黑客與獵手 在網絡世界的終極對決

黑客往往具備高超的電腦程式設計與網絡技術，才能達到惡意破壞的目的。那麼「黑客獵手」的技術水平是否更加高超才能揭露黑客的真實身份以至將其繩之以法呢？這倒不一定。黑客獵手最擅長的其實未必是技術，而是他們了解黑客的弱點，也就是人性的弱點。

2024年4月，一個使用「Waifu」和「Judische」帳號的神秘人物開始在Telegram 和 Discord 頻道上對網絡安全研究員尼克森（Allison Nixon）發出死亡威脅。還有人在網上分享了用AI生成的尼克森裸照。這不禁令尼克森感到莫名其妙。

尼克森是美國網絡調查公司Unit 221B的聯合創辦人及首席研究員，該公司名稱來自大偵探福爾摩斯的門牌號碼。作為一名黑客獵手，多年來尼克森一直處於網絡安全的最前沿，如今竟然有人來主動挑釁，所以她決定揭露這個人物。

尼克森常年潛伏在各類黑客的線上聊天頻道，其實她早就知道Waifu，只不過沒把他作為重點監測對象。

Waifu早在2019年就引起了尼克森的注意。當時他吹噓自己誣陷另一名黑客成員，還提及自己參與了「SIM卡劫持行動」，這都給尼克森留下了深刻印象。他明顯具備技術能力，但尼克森認為他經常表現得幼稚、衝動且情緒不穩定，他在與其他黑客成員互動時極度渴望關注。

隨著尼克森的調查，事件輪廓逐漸清晰。2024年年中，美國雲端數據公司Snowflake遭遇重大網絡攻擊，100多家客戶的敏感資料外洩，其中包括通訊巨頭AT&T無線用戶的500億筆通話紀錄，AT&T為此向黑客支付了37萬美元贖金。而Waifu正是該事件的主要嫌疑人，他認為尼克森正在協助執法部門調查該事件。

其實，尼克森當時尚未就此事協助美國聯邦調查局（FBI），恰恰是Waifu的自負促成了對他的調查。

為了揭露Waifu身份，尼克森圍繞目標及其所有網絡交流帳號建立大範圍調查圈，隨後分析互動關係，縮小到與目標聯繫最緊密的人員。尼克森表示，一般來說，目標的敵人與前女友是收集嫌疑人情報的最佳來源。她可以從網絡衝突中獲取有關對方身份、性格與活動的大量資訊。

Waifu也不容易對付。在尼克森對他進行調查的同時，Waifu及其團夥成員主動聯繫安全研究員，試圖取得尼克森及其調查內容的資訊。他們還故意向研究員釋放假線索。網絡犯罪者使用這類反情報手段，尼克森從未見過。

在這些誤導與混亂的訊息中，尼克森與合作研究員多次諮詢並交叉比對各種線索，確保在提交FBI之前確認嫌疑人的正確身份。

2024年7月，尼克森與研究員確認了目標身份——康納·萊利·穆卡（Connor Riley Moucka），25 歲，高中輟學，與祖父住在加拿大安大略省。10月30日，加拿大皇家騎警包圍莫卡住所並將其逮捕。

檢察官表示，莫卡與同夥從Snowflake帳號竊取數據，並從至少三處受害者勒索了至少250萬美元。莫卡面臨大量指控，包括共謀、非法入侵電腦、敲詐與電訊詐欺等。莫卡表示不認罪，並於2025年7月被引渡至美國。他的審判定於今年10月。

據報道，莫卡是無政府主義黑客社群「The Com」成員。FBI特工布羅根（Ryan Brogan）說，自2011年起，尼克森已協助FBI逮捕了The Com的二十多名成員，尼克森揭露嫌疑人身份的能力無可比擬。一旦被盯上，「不管你用多少數位匿名和操作技巧，你都完了。」。

「The Com」社群的演進

The Com是一個鬆散的線上社群，主要由英國、美國和加拿大等英語國家的青少年組成。該團體的影響力和威脅近年來不斷擴大。

在過去的十年中，其犯罪從簡單的DDoS 攻擊（癱瘓網站），升級到Sim卡劫持（SIM-swapping）、加密貨幣盜竊、勒索軟件、企業資料外洩，以及各種性勒索（Sextortion）。其影響甚至延伸到線下，包括綁架、毆打與其它暴力行為。

