2004 －2014 年网络犯罪的演进

皮特·戈拉博斯基，吴雨桐译

一、前言

数字化时代网络的迅猛发展自不待言，根据摩尔定律，电脑的容量每两年将翻一番。尽管在早期网络犯罪情况中的基本要素还是显而易见的，但是自从“莫里斯蠕虫病毒”的释放(Morris worm)③译者注:美国康乃尔大学一年级研究生罗伯特·莫里斯于1988 年编写的病毒，是通过互联网传播的第一种蠕虫病毒。本文“译者注”的内容参照了网络资料和信息，后文中不做专门引注，特此说明。华东政法大学博士生导师邱格屏、博士生陈波给予了极大的帮助，在此表示感谢!以及凯文·米特尼克(Kevin Mitnick)从内部攻击防火墙的“丰功伟绩”之后的几十年间，④Hafner，Katie and John Markoff (1991)Cyberpunk:Outlaws and Hackers on the Computer Frontier．Simon and Schuster，New York．网络犯罪发生了重大变革。此文将探索2004 年之后网络犯罪的发展情况。其中一些在20 世纪末以初期的或雏形的可见状态存在，其余部分在近年来才逐渐显现。本文围绕三个基本趋势为重点来讨论:成熟化，商业化和组织化。成熟化是指实施网络犯罪所使用手段的多样性与成熟化。商业化是指，网络犯罪凸显收益性的特征，以及市场的导向作用。组织化涉及近期网络犯罪组织的多样性活动和外在多样的组织形式。

二、网络犯罪发展趋势

(一)成熟化

网络犯罪日趋复杂，这不仅表现在技术层面，还表现在心理层面。2000 年由“黑手党男孩”(Mafiaboy)⑤译者注:加拿大魁北克省的一名普通高中生，在互联网上，其化名是“黑手党男孩”(Mafiaboy)，为了让自己在网络世界中建立所谓“统治”。他在一周内接连攻击了Buy．com、eBay、CNN、Amazon 和Dell．com。对主要电子零售商进行“分布式拒绝服务攻击”的精心策划与近年来有组织的“僵尸网络”(Botnet)⑥译者注:僵尸网络是指采用一种或多种传播手段，使大量主机感染bot 程序(僵尸程序)病毒，从而在控制者和被感染主机之间所形成的一个可一对多控制的网络。相比就显得苍白无力了。这里有一些就包括成百上千的“蛇神”计算机。据报道，2011 年TDL4 僵尸网络感染了450 万台电脑。①Silva，Sérgio，Silva，Rodrigo，Pinto，Raquel，and Salles，Ronaldo (2013)“Botnets:A survey”Computer Networks，57，2，378－403．http://www．sciencedirect．com/science/article/pii/S1389128612003568 (accessed 19 August 2013)僵尸网络可以用于各种各样的非法目的，包括垃圾邮件、拒绝服务以及一系列金融犯罪中的恶意软件。僵尸网络自身也在演化发展。在对等网络中(P2P)，被感染的计算机相互二者间彼此对等交流而非受控于一个中央指挥部，因此增强了灵活性。斯托尔在其著作②Stoll，Clifford (1991)The Cuckoo’s Egg:Tracking a Spy Through the Maze of Computer Espionage Pocket Books，New York中提到，苏联国家安全委员会(KGB)授权的特务活动似乎正沿着由某国军队支持的原始经济间谍活动的组织计划进行，③⑨Mandiant Intelligence Center (2013)APT1:Exposing One of China’s Cyber Espionage Units http://intelreport．mandiant．com/ (accessed May 20，2013)国际社会及美国国家安全局实施了大量监控程序。④Bamford，James (2008)The Shadow Factory:The NSA from 9/11 to the Eavesdropping on America．Random House，New York．Greenwald，Glenn and Ewen MacAskill，Ewen (2013)“NSA Prism program taps in to user data of Apple，Google and others”The Guardian，Friday 7 June http://www．guardian．co．uk/world/2013/jun/06/us－tech－giants－nsa －data (accessed 7 August 2013)．由缓慢的传统邮件过渡到传真，再到电子邮件的传输，最早的预付款欺诈教唆罪经常在拼写和语法上出现惊人的低级错误。与之形成鲜明对比，教唆者使用的当代技术在某种程度上已经精细至趋于完美，虽然这些技术对于玩世不恭的“网络钓鱼”学生和相关的网络欺诈并不能完全令其信服，但是与以往相比肯定更加可信。有些可能是基于对商业网站的完美模仿，从而欺骗不明真相的用户。

针对特定的细分市场出现了日益复杂的友好姿态，如学者。虽然在海外的一次会议上被邀请发表主题演讲是一种荣幸，加上有未来还款的保证，但更谨慎的学者们最好不要急于支付注册费。会议邀请欺诈利用声望极高的组织增添信誉，这也是一种常见的被视为合法的形式。许多此类组织为之发布了警告。总部位于布鲁塞尔的国际协会在其欺诈监测网站上发布了显然是以会议形式进行欺诈游说的消息。⑤(11)http://www．cpha．ca/en/conferences/fraud．aspx;http://www．uia．org/fraud － monitor;http://www．scamorama．com/conferences．html

“恐吓性软件”市场也出现了明显成熟化的势头。一个负面消息表明，若某个人的电脑被入侵，加上提供一个价格十分合理的技术修复，如此就利用了无知用户的焦虑和轻信心理。修复可能非但没有好处，糟糕的是，它反而更容易促进恶意软件的推销。因此，最具信任心理的受害者将购买软件，从而为一系列连续诈骗形成的特权买单。⑥Giles，Jim (2010)Scareware:The Inside Story．New Scientist，205，2753，(24 March)，38 －41．

进一步细化目标意味着通过访问组织机构网站来联系一个组织的成员，或者通过确定其他具有共通之处的组织来选定人员。这些也许存在于博客或其他社交网站。这使得游说更有可信度，比起某个明显是虚构之人的突兀提议，此举可能会取得更多信任。

通过获取未授权的渠道访问合法用户的电子邮件通讯录，你可以使用它作为一个平台向用户的客户发送一个看似是私人的消息。与一个完全陌生人的来信相比，这很可能会引发更多的邀请并且不被收件人怀疑。在2000 年，当人们打开一个明显是由熟人发来的主题为“我爱你”的邮件时，就在不经意间将携带病毒的相同信息传送给了他邮件通讯录里的邮箱。在十年间，世界范围内有大约四千万个电脑感染病毒。在此之后，这一主题下又出现了不计其数的变体。

