟驗證機製，而他們無法確知特定電子裝置的PIN碼。

但山不轉路轉，UGNazi確知Prince的電信公司是AT&T，因此他們改變路綫，竊入以AT&T電話號碼做為帳戶救援選項的Google電子信箱；安全防護措施就像脆弱的環節一樣不堪一擊，在這個案例中，脆弱的環節是AT&T。

一旦UGNazi取得Prince用作備份機製的電話，就能進入他的Google帳戶。至於要取得電話號碼，就得先拿到社會安全號碼，這似乎窒礙難行，但結果齣人意料；社會安全號碼就像普通商品一般，於網路上自由買賣，Cosmo嚮我們介紹一個俄羅斯網站，在上麵買一份社會安全號碼與一組齣生日期價格3.80美元，透過網路支付平台Liberty Reserve的代幣完成交易。

現在他們拿到Prince的社會安全號碼，接下來該處理AT&T客服部門瞭。

「我們先打電話到AT&T，把Prince的手機號碼傳送到Google Voice。客服人員問到姓名和社會安全號碼末四碼，Josh迴答Mattew Prince，並給她完整的SSN號碼，最後對方泰若自然的問，『好，你要把電話號碼轉到哪裏去？』他給瞭她Google Voice號碼，然後就傳送過來瞭。」

當《Wired》按照Cosmo描述的過程依樣畫葫蘆，卻無法從AT&T傳送訊息到Google Voice，語音順利送達，簡訊卻傳遞失敗，Cosmo吐露的一切似乎與實情明顯不符。之後我用AIM再問他一次，他迴覆：「當時也許隻限用語音。」

Prince接受《Wired》採訪陳述這件事情，他的私人Gmail是公司Google Apps電子郵件的備用信箱，雖然公司帳號有兩步驟驗證機製，但私人並未設置；此外，他的電話號碼是私人位址的帳戶救援選項，因此UGNazi傳送帳戶救援請求到Prince的電話，這支號碼後來輾轉落入他們手中，UGNazi就用此來盜用Prince的私人Gmail。

Prince說：「一旦他們進入其中，就可以藉由帳戶救援入侵我公司的電郵，受限帳戶的救援程序，Google也沒辦法判定任何頻外係統，他們就隻會寄電子郵件到我的私人信箱，如果他們做到這點，他們就能侵入我的個人電子郵箱。」

Google錶示，此類攻擊已不可能再發生。

一名Google發言人發給《Wired》一份聲明指齣：「Google Apps企業客戶帳號的恢復程序在特殊情況下存在漏洞，我們已經修復。如果透過傳送密碼重設指令到次要的電子郵件地址，而成功恢復管理者帳戶，在此過程中，兩步驟驗證就無用武之地。若他們的次要電郵帳戶由於某個原因遭受損害，就可能會引來濫用的情況。我們很快解決瞭這個問題，以杜絕更大程度的濫用。」

UGNazi最終繞過Google兩步驟驗證，闖進Prince的CloudFlare電子郵件，任意使用管理者工具，也成功移轉4chan的DNS到他們的Twitter帳戶，縱然隻持續不到幾分鍾，不過4chan的流量之龐大，已滿足他們成名的渴望。

他們的聲勢經由此次事件推升到頂點，UGNazi成瞭2012年最聲名狼藉的駭客組織。

人，纔是關鍵

就這樣，如同對付Prince與CloudFire，Cosmo一一拔除UGNazi的眼中釘，戰績彪炳。

他會先一點一滴四處蒐集資料，從眾多網路服務中擷取地址、信用卡號碼等各式文件數據，直到發動攻擊所需資訊萬事皆備。他經常冒充其他部門人員，打電話給公司的技術支援係統部門，Cosmo會事先調查好公司後端係統的內部細節，以增加成功機率。

「我有個朋友在一台Netflix電腦安裝遠端存取工具，當Netflix員工不在電腦旁，他就可以接掌那台電腦。用這個方式他抓瞭一堆螢幕截圖，發現支援軟體名叫Obiwan。」Cosmo沒有任何Netflix的IP地址，所以他無法使用Obiwan，但這無關緊要，他隻需要知道後端係統的樣貌。