「麻省理工科技評論」引述一位網絡犯罪研究者表示，中共、俄羅斯或朝鮮對國際法和可能招致的報復還有所有顧慮，但是The Com在網絡領域的威脅比它們還有過之，可以說無所不用其極。

The Com的源頭可以追溯到The Scene。早年的The Scene是一個地下盜版軟件與數位內容發布圈，活躍於全球範圍。它不是單一組織，而是由各類盜版團體組成，主要從事遊戲、音樂與電影盜版活動。

2011年尼克森開始關注The Scene時，其成員主要劫持遊戲帳號、發動DDoS攻擊並提供攻擊服務，任何人都能使用它對指定目標發動攻擊。這些成員會獲得部份收益，但其主要目的不是賺錢，而是為了博取關注與名聲。

然而這一情況在2018年左右發生了變化。隨著加密貨幣價格上漲，The Com作為分支團體出現，並最終取代了The Scene，其成員也開始以經濟利益為目標。

Covid-19疫情之後，The Com成員暴增。尼克森認為，這主要是由於社交隔離、經濟滑坡以及心理問題所致。許多人存在就業問題、家庭環境困擾以及精神健康，而The Com為他們提供歸屬感和發洩管道。就像那些街頭幫派一樣，只不過出現在網絡上。

The Com沒有固定的聚集平台，其成員散布在多個論壇、Telegram 和 Discord 頻道。該團體延續了過去二十年中一系列黑客與次文化社群的發展模式，並衍生出多個鬆散小組，包括 Star Fraud、ShinyHunters、Scattered Spider、Lapsus$ 等。這些小組合作實施了系列犯罪活動。

多種網絡犯罪手段

2018 年，The Com成員劫持了某些成人片女星的社交媒體帳號，並利用這些帳號向她們的大量追隨者發送加密貨幣詐騙訊息。

尼克森通過黑客論壇了解到，黑客透過誘騙一些演員洩露其他人的手機號碼，然後使用一種被稱為「SIM卡劫持」的技術來重置這些其他女星社交媒體帳號的密碼，並將她們鎖在外面。

詐騙者隨後將受害者的手機號碼分配到自己控制的SIM卡和手機上，原本給受害者的電話和訊息就都會轉到他們那裏，其中包括網站發送給帳號持有者的單次安全碼，用來驗證他們存取帳號或更改密碼時的身份。

在一些案例中，黑客以合理理由誘導電訊員工，讓其以為是合法原因進行SIM卡轉移；在其它他案例中也有透過賄賂員工進行變更。黑客隨後更改演員社交媒體帳號的密碼，並利用帳號進行加密貨幣詐騙。

Covid-19疫情爆發後，The Com成員激增，並出現兩個令人不安的分支「CVLT」和「764」。

CVLT的發音為「cult」（異教），2019年左右成立，主要從事性敲詐（Sextortion）和兒童色情相關內容。764從CVLT衍生，由美國德州一名15歲的少年主導，他以自己郵政編碼的前幾位數字命名。該團體以極端主義和暴力為核心。

性敲詐起源於十年前開始的「粉絲簽名」活動。黑客會透過曝光個人資料來威脅受害者（通常是年輕女性），要她們在一張紙上寫下黑客的暱稱，然後黑客將照片作為戰利品，用作自己線上帳號的頭像。後來發展成為勒索受害者將黑客的暱稱寫在臉上、胸部或生殖器上。隨著CVLT出現後，這類行動進一步升級，受害者被勒索在皮膚上刻下黑客成員的名字，或錄製、直播自己的露骨行為。

尼克森表示，即使在以利益為目的的行動中，掌控感、權力與炫耀仍是這些黑客的重要動機。事實上，部份The Com成員受強烈的自我意識驅動。他們的計劃常常因為自負而失敗，這也成為她工作的突破口。

「黑客獵手」的崛起

儘管尼克森處於網絡安全研究的最前沿，但她並沒有傳統的電腦科學背景，而是透過自學和實務經驗進入這個領域。

2011年，尼克森還在一家網絡安全公司 SecureWorks 的安全營運中心工作。在那裏，她親歷了現實世界中資料外洩的混亂，這激發了她對惡意軟件逆向工程的熱情。