与此同时，数字技术的直接适用变得非常复杂，并得到广泛使用。潜在的恶意软件工具包或被开发，或被使用，或者由个别罪犯或犯罪组织出售，这一问题已经十分显著，数量亦不断增加。毫无疑问，在数字时代已经成熟了的传统组织犯罪将会把科技手段运用到惯常的违法行为中。免费下载且易于使用的恶意软件工具也将导致简单网络犯罪的增长，就像易得到的喷漆助长了涂鸦的可能性。

特洛伊木马(Trojan Horses)已经存在了超过三十年。但是如今的木马程序比以往任何时候都复杂。奥利弗(Oliver)等人①Oliver，John，Cheng，Sandra，Manly，Lala，Zhu，Joey，Dela Paz，Roland，Sioting，Sabrina，and Leopando，Jonathan(2012)Blackhole Exploit Kit:A Spam Campaign，Not a Series of Individual Spam Runs．Trend Micro Incorporated．http://www．trendmicro．com．au/cloud－content/us/pdfs/security －intelligence/white －papers/wp_blackhole －exploit －kit．pdf (accessed 16 August 2013)．设计了活性开发工具包，它为攻击者提供了受害者更详细的信息。他们也可以反馈哪些攻击方法是最有效的。利用工具结合了规避/模糊处理的新形式，正变得越来越精细复杂。

在20 世纪晚期隐蔽和匿名是常见的技术。②Grabosky，Peter and Smith Russell (1998)Crime in the Digital Age．New Brunswick NJ，Transaction Publishers．但他们的能力已经得到了充分发展。Tor 技术，运用多层加密以及成千上万的网络中继路由，允许互联网用户在不暴露自己的位置和身份的情况下浏览互联网。在专制社会中大肆宣传它能够绕开互联网的审查和监视，这个功能在互联网上是可以免费获得的。③Philby 2013;https://www．torproject．org/

(二)商业化

今天，网络空间就如同在物理空间，钱使世界运转。然而，在数字时代的早期，潜在的犯罪者往往对可观的商业前景感兴趣，而不仅限于当下能够得到多少利润;技术成就和名声本身就是目的。黑手党男孩公开吹嘘他的拒绝服务成果;“生或死”(Drink or Die)④译者注:简称DoD，是20 世纪90 年代最为出名的盗版软件交易群体，于2001 年被打击取缔。侵犯版权的阴谋为寻求认可即到处分发一个完美的新盗版产品的复制件。⑤Lee，Jennifer (2002)“Pirates on the Web，Spoils on the Street”．New York Times，July 11，2002．http://www．nytimes．com/2002/07/11/technology/pirates－on－the－web－spoils－on －the －street．html?pagewanted =all＆src =pm (accessed May 20，2013)．

日常活动理论预测，接触到互联网的人越多，电子商务就越多，在网络空间盗窃会更容易发生。遗憾的是，不完全的网络犯罪统计数据推翻了此命题，但它似乎不证自明。数字技术中持续增长的指数和电子商务的发展在过去十年中只朝着一个方向进步。今天，僵尸网络被用于各种贪得无厌的犯罪，比如点击付费或者单次下载付费欺诈、共享及电子资金转账欺诈。

网络犯罪技术也日渐商业化。比起当年苏联国家安全委员会雇佣马库斯·赫斯(Markus Hess)，⑥Bryan－Low，Cassell (2012)Hackers－for－Hire Are Easy to Find The Wall Street Journal January 23 http://online．wsj．com/article/SB10001424052970203471004577145140543496380．html (accessed 16 August 2013)当今已有更多的“雇佣黑客”。黑客工具下载都是免费的，但其中更完善的如一些特制的恶意程序被用于出售或出租。不仅宙斯(Zeus)和黑洞(Blackhole)⑦译者注:宙斯病毒名为Zeus，主要通过钓鱼式攻击信息传播。当用户遭到钓鱼式攻击后，他们的账户就会自动向好友发送信息或链接，内容通常是一些邀请好友点击视频或产品的广告，但是那些广告并非普通的广告，而是指向恶意链接，进而感染更多的用户;黑洞是一种木马软件，专门用于盗窃用户名和密码。开发工具包可以租借;租赁公司还给用户提供技术支持，包括定期更新软件。⑧Oliver，John，Cheng，Sandra，Manly，Lala，Zhu，Joey，Dela Paz，Roland，Sioting，Sabrina，and Leopando，Jonathan (2012)Blackhole Exploit Kit:A Spam Campaign，Not a Series of Individual Spam Runs．Trend Micro Incorporated．http://www．trendmicro．com．au/cloud－content/us/pdfs/security －intelligence/white －papers/wp_blackhole －exploit －kit．pdf (accessed 16 August 2013)．Holt，Thomas (2012)“Examining the Forces Shaping Cybercrime Markets Online”Social Science Computer Review 31(2)165 －177．僵尸网络，以及其他一系列的产品和服务促进了网络犯罪，也可用于购买或租用。⑨Davidow，Bill (2013)“Productivity Tools For Cybercrime”The Atlantic，23 August http://www．theatlantic．com/technology/archive/2013/08/productivity－tools－for－cybercrime/278974/ (accessed 5 September 2013)．它们包括，更难监测到的加密恶意软件，通过访问专用服务器发动攻击;编程服务;VPN 服务以确保匿名通信;分布式拒绝服务攻击(DDoS)服务。①Goncharov，Max (2012)Russian Underground 101 Trend Micro Incorporated．http://www．trendmicro．com/cloud － content/us/pdfs/security－intelligence/white－papers/wp－russian－underground－101．pdf (accessed 19 August 2013)．