「你得假扮成Netflix的代理人，打電話過去說『嗨，我是Derek，這裏是Netflix加拿大分部。我有個關於Obiwan的技術問題，你可以幫我查些東西嗎？』然後你報上電子信箱、姓名、帳單寄送地址，接著就會問到後四碼，最後你隻要再打迴去，重設密碼，完成。」

這就是Cosmo做事的祕辛。

當他裝成員工打給公司，不光愣在電話中等待對方給答案；他主動給予所有他獲知的細節，如果他已拿到四片拼圖中的三片，不等電話那頭齣聲，他就直接一股腦說齣他所掌握的資訊。

Cosmo假裝對公司係統知之甚詳，卸下對方心防，有時Cosmo甚至提供技術支援部門不需的訊息；假若技術支援部門隻問郵遞區號，他會迴答完整的地址，如此一來，顯得他的態度更加熟稔自然，減少被懷疑的機會。

這，實在稱得上十分經典的社交工程。他聳肩笑著說：「裝成代理人幾乎可以對任何公司産生作用，除非對方接受過訓練，否則多數人都會被濛騙，大部分公司並未針對員工進行提高警戒心的培訓。」

Cosmo有時還是會用到極為復雜的技術，涵蓋多重層級的社交工程，譬如入侵PayPal就費瞭他不少苦心。

撬開PayPal帳號的大門，社交工程師就進入瞭一座資訊寶庫。隻要登入某位用戶的PayPal帳號，他的信用卡末四碼、銀行帳戶、目前的帳單寄送地址就在眼前一清二楚。有瞭這些資訊，就能輕而易舉重設其它網站的密碼。更可怕的是，一旦進到某人的PayPal帳號，你就可以恣意擷取裏麵的資料。

Cosmo解釋竊入PayPal的來龍去脈。

「首先你需要增加一個銀行帳戶，先從Fakenamegenerator.com弄到假身份，就可以在eTrade.com申請虛擬銀行帳戶。」

《Wired》證實Cosmo所言不假。除瞭Fakenamegenerator生成的假資料派上用場，PayPal還要求我們鍵入駕照號碼，因此我們又去另外一個網站弄到這串資料，結果真的建立瞭一個綫上銀行帳戶。

「你打給PayPal，你要的是最後一片拼圖。這可以從亞馬遜拿到，或假冒PayPal代理人。他們從信用卡末四碼存取你的帳戶，你告訴他們你想要增加一支電話號碼，你給的是Google Voice的號碼，接著你說，我也想要新增一個我剛申請的銀行帳戶，他們便會照作。」

「然後你掛斷電話，到PayPal的網站，點進『重設我的PayPal帳戶』，它會傳送認證資訊到電話號碼，並要你齣示末四碼。你選擇Google Voice號碼，接到PayPal撥齣的電話後，就到認證頁麵，輸入你用E-Trade假造的銀行帳戶，到瞭下一步，它就會準許你建立新密碼。」

《Wired》復製瞭Cosmo的技巧，確實奏效。我們嚮PayPal揭露這個問題，該公司這纔彌補瞭安全漏洞。PayPal通訊總監Anuj Nayar錶示，這是産品測試造成門戶意外洞開，但這是暫時性的問題，現在已獲解決。PayPal聲明過後，《Wired》接下來的測試發現此事為真，雖仍能為帳戶添加電話號碼，不過PayPal不再傳送重設密碼的資訊，除非帳戶所有人確實登入驗證這支電話。

鋃鐺被捕

警察趕至傢門口時，Cosmo還在呼呼大睡。

警官與探員偕同長灘警局到他傢進行搜索，帶走他的三台小筆電（netbook）和iPod Touch。Cosmo被銬上手銬，警方不準他換掉前一晚穿的T恤和短褲。而後他被羈押在加州Los Padrinos的少年看守所內，度過兩天。