彼時反威脅團隊通常關注黑客對客戶網絡的影響，包括入侵方式與竊取內容，而尼克森則更關注黑客的動機與性格特質。她認為黑客一定有聚集的網絡論壇，於是到處搜尋並進入了一個名為「黑客論壇」（Hack Forums）的網站，過程非常簡單。

尼克森驚訝地發現，那些黑客會在論壇上公開討論自己的犯罪行為。儘管論壇中充斥著幼稚的吹噓與瑣碎的爭吵，但尼克森並不在意。她表示，很多人不願意做閱讀聊天紀記錄的工作，但她願意投入。尼克森擁有一項特殊能力，可以在雜亂訊息中梳理內容而不受干擾。

黑客們似乎認為沒有人在關注他們，因此他們經常在操作安全上出現失誤，並在聊天中洩露自己的居住城市、就讀學校或曾經工作的地點等個人資訊。暴露的細節與其它他資訊相結合，可以幫助揭露匿名帳號背後的真實身份。

傳統的網絡安全性嚴重依賴程式碼相似性或IP位址，但這些都可能被虛擬專用網絡、防彈託管和程式碼混淆技術所掩蓋。而尼克森率先將「威脅行為者資訊」作為一種取證工具，從而拓寬了溯源的方法。

儘管有人認為那些論壇中的黑客只是「菜鳥」，但尼克森發現，並非所有論壇成員都是菜鳥，部份成員展現出真正的創造力與強大的技術能力，只不過他們把這些技術用於劫持遊戲帳號等無足輕重的目標，所以並未引起研究人員的重視。

尼克森嚴重懷疑黑客最終會將這些手段用於更重要的目標，特別是用於金融詐騙，所以她從那時便開始追蹤這些人。這一直覺後來被證明是正確的。

每當有一個黑客或團體在小規模行動中使用新的黑客方法引起尼克森的注意，她就開始追蹤他們的線上帖文和聊天，相信他們最終會用那項技能做重大事情。當黑客後來高調發聲或因具有影響力的行動而登上頭條時，這些黑客對其他人來說似乎是橫空出現，讓執法機構應對不及，但尼克森早已為他們編製了檔案。尼克森這種提前預判的能力貫穿她整個職業生涯。

尼克森後來透過開發工具來抓取黑客的線上通訊紀錄，那些聊天室和論壇訊息含有大量資訊，在黑客職業生涯的萌芽階段可能看起來無用，但是當執法機構開始調查他們時可能至關重要，特別是這些內容隨時可能面臨被刪除的風險。

透過對這些空間進行持續監控，尼克森記錄黑客的語言模式、工具偏好和人際衝突。她甚至能識別出勒索軟件建構器中嵌入的獨特開發者標籤，從而將看似無關的攻擊與攻擊者聯繫起來。

尼克森還有另一獨特之處，她會在聊天空間與那些黑客行為者互動，從他們那裏提取出「常規無法獲得」的資訊。在數年之內，她抓取並保存了她調查的所有聊天室內容。因此她職業生涯的重要一部份，就是持有這些尚未被處理的資訊。

除了協助逮捕The Com成員之外，尼克森在職業生涯中還揭示了 LockBit、Conti 和 Hive 等黑客組織的內部運作機制，為執法部門和相關機構提供了切實可行的見解。

其實很多黑客都是年輕的程式設計師，他們追求刺激，並被利益所矇蔽。尼克森認為，很多人都有改過自新的機會。

如今黑客的手段日新月異，他們利用人工智能進行網絡釣魚，運用機器學習逃避偵測。勒索軟件團體現在採用雙重勒索策略，先竊取資料再加密，然後威脅在特定網站上洩漏資料。私隱工具和加密貨幣進一步匿名化了攻擊者的身份，這都使得溯源變得更加複雜。

對於未來，尼克森預見人工智能在網絡安全領域將扮演雙重角色。一方面攻擊者會利用生成模型進行複雜的魚叉式網絡釣魚攻擊，同時存在「深度偽造」命令騙過機器的風險；而另一方面防禦者也會利用人工智能進行異常檢測。無論如何，自主黑客工具可能會使攻擊大眾化，並降低新手的門檻。

究竟是魔高一尺、道高一丈，還是道高一尺、魔高一丈？如果世界是由陰陽構成的，那麼道與魔之間的相生相剋一定會長期存在。@