商业化的另一个例子是，有些人在寻找计算机代码中存在的且未发现的漏洞，并将其出售。在过去的几年里，有许多热心的黑客，他们在发现漏洞以后会提醒开发者，因此得到开发者的回报(可能只是一件T 恤)。近年来在某些情况下，对于能够轻松地秘密访问计算机系统的这类信息，其价值对政府以及侵犯平民权益的黑客而言已经显而易见，更不用说软件的开发者了。创业精神随着掮客的出现进一步凸显，他们按总金额的百分比出售市场信息。名副其实的竞购战开始了，一些政府准备针对特定漏洞的独家信息支付超过100000 美元;据报道，操作系统的一个缺陷其信息售价为500000 美元。②Perlroth，Nicole and Sanger，David (2013)“Nations Buying as Hackers Sell Flaws in Computer Code”New York Times，13 July．http://www．nytimes．com/2013/07/14/world/europe/nations－buying －as －hackers －sell －computer －flaws．html?pagewanted=all (accessed 12 August 2013)．还有报道称在2011 年，美国国家安全局在“秘密购买软件漏洞”上花费了2500 万美元。③Sanger，David (2013)“Budget Documents Detail Extent of U．S．Cyberoperations”New York Times，31 August．http://www．nytimes．com/2013/09/01/world/americas/documents － detail － cyberoperations － by － us．html?emc = edit _ tnt _20130831＆tntemail0 =y (accessed 2 September 2013)．

正如下文内容将阐述的，恶意软件和汇款资料的在线市场正欣欣向荣地发展。霍尔特(Holt )描述了其中大多数工具、设备和数据的市场，现在如何于东欧的托管下不受西方执法机构的管辖而相对安全。④Holt，Thomas (2012)“Examining the Forces Shaping Cybercrime Markets Online”Social Science Computer Review 31(2)165 －177．

不过虽然如此，预发行风气还是有许多残留部分，有的黑客仍然执著于追求乐趣或思想意识。也许其中最引人注目的是“匿名”组织中的活动，一个由无政府主义者组成的松散集体，他们主要基于具有危害和憎恨权威的精神建立，其分支LulzSec⑤译者注:黑客组织“LulzSec”因入侵美国CIA、国会参议院、日本索尼公司等政府和企业网站“闻名”。则更具危险性。⑥Olson，Parmy (2012)We Are Anonymous:Inside the Hacker World of LulzSec，Anonymous，and the Global Cyber Insurgency．Little，Brown，New York．

(三)组织化

有许多网络罪犯都是单独实施犯罪的。他们有可能技艺精湛但也可能不是事事精通，他们所实施的犯罪行为也许只是一种爱好而非将它视作职业或作为一种生活方式。

他们可能在聊天室或论坛里与同事交换“商业机密”，当犯罪工具触手可及或者毫无成本时，他们犯罪的机会就大大增加了。但大量的网络犯罪都是有组织团体的“杰作”。

传统观念中的有组织犯罪是基于统一化、采用等级制、具种族性形成的团体，依靠贿赂和暴力寻求利润回报，这种组织可能存在于20 世纪中期的北美，但它现已不复存在。到了1990 年代，犯罪组织的观察员报告说，大量的犯罪活动由较小的松散联盟组织暂时聚合在一起交换商品和服务，⑦Halstead，Boronia．1998．“The Use of Models in the Analysis of Organized Crime and Development of Policy．”Transnational Organized Crime 4(1):1 －24．而不是作为例行的活动或维持组织持久的结构。垂直一体化企业的想法从而让位于网络的隐喻，⑧Williams，Phil (2001)“Transnational Criminal Networks．”in Networks and Netwars，edited by John Arquilla and David Ronfeldt．:Rand Corporation，Santa Monica．在有组织犯罪集团和个体之间的相互关系中提供了现代思考的基础。⑨Morselli，Carlo (2009)Inside Criminal Networks．Springer，New York．数字技术促进了网络化的组织形式以及其他类型的网络集体行动，如可用于犯罪目的的短期机会主义“密集群体”。⑩Choo，K．K．Raymond，and Grabosky，Peter (2013)“Cyber Crime”in Paoli (ed)Oxford Handbook of Organized Crime．(Oxford，Oxford University Press)DOI:10．1093/oxfordhb/9780199730445．013．003．

在这些新兴的组织形式中，也许最重要的就是僵尸网络了。僵尸网络可以由个人以及团体创建和部署，但当用于非法目的时也许其本身也可以被看做是有组织犯罪的形式。①Chang，L．Y．C．(2012)Cybercrime in the Greater China Region:Regulatory Response and Crime Prevention Across the Taiwan Strait．(Cheltenham，Edward Elgar)．当大量的计算机感染病毒，由一个僵尸主控机所控制，被病毒感染电脑的个人所有者于是成为犯罪计划里不知情的帮凶。

虽然特立独行的黑客形象是网络传奇的一部分，但20 世纪的有组织网络犯罪中却见证了他的存在。第一个著名的银行诈骗案是花旗银行诈骗，此案是一个年轻的俄罗斯人弗拉基米尔·莱文(Vladimir Levin)在上世纪90 年代中期实施的。莱文使用远程访问花旗银行服务器的方式，直至同伙在世界各地的分支机构打开了花旗银行账户。然后进入花旗银行合法持有人的账户并将资金转入他自己与同伙的账户中。这种网络欺诈的行为模式在过去十年中被大量运用。

三、组织结构

下面的例子将更进一步说明有组织网络犯罪的多样性。然后我们回顾麦圭尔时代(McGuire)网络犯罪组织的类型。②McGuire，Michael (2012)Organised Crime in the Digital Age．John Grieve Centre for Policing and Security，London

自2004 年以来，组织团体就变得更加复杂和多样化。Dreamboard 是一个非法交换十二岁以下儿童照片的会员制组织，直到跨国警方于2009 年开始介入调查才被封锁。最终对它的指控横跨五大洲14 个国家，共计72 个人。服务器位于美国，该集团高级管理层则位于法国和加拿大。行为规则在该网站的公告牌上被译为英语、俄语、日语和西班牙语。Dreamboard 的管理十分复杂，它需要审查准会员，以持续贡献非法材料作为会员资格的条件并奖励那些制作和分享自己信息的会员。成员获得的地位等级反映出他们贡献的数量和“质量”水平。该集团使用昵称而非实名制;非法内容的链接有加密系统和密码保护。通过代理服务器才可访问该集团的公告栏。由其他电脑来掩盖会员真正的位置，从而阻碍调查人员追踪会员的在线活动。③US Department of Homeland Security (2011)“Secretary Napolitano and Attorney General Holder Announce Largest U．S．Prosecution of International Criminal Network Organized to Sexually Exploit Children”http://www．dhs．gov/news/2011/08/03/secretary－napolitano－and－attorney－general－holder－announce－largest－us－prosecution (accessed 5 September 2012)．