Cosmo奶奶的傢也沒能倖免。她說：「那時我在廁所，聽到有些人在講話，我打開門，看到有個警察就站在廁所門口，他就站在這扇門內側，我嚇死瞭。他抓住我的手臂，叫我過來坐下，我坐下後，有三個警察就站在那裏，就站在那裏。我嚇壞瞭，有些警察走過來，帶著Derek，他戴著手銬。」

Cosmo懷疑警方的搜捕行動跟UGNazi洩漏50萬筆WHMCS（域名主機管理軟體，服務包括客戶管理、帳單與支援解決方案）信用卡資料脫不瞭乾係，但應該與CloudFlare無關，不過使UGNazi登上FBI緝捕名單的，就是CloudFlare駭客攻擊事件。盡管如此，Cosmo還是對Prince以及所有因他開創性的方式導緻帳號損失的用戶錶達瞭歉意。

「在攻擊前，我撥電話給Matthew Prince，我想通知他有這迴事。我用AT&T Relay打給他，但他掛我電話，我隻是要讓他知道『你的網站快要被駭瞭』，Josh無論如何都會這麼做，但是……」

Cosmo真的曾設法警告Prince嗎？Prince證實他當夜確實接到幾通透過AT&T Relay打來的電話。雖然提齣警告似乎很牽強，但也不是那麼令人匪夷所思。

就拿我自己被駭的經驗當例子，Cosmo被逮捕很久之後，他完全失去破壞能力，但還是想辦法得知這件事情，並且試著透過我們兩個在Twitter上的共同追蹤者Mikko Hypponen警告我即將遭殃。雖然太遲，不過至少，他盡力瞭。

他嚮我坦白一切的原因究竟何在？為何他在受審前一點也沒有想為自己脫罪的跡象，也令人百思不解。Cosmo最後透過駭我的傢夥Phobia跟我接觸上，Phobia說，Cosmo想要告知我特定AOL帳號的漏洞；從我幾週前與Cosmo開始聯係至今，他都堅持這就是他與我談話的動機。

Cosmo口中所述盜用AOL使用者帳戶的方式，簡直易如反掌得叫人萬分詫異。更糟的是，多名駭客指稱，AOL的漏洞存在已經很久，而且眾所週知。簡而言之，要竊佔某個人的AOL電子郵件，隻需要他的姓名和地址。

想要重設免費AOL電子郵件或即時通訊帳戶的密碼，撥通電話給技術支援工作人員，給他姓名和郵遞區號就可以瞭；至於付費帳戶，對方也隻是要你的地址或信用卡末四碼。

Cosmo邊喝瓶裝水，邊漫不經心的嚮我描述這個行動。我瞪著他。

「是啊……你隻要那樣做就夠瞭。」

《Wired》親自證明即使無法答齣帳戶安全提示問題，還是能重設密碼，無論免費或付費帳號，有某幾次試驗，我們甚至故意說齣錯誤的答案而依然有效。我們通知AOL這個漏洞後，該公司迅速關閉以電話進行密碼重設的途徑。
AOL電子郵件與手機部門資深副總裁David Tempkin透過電郵告知《Wired》：「我們仔細調查此事，並且找齣電話協助程序有所疏失，我們立刻處理問題，從今開始，AOL使用者已經受到更嚴密的保護，利用電話重設密碼盜用帳戶的事件不會再重演。」

Cosmo造成的直接影響是，PayPal與AOL改善瞭它們的帳戶安全網。但對我而言，這隻增添瞭他的神祕感。

我很納悶Cosmo所說的一切有多少屬實。我唯一能確認的是，網路安全隻是虛幻不實的假象。不過我想他現在很誠實，我認為他真心感到悔恨，他隻不過是希望，在任何人的網路身份證明被竊取之前，在任何人莫名被SWAT破門而入之前，彌補他自己發現或協助公諸於世的帳戶漏洞。至少，我相信這點。

但話說迴來，他仍是個，超級大說謊傢。

本文引錄至 http://wired.tw/news