(一)黑市

黑市是一种盗窃信用卡和银行信息、恶意软件以及相关技术的交易论坛。其网站为电子市场提供基础设施——一个为买卖双方提供非法信息的交易场所。该论坛成立于2005 年5 月，为了充分利用电子银行及不断增加的信用卡和借记卡的使用量所导致的犯罪。银行和信用卡信息能以各种方式非法获取，包括带“略读”装置的秘密记录设备，未经授权访问个人或商业信息系统，或“社会工程”技术，即仅提供表面上看起来来源合法的部分信息就可说服受害者。④(35)Glenny，Misha (2011)Darkmarket:Cyberthieves，Cybercops and You．Bodley Head，London．

(二)匿名犯罪

匿名则称不上是正式组织了，不如说它是一个由无政府主义者组成的松散集体。主要基于对权威的鄙夷和怨恨的共享精神，该集团参与了被称为‘黑客激进主义’(Hacktivism)⑤译者注:黑客激进主义一词，Hacktivism 是由Hack 和Activisim 两个词组成，认为只要以合适的方式使用信息技术，就可以获得和抗议、公民抗命和公民运动一样的政治效果。的活动。随着时间的流逝，参与者具有了打破旧习的精神，如果不是无政府主义使他们专注于著名的标志性机构，如种样繁多的山达基教会和美国司法部。所采用的方式是网站破坏和分布式拒绝服务攻击并辅以网上谩骂。⑥Olson，Parmy (2012)We Are Anonymous:Inside the Hacker World of LulzSec，Anonymous，and the Global Cyber Insurgency．Little，Brown，New York．到目前为止，该组织的大致方向已经由积极行动分子中的一个核心人物操控。其中，个人的任务往往是很短暂的，大部分都被执法机构封锁。

(三)乌克兰宙斯团体

在东欧由软件工程师改良的恶意软件:宙斯病毒，为大众所熟知。这个恶意代码被一些乌克兰黑客用于获得进入位于美国各种各样的小型企业、直辖市和非政府组织中个人使用电脑的权限。当受害者打开一个明显毫无威胁的电子邮件消息时，目标计算机则因此遭到病毒感染。凭借受害者银行账号和密码信息，乌克兰的犯罪分子就能够登录到目标组织的银行账户。乌克兰的共犯主体在俄语网站发布通知请居住在美国的学生协助他们将资金转移出国。这些所谓的“骡子”有为其提供的伪造护照，并依指示用假名在美国金融机构开立账户。乌克兰罪犯把来自合法账户持有人的资金转移至骡子账户，指示骡子将资金转入离岸账户，或在某些情况下直接将资金偷运出美国。①http://www．fbi．gov/newyork/press－releases/2012/another－cyber －fraud －defendant －charged －in －operation －aching－mules－sentenced－in－manhattan －federal －court (accessed May 20，2013);http://www．justice．gov/usao/nys/pressreleases/September11/garifulinnikolaypleapr．pdf (accessed May 20，2013);http://www．fbi．gov/newyork/press － releases/2010/nyfo093010．htm (accessed May 20，2013);http://www．justice．gov/usao/nys/pressreleases/September10/operationachingmulespr%20FINAL．pdf (accessed May 20，2013)．

最复杂的网络犯罪组织，其特点是具有大量劳动分工和专业化的功能。美国联邦调查局网络调查部门的代表在一次演讲中略述下列角色，阐释了在重大欺诈阴谋中每一类角色所起到的作用:②Chabinsky，Steven (2010)“The Cyber Threat:Who’s Doing What to Whom?”Speech to the GovSec/FOSE Conference ，Washington，D．C．March 23，2010．http://www．fbi．gov/news/speeches/the － cyber － threat － whos － doing － what － to － whom(accessed 12 August 2013)．

1．程序员为犯罪编设恶意软件、开发及准备其他必要工具。

2．经销商将盗来的数据用于贸易交换或者直接出售，并为其他专供商提供的货品提供担保。

3．技术人员维护罪犯的基础设施并对技术提供支持，如服务器、互联网服务和数据加密。

4．黑客在应用程序、系统和网站中寻找和利用漏洞以取得管理员或工资名单的访问权。

5．欺诈专家使用并完善社交网络引擎，包括网络钓鱼、垃圾邮件和域名抢注。

6．主控者一般通过精心制作的僵尸网络和代理网络，为携带非法内容的服务器及网站提供“安全”设施。

7．兑现者负责删除账户并将这些用户名和账户提供给其他罪犯以收取费用;他们也通常管理个人现金交易或“钱骡”交易。

8．钱骡把欺诈所得转交给第三方从而进一步转移到一个安全地点。

9．出纳员通过数字货币服务和不同国家间的货币来协助转移和非法洗钱收益。

10．组织团体的执行人员除了管理犯罪收益的分配外，他们负责选择目标并招募人员然后将上述的任务分配给相应的成员。

(四)国家和国家资助的网络犯罪

在过去的十年中网络犯罪发展更为显著的一个现象是，由政府或其代理人支持下的非法活动数量有明显增长趋势。我们可以设想这样一个连续的公私互动模式:国家垄断犯罪活动是一个极端，国家无视私人的犯罪活动是另一个极端。在这两极之间，我们会发现在国家和非国家实体之间可能会产生一种协作关系。国家当局和私人刑事人员之间的松散合作关系;国家的积极赞助;国家面对非法活动时戴上“黑色墨镜”;国家对已知的私人非法行为无能力控制。③Stohl，Michael (2014)“Dr．Strangeweb:Or How They Stopped Worrying and Learned to Love Cyber War”in Chen，T．;Jarvis，L．and MacDonald，S．Cyberterrorism:A Multidisciplinary Approach．Springer，New York．

网络攻击，显然是俄罗斯针对爱沙尼亚和格鲁吉亚政府做出的。政府干预的程度尚不明确，虽然没有确凿证据证明这是由国家主导的行动，但的确表面上看起来俄罗斯政府很可能是在暗中支持或鼓励此次攻击。④Ashmore，William C (2009)Impact of Alleged Russian Cyber Attacks School of Advanced Military Studies，United States Army Command and General Staff College，Fort Leavenworth，KA．http://www．dtic．mil/cgi － bin/GetTRDoc?AD = ADA504991(accessed 19 August 2013)．“爱国黑客”一词被用来指一国攻击外国对手的公民。

袭击韩国总统府和其他几个官方及媒体网站，此举显然是某国的国家行为，但也有人宣称是朝鲜发动的攻击。①Choe，Sang－Hun (2013)South Korea Blames North for June Cyberattacks New York Times 16 July http://www．nytimes．com/2013/07/17/world/asia/south－korea－blames－north－for－june－cyberattacks．html (accessed 19 August 2013)．鉴于朝鲜政治体制的本质，攻击极可能在很大程度上涉及政府行为。他们也可能牵涉到居住在别国的朝鲜侨民。

大规模的工业间谍计划自2006 年由某国的军队实施。②Mandiant Intelligence Center (2013)APT1:Exposing One of China’s Cyber Espionage Units http://intelreport．mandiant．com/ (accessed May 20，2013)．这就主要是国家行为了。

在2012 年显然由伊朗发起的攻击支持沙特石油设施的服务器的行动。③Perlroth，N．(2012)“In Cyberattack on Saudi Firm，U．S．Sees Iran Firing Back”New York Times，October 23 http://www．nytimes．com/2012/10/24/business/global/cyberattack－on－saudi－oil－firm －disquiets －us．html?pagewanted =all (accessed May 20，2013)．公私合作的程度尚不明确。

奥运会之运作，自2006 年渗透着美国和以色列政府代表机构的伊朗核浓缩装置。该操作使控制系统崩溃并通过远程控制销毁一批离心分离机，在此过程中成功地延缓铀浓缩的进展。据报道，美国国家安全局(NSA)是主要参与者，且由以色列予以协助。④Sanger，David (2012)Confront and Conceal:Obama’s Secret Wars and Surprising Use of American Power．Crown Publishers，New York．

2013 年由告密者爱德华·斯诺登披露，美国于2011 年间策划了231 攻击性网络计划。目前还不清楚究竟其中多少行动将摧毁或损坏数据、网络、电脑，而不仅是单纯的情报收集。⑤Sanger，David (2013)“Budget Documents Detail Extent of U．S．Cyberoperations”New York Times，31 August．http://www．nytimes．com/2013/09/01/world/americas/documents － detail － cyberoperations － by － us．html?emc = edit _ tnt _20130831＆tntemail0 =y (accessed 2 September 2013)．有关报道指出，国家安全局特定入侵行动办公室(TAO)仅在国家安全局总部就有600 名专业黑客。据报道，该组织已经渗透到中国电信系统近15 年。⑥Peterson，Andrea (2013)“The NSA has its own team of elite hackers”Washington Post，29 August http://www．washingtonpost．com/blogs/the－ switch/wp/2013/08/29/the － nsa － has － its － own － team － of － elite － hackers/ (accessed 2 September 2013)巴西总统和德国总理也在通信已被监控的政府首脑之中。

大规模的数据捕获、存储和分析自2001 年以来一直由国家安全局承担。最初班福德(Bamford)⑦Bamford，James (2008)The Shadow Factory:The NSA from 9/11 to the Eavesdropping on America．Random House，New York．简述了由爱德华·斯诺登透露的其他机密细节，该项目已广泛依赖于私人部门的合作电信运营商和服务提供商以及私人咨询顾问公司的参与，其中就包括斯诺登。合作公司有微软、谷歌、雅虎、Facebook、You Tube、Skype、AOL 和苹果。据说程序捕获且存储了各种数据，包括电子邮件、聊天室交流、VOIP 网络电话(VOIP)、照片、存储数据、文件传输、视频会议和其他社交网络的内容。⑧Greenwald，Glenn and Ewen MacAskill，Ewen (2013)“NSA Prism program taps in to user data of Apple，Google and others”The Guardian，Friday 7 June http://www．guardian．co．uk/world/2013/jun/06/us －tech －giants －nsa －data (accessed 7 August 2013)．Greenwald，Glenn (2013)“XKeyscore:NSA tool collects ’nearly everything a user does on the internet’”theguardian．com，31 July http://www．theguardian．com/world/2013/jul/31/nsa － top － secret － program － online － data (accessed 7 August 2013)Gidda，Miren (2013)“Edward Snowden and the NSA files – timeline”The Guardian，Friday 26 July．http://www．theguardian．com/world/2013/jun/23/edward－snowden－nsa－files－timeline?INTCMP=SRCH (accessed 7 August 2013)．国家安全局和其私营部门合作伙伴也同样成功地绕过了大多数在线加密技术。⑨Perlroth，Nicole，Larson，Jeff，and Shane，Scott (2013)“N．S．A．Foils Much Internet Encryption”New York Times，5 September (accessed 6 September 2013)．Peterson，Andrea (2013)“The NSA has its own team of elite hackers”Washington Post，29 August http://www．washingtonpost．com/blogs/the－switch/wp/2013/08/29/the－nsa－has－its －own －team －of－elite －hackers/ (accessed 2 September 2013)

虽然通过已执行的活动所表现出精细组织形式的信息仍然很难获得，但是这些活动表现出的各种突出特征却表明其还在延续。国家安全局捕获的数据在很大程度上依赖于公私伙伴关系，而朝鲜似乎倾向于更多国家主控的活动。

(五)犯罪组织的类型理论

麦奎尔(McGuire)提出了一个网络犯罪组织的类型理论，包括六种组织结构。根据我们目前了解到的网络犯罪者，他强调‘这些基本组织模式在极其多变而混乱的方式中经常一刀横切’，这一理论代表了‘最佳猜测’。他指出，此类型可能会随着数字环境的演进而变化。麦奎尔所指包括三个主要组类型，根据协会成员之间的力量将每组分成两个子组。

类型一:团体运作在本质上是在线的，并且可以进一步分为集群式和中心式。他们大多是“虚拟”的，信任基础则通过在网上非法活动的信誉进行评估。

集群式有着很多类似的网络功能且被描述为‘怀揣共同目标但无领导的杂乱无章之组织’。通常集群的指挥链极少，可能在病毒形式的运作方式上让人想起早期的‘激进黑客’团体。集群似乎受意识形态驱使，它的在线活动显得最为活跃，比如仇恨犯罪和政治阻力。“匿名”组织就表现出一个典型的集群式类型团体的特征。①Olson，Parmy (2012)We Are Anonymous:Inside the Hacker World of LulzSec，Anonymous，and the Global Cyber Insurgency．Little，Brown，New York．

中心式如同集群式，本质上在网络中都十分活跃，但中心式具有一个明确的指挥结构，更富有组织性。许多外围的犯罪人员聚集在一个核心罪犯的周围，他们的在线活动多种多样，包括盗版、网络钓鱼攻击、僵尸网络和在线的性冒犯。麦奎尔(McGuire)报道，伪安全软件通常包括中心式组织。

类型二:组织团体结合了线上和线下攻击并描述为‘混合体’，而它反过来则是‘群聚’或‘延伸’。

在一个群聚混合体中，攻击形成于个人组成的一个小团体之上且集中在特定的活动或方式中。他们的结构与中心式十分类似，但在线上与线下之间可以进行无缝移动。典型组织团体的做法是扫描信用卡后使用其数据，通过梳理网络从而在网上购物或在线销售数据。②McGuire，Michael (2012)Organised Crime in the Digital Age．John Grieve Centre for Policing and Security，London Soudijn，M R ＆ Zegers B C (2012)，“Cybercrime and virtual offender convergence settings”(2012)Trends in Organised Crime，15，111 －129．延伸混合体形式的组织与群聚混合体的运行方式很相像，但它的集中程度并不明显。它们通常包括许多共事者和子组来进行各种犯罪活动，但其仍然保持一定程度的协调以保证正常运行。

类型三:组织团体主要在线下运作，但他们需要线上的技术去支持线下的活动。麦奎尔认为，这种类型的组织还有待探讨，因为他们实施的数字犯罪仍在持续上升。正如前面所述的群体类型，根据其凝聚力和组织化程度，团体类型三可以再次划分为‘等级阶层组织’和‘集成体组织’。

等级阶层组织是最为典型的传统犯罪组织(比如家庭犯罪)，他们在网上实施一些犯罪。举个例子来说，黑手党组织在卖淫活动中的传统利益现在已延伸到色情网站;其他的例子还包括在线赌博、敲诈勒索、通过恶意攻击或入侵计算机来关闭系统或访问私人记录从而实施勒索行为。在美国，甘比诺犯罪家族的成员被指控制造假条形码标签和信用卡。博纳诺家族的一个合伙人被指控犯有涉及数字技术的诸多罪行，比如与存取设备相连接的欺诈行为。③Choo，K．K．Raymond，and Grabosky，Peter (2013)“Cyber Crime”in Paoli (ed)Oxford Handbook of Organized Crime．(Oxford，Oxford University Press)DOI:10．1093/oxfordhb/9780199730445．013．003

集成体组织的组织形式松散、临时组成且通常没有明确的犯罪目的。他们利用一个特设方式下的数字技术，但这种技术可以造成伤害。例如使用黑莓手机或移动手机协调帮派活动或造成公共秩序混乱，正如发生在2011 年的英国骚乱或2012 年9 月的悉尼骚乱。④Cubby，Ben and Mc Neilage，Amy (2012)”Police investigate rioters’text messages”Sydney Morning Herald (17 September)http://www．smh．com．au/nsw/police － investigate － rioters － text － messages －20120916 －260mk．html#ixzz2cZWaD6zo(accessed 21 August 2013)．

四、最新科技发展

数字技术的演进催生了许多新的应用程序。在下面几节中，我们将讨论这些程序如何已经或将要服务于犯罪目的。

(一)移动通信

尽管移动电话已经于小范围内和萌芽期存在了几十年，但它的发展速度已经在过去的十年里突飞猛进。早在2001 年在世界上首次推出3G 网络的是日本，欧洲则是在2003 年推出3G 网络。国际电信联盟(ITU)估计，至2012 年底共有68 亿手机用户，总量超过了2005 年的三倍。今天，电话的数量在越来越多的国家中会比人口数更多。①http://www．itu．int/en/ITU－D/Statistics/Pages/stat/default．aspx

从最初简单的语音通信发展至今，手机允许传输文本、图片、音乐、视觉和多媒体组合;它们支持互联网接入和卫星导航。我们看到的都是手机所有的福利，然而移动电话在过去十年里成为了各种各样犯罪活动的帮凶，从远程引爆爆炸装置到欺诈募捐资金的转移再到获取儿童分布的非法图像。现在又能够远程控制手机并把它作为一个侦听器，或者复制手机的SIM 卡用于之后的犯罪。特别是当新闻国际公司的员工进入了英国皇室成员、谋杀案的受害者或其他名流的语音邮箱等事件公开以后，电话窃听获得的未授权渠道即可访问语音信箱，成了一个突出的问题。最近一个扩张领域似乎涉及使用虚假应用程序(在移动术语中称为应用程序商店)。移动应用程序可以通过一个在线“商店”进行访问。网络犯罪组织可以上传恶意软件，如将键盘记录器伪装成合法的应用软件。②Skyba，Mike (2013)“Fake Android Apps”http://au．norton．com/fake－android－apps/article (accessed 6 September)．当受害者在毫无察觉的情况下下载应用程序时，罪犯就能够收集到银行账户和登录信息并利用受害人的手机继续进一步的犯罪活动。③Curtis，Sophie (2013)“Banking malware and fraudulent dating apps drive surge in mobile threats”The Telegraph，21 August http://www．telegraph．co．uk/technology/internet － security/10257371/Banking － malware － and － fraudulent － dating － apps －drive－surge－in－mobile－threats．html (accessed 6 September 2013)．

(二)无线网络

无线技术在电脑上的使用量不少于电话，它的出现提供了一个方便的可替代有线连接的方式。尽管它有益处，但无线技术正在给新型的犯罪创造机会。除非它们有适当的安保措施，否则无线局域网(LANS)很容易被侵入。十年前，若要访问内部无线网络，仅需一台电脑和一个无线局域网卡，包括从网上下载的软件，这些成本不到100 美元。今天，这些往往是购买一个电脑的标配应用程序。“驾驶攻击”这个词用来指代无线访问点(或者“热点”)在运动时的定位和记录。有效的信用卡和其他个人信息可以从大量主要零售商的无担保网络中获得。到2003 年年底，我们可以看到未经授权即可进入移动无线系统的“手机黑客”提起的诉讼。同年的11 月，有两人在密歇根州受到指控，他们在一家商店外的停泊轿车里潜入到一家家居装修店的全国性网络中。④US Department of Justice (2004)Hacker Sentenced to Prison for Breaking into Lowe’s Companies’Computers with Intent to Steal Credit Card Information http://www．justice．gov/criminal/cybercrime/press － releases/2004/salcedoSent．htm (accessed 16 August 2013)．Sipior，Janice and Ward，Burke (2007)“Unintended Invitation:Organizational Wi － Fi Use by External Roaming Users”Communications of the ACM，50，8，72 －77．http://www．cse．buffalo．edu/ ～hungngo/classes/2010/589/reading－materials/p72 －sipior．pdf (accessed 16 August 2013)．

支付系统的革新也创造了新的犯罪机会。近场通信和无线电频率识别(RFID)技术允许距离靠近的设备之间彼此交换数据。基于这些技术的非接触式支付系统，可能很容易因此被附近的人扫描到个人信息。特制钱包和盾牌信用卡的发展在某种程度上降低了这个安全隐患。

(三)云计算

云计算是一个术语，指的是数据的远程存储，操作系统和应用程序服务，可由许多用户在多租户间共享。这一概念可以追溯到计算机的早期历史，主要是由大型机主控;和其他的一些事物一样，在线电子邮件系统已有20 多年的历史。近年来云计算的普及是由于它成本显著降低，其通过共享资源和基础设施实现了成本的节约。虽然这一词的起源可一直追溯到1996 年的康柏计算机的管理人员，云计算在其架构十年后才得到了广泛普及，亚马逊用它来引用文件、软件和计算机功能并通过网络代替了人工台式电脑的工作站。①Regalado，Antonio (2011)“Who Coined ’Cloud Computing’?”MIT Technology Review October 31．http://www．technologyreview．com/news/425970/who－coined－cloud－computing/ (accessed 14 August 2013)．

尽管经济效益越来越被提上日程，但云计算并非没有弱点。同样的经济效益，非法开发较合法使用就毫无价值。②(60)Mills，Elinor (2012)“Cybercrime Moves to the Cloud”CNet，30 June，http://news．cnet．com/8301 －1009_3 －57464177 －83/cybercrime－moves－to－the－cloud/ (accessed 2 September 2013)．加芬克尔(Garfinkel)③Garfinkel，Simpson (2011)“The Criminal Cloud:Criminals are using cloud computing to share information and to superpower their hacking techniques”MIT Technology Review 17 October http://www．technologyreview．com/news/425770/the －criminal－cloud/ (accessed 21 August 2013)．报道，比如像亚马逊弹性计算云(EC2)这种服务，允许获得强大的计算机功能，因此破解一个加密密码在过去需要几年时间，如今在几天内即可完成。

共享数据和应用程序可能适用于大规模协作的企业。数据安全是至关重要的，然而在多租户数据安排的情形下，可能容易受到无意的泄露或存在有意的未经授权的取得渠道。集体存储数据产生了一个大的目标，至少在理论上不仅是数据输入，根据定义windows 还具脆弱性。云计算也用于储存非法内容，例如恶意软件、盗版软件和娱乐信息、儿童色情内容。表面上合法的主机服务可以得到一定程度的信任度。④Vijayan，Jaikumar (2013)“Attackers turning to legit cloud services firms to plant malware．”Computerworld ，20 August．http://www．computerworld．com/s/article/9241324/Attackers_turning_to_legit_cloud_services_firms_to_plant_malware(accessed 30 August 2013)．

(三)互联网协议语音(VOIP)

VOIP 技术支持通过互联网语音通信，而不是一个公共电话网络。在经过漫长的三十年后，于2004 年终于开始广泛使用并且以前所未有的速度增长。最著名的VOIP 服务提供商Skype 在2012 年被微软收购。

它的广泛使用却令监控和拦截涉嫌犯罪活动的执法部门担忧。在某些地区，比如阿拉伯联合酋长国就禁止使用VOIP。然而最近有信息指出，政府(至少美国政府)有能力监测、存储和分析网络电话的内容。

(四)社交媒体

在虚拟社区和网络上的信息交换已越来越受欢迎。2003 年的第二人生(SL)⑤译者注:第二人生网络，Second Life 是一个基于因特网的虚拟世界，在2006 年年末和2007 年年初由于主流新闻媒体的报道而受到广泛的关注。通过由Linden 实验室开发的一个可下载的客户端程序，用户，在游戏里叫做“居民”，可以通过可运动的虚拟化身互相交互。网络，即是在首个十年年底估计有600000 个用户的一个活跃用户群。成立于2004 年的Facebook，在2013 年就拥有十亿名以上的活跃成员。这些娱乐媒介和个人互动丰富了许多用户的生活，但也为犯罪创造了机会。有些司法管辖区反对在用户页面上出现他们认为的攻击性内容。在工作日，员工们可能会在雇主们不太乐意的事情上花更多的时间，于是降低了生产率且更易受工业间谍活动的侵入。在Facebook 和其他社交媒体上组织的活动可能会吸引大量的参与者，从而导致交通拥堵、场地拥挤或其他问题。Facebook 页面包含的个人信息量可能会被用以勒索或被潜在的跟踪者利用，难以避免儿童的成员资格则存在更严峻的风险。账户会被侵入，诋毁成员的信息可以出现在任何一个人的页面。精明的窃贼可能获得潜在受害者的假期计划和新增财产的有用信息。Twitter 一般可以轻易地发布骚扰、恐吓和威胁信息。除了上述现象之外，像不时出现的网间实时聊天(IRC)、社交媒体都可以作为沟通渠道促成犯罪或恐怖活动。

(五)物联网

可能揭示未来发展的窗口被称为“物联网”。这意味着如果不是针对所有对象，大多数都是通过互联网形成的互联。被称为“web 3．0”、“语义万维网”、“普适计算”和“普及运算”，这些词是可以互换的。一个非常简单的例子就可以说明超市结账扫描仪系统与库存控制系统之间的关系。对特定产品的实时销售监测会通知系统即时交付替代存货。另一个应用程序是预测搜索，它基于整体扫描某人的电子邮件、预约日历、社交网络和其他数字活动以及地理定位数据。这些可以作为提醒，自动发送至一个人的手机;设想这时去预订晚餐，预测搜索基于你的位置自动提供交通方式和实时交通状况。这样的应用程序如今与我们时时相伴，让人们生活的各个方面都变得更便捷，安全，信息量愈加丰富，心情也更愉快。

坏消息是，这些技术被罪犯使用的数量不少于我们这些守法公民。你不得不说这是失去了创造性的犯罪心理。黑帽安全技术大会和Def-Con 黑客大会①译者注:黑帽技术大会(Black Hat)，“黑帽”安全技术大会是一个具有很强技术性的信息安全会议，会议将引领安全思想和技术的走向，参会人员包括各个企业和政府的研究人员，甚至还有一些民间团队;DefCon 黑客大会，诞生于1992 年，又称电脑黑客秘密大派对，每年7 月在美国的拉斯维加斯举行，参会者除来自世界各地黑客，还有全球许多大公司的代表以及美国国防部、联邦调查局、国家安全局等政府机构的官员。最近提出一些可能的利用方案。②Bilton，Nick (2013)“New Targets for Hackers:Your Car and Your House”The New York Times，11 August．http://bits．blogs．nytimes．com/2013/08/11/taking－over－cars－and－homes－remotely/ (accessed 12 August 2013)．高速公路上远程定位的汽车，家庭(或商业、政府)安全系统和医疗设备的禁用是三个通用的例子。帕尔斯(Perlroth)的报告指明，常用的支持酒店房间数字钥匙的系统会有缺陷，可以很轻易地被黑客利用。恶作剧者毫无疑问会被一些想法吸引，像可以自动冲水的马桶和自动关闭的数字冰箱。

另一个趋势可能被视作科技的持续民主化。当我们处在数字时代，个人可以达成曾经远远超出他们能力的事。2004 年之前，一些青少年成功地控制了一个空中交通管制系统，这使主要电子零售网站因此尽失颜面。他们还在证券交易所操纵股价。最近，监测的新技术将进一步加强个人的能力。电子元器件不断小型化的发展促进了“微卫星”的演进。个人很快可以使用，使他们能够按需下载图片。这种潜在的技术程序也将应用于抢劫、敲诈勒索、盗窃等犯罪活动，更不用说恐怖主义，这些都是相当真实的情况。③Eisenberg，Anne (2013)“Microsatellites:What Big Eyes They Have”New York Times 8 August．http://www．nytimes．com/2013/08/11/business/microsatellites－what－big－eyes－they－have．html?hpw (accessed 21 August 2013)．

(六)未来发展趋势

杜邦(Dupont)讨论了许多可能容易受到刑事惩罚的新兴技术。④Dupont，Benoit (2013)“Cybersecurity Futures:How Can We Regulate Emergent Risks?”Technology Innovation Management Review July，6 －11．http://timreview．ca/article/700 (accessed 12 August 2013)．其他评论家表明或提出，数字技术基础上的大量系统是如何遭到远程的破坏并引发严重后果的。远程操控无人机和其他机械设备也可能会造成类似结果。2012 年12月，伊朗声称在侵入了控制系统后捕获了一架美国无人机。⑤Erdbrink，Thomas (2012)“U．S．Navy Denies Iran’s Claim to Have Captured Drone”New York Times 4 December http://www．nytimes．com/2012/12/05/world/middleeast/iran－ says － it － seized － another － american － drone．html (accessed 21 August 2013)．据比尔顿所称，现在可以通过互联网连接两个人的大脑。⑥Rao，Rajesh (2013a)Brain － Computer Interfacing:An Introduction．Cambridge University Press，Cambridge．Rao，Rajesh (2013b)“Direct Brain－to － Brain Communication in Humans:A Pilot Study”http://homes．cs．washington．edu/ ～rao/brain2brain/experiment．html (accessed 2 September 2013)拉奥(Rao)提出，在一次实验中，科学家们能够通过思想来控制一个人手的运动。另外，他们能够以类似的方式影响老鼠尾巴的活动。依据人脑到人脑技术或电脑到

Wolpaw，Jonathan and Wolpaw，Elizabeth (2012)Brain－Computer Interfaces:Principles and Practice．Oxford University Press，Oxford．人脑技术推测它可能容易受刑事追责(传统的犯罪分子和政府)也许为时过早，但这种技术已不再是科幻小说的素材。

五、结论

当今网络犯罪已不同于十年前了吗?答案是非常肯定的。从现存的犯罪手段来看，网络犯罪并没有多少实质性的变化，发生改变的是它们目前的规模和技术水平。1998 年凯文·鲍尔森(Kevin Poulsen)窃取国防机密信息与1986 年马库斯·赫斯(Markus Hess)的间谍行动，和最近布拉德利·曼宁(Bradley Manning)与爱德华·斯诺登(Edward Snowden)泄露机密的事件在此形成对比。社会工程和垃圾站潜水的凯文·米特尼克(Kevin Mitnick)侵入信息系统和今天利用网络漏洞的技术相比显得相当精细。2000 年的“黑手党男孩”活动一点也不像今天大规模僵尸网络作出的行动。1995 年花旗银行的黑客行为作为盗窃模式的典型，如今已放大十倍。随着新兴社交媒体推波助澜的作用，跟踪和网络恐吓比以往任何时候都显得更为常见。

据称近年由美国和另一个国家开展的工业规模间谍(可能还有其他攻击性的网络活动)活动，小矮人等事件可能发生在20 世纪。尽管先进的理念运用于后者至少二十年，但是政府机构参与网络犯罪仍缩小了新兴的网络犯罪和网络战之间的区别。①Stix，Gary (1995)“Fighting Future Wars”Scientific American，273，74 －80．Stoll，Clifford (1991)The Cuckoo’s Egg:Tracking a Spy Through the Maze of Computer Espionage Pocket Books，New York．世界上近期投资的主要力量都在为自己辩护。

网络犯罪之后，继续跟进的将是机遇。每一个新技术和基于这些技术的应用程序，都可能会被用于犯罪。迟早有一天，一个创造性的犯罪将会彰显应用程序的非法使用。预测未来的信息总是很困难，通信技术产生了不确定因素。笔者在1990 年时所能想象到的就是非法传真的持续滋扰，而现在的景象却大不相同。展望未来，你会看到数字化未来将带来的一些挑战。