第九章 打开潘多拉的魔盒,探寻黑客犯罪之路

探寻黑客犯罪之路看似最安全的位置恰恰最薄弱。插好网线,按下电源,世界将呈现最彻底的坦诚,它可以告诉我们想要的一切秘密。

——约翰·李

1 “发疯”的ATM取款机

黑客,自从这一职业诞生之日起,就不可避免地与金钱挂上了钩。毕竟,钱可以说是一切行为的原动力,只有钱才能对人的主观意念、对人的思维和行为起到最直接的指导意义,甚至可以说,钱是一切犯罪的根源之一。

在著名影星施瓦辛格主演的电影《终结者》中,小主人公约翰·康纳把一张作废的磁卡连接到ATM机上,然后打开了自己的笔记本电脑,启动了某个程序,按下几个按键后,ATM机便吐出了三张百元大钞。这个镜头虽然只有短短的几十秒,但无疑却是每个黑客都曾做过的梦。

在2010年黑帽大会上,来自西雅图IOActive公司安全测试总监巴纳比·杰克(Barnaby Jack)的表演让所有到会的人重温了这一幕,他的演讲和示范内容,居然是现场破解ATM取款机。

ATM机是世界通用的自动提款设备,一张磁卡,几个数字密码,就可以让一台冰冷的机器吞吐出无数的钞票。但机器提供的这种方便快捷的存取方式,无疑也成了正义和邪恶的角力场,银行方面会时时就其设备的安全性进行更新,而一些心怀不轨的人,则把目光贪婪地瞄向了这种会吐钞票的机器。时至今日,还没有人成功地从ATM机上盗取现金的记录,这让银行系统对这种机器的安全性充满了信心,但杰克的演示无疑给自信的银行敲响了警钟。

澳大利亚籍,现居住圣荷西的网络安全专家杰克在黑帽大会上演讲时声称,“有些装置从外表上来看固若金汤,但我希望改变大众对这些装置的看法。”他把两台ATM机搬到现场,轻轻按下几个按钮,ATM机便发疯一般自动吐出一堆钞票。“我只是想说,很多东西不是真的拿他们没办法,只是很少有人敢这样做。就像米特尼克攻陷美国航天局之前,人们都认为那里是最安全、最可靠的一样,而一旦它的金刚不坏之身被打破,就像打开潘多拉的魔盒一般,整个世界都为之改变了。”

在随后的讲解中,杰克声称现场的这两台ATM提款机与市面上的普通提款机完全一样,分别由Tranax Technologies和Triton公司制作,只不过杰克在过去几个月的研究中发现了一项安全漏洞可让黑客通过电话机连上ATM机,并可以在不知道密码的情况下向ATM机发出取款指令,而这台看似聪明的机器则会认为卡号与密码是对应的,也就会立即吐出全部的现钞。

他说:“我见过的每一台ATM机,都可以找出安全漏洞,黑客能轻松让机器吐出钞票。我监测过四台ATM机,四台都一样。”杰克的表演引起一片哗然,黑帽大会尚未结束,这两家ATM机的制造商就第一时间与杰克取得了联系,随后立即更新了软件设计,堵住了安全漏洞。

所谓哪里有钱,哪里就有犯罪,老话自有其道理。黑客时代,如果要修改这句话,不妨说:“哪里有钱,哪里就有黑客。”

在杰克之前,所有针对ATM机的盗取现金行为都不过是小打小闹。一些人私接外挂程序,绕过ATM机的识别组件,ATM机以为它们吐的是1美元美钞,但实际吐出的是20美元;另外还有一些专门针对ATM机研制恶意程序可以欺骗ATM机的中心识别程序,如TSPY SKIMER 恶意程序系列就是专门攻击 ATM 提款机的。这些程序虽然功能强大,但必须手动植入到提款机的主板芯片中,而所有对ATM机的改动,银行只需要安装一台视频监视器,同时加装一个系统组件运行报警器就足够了。在吐出钞票之前,系统会检查所有组件是否有一次成功且完整的运行,若是发现某个组件被绕过,没有运行,系统会拒绝付钞。

目前大多数ATM机采用Windows CE操作系统与ARM处理器,通过一个串列接口(serial port)连接来控制钞票箱的存取动作。杰克指出,他用标准的“除错”(debugging)技巧中断正常的开机程序,在Tranax生产的ATM机中找到一个远端存取的安全漏洞,让他无须密码就能远程入侵ATM机。

至于Triton生产的ATM机,他未发现明显的远程存取安全漏洞,不过他发现吐钞的主机芯片只靠一把标准的密码钥匙保护,在网上10美元就可以购买一片。他还发现,在复制了密码保护芯片之后,他可以强迫这种品牌的ATM机无条件接受他远程植入的软件,并把这套软件当作合法的软件重新写入系统主板。一旦植入这种程序,杰克就可以随时用一套组合密码向ATM机发出吐钞命令,“而这乖巧的机器再不会拒绝我的邀请。”

杰克原计划在黑客大会上发表类似的演讲,但由于在黑帽大会上的表演引起了银行业的震惊,许多银行一致反对杰克在任何公开场合表演,以免引起更大范围的恐慌和给黑客们跃跃欲试的理由和技术教唆,杰克所在的Juniper Networks公司严令阻止了杰克继续出风头。

虽然杰克在第一次演讲的一开始,就宣称自己不会发布任何破解ATM机的公用程序和具体破解思路,但他的这一举动无疑激起了黑客们入侵ATM机的信心。因此杰克甚至被视作银行界的头号公敌,黑帽大会还未结束,就不得不收拾行李回他的办公室,而他的银行卡也受到了银行的密切关注,每一笔存取都要得到多方确认才被认定为有效。

为此,杰克不无遗憾地说,“他们怕我的表演让他们信用扫地,而我不过是敲了下警钟而已,如果你们真的认为我是害群之马,那么当未来的某一天,一个神通广大的黑客真的用一张废弃的银行卡掏空了ATM机,真正丢面子的应该不会是我。不过从此我真的不再相信银行了,有钱不如放在我家的壁橱里,可能会更安全也更快捷,因为我要想用银行卡取一张20美元的钞票,大概要盖十五个印章。”

2 银行大门挡不住的黑客

20世纪90年代的俄罗斯,经济起伏跌宕让每个人都感觉岌岌可危,随时可能降临的失业危机和每年超过40%的失业率,使得很多原本生活得很好的俄罗斯人一夜之间就变得一文不值,甚至连个面包都买不起。

贫穷的代价常常就是最彻底的反抗和自我救赎。

据不完全统计,在这场长达十年之久的经济大衰退中,有近30%的计算机从业人员转为商业和军事黑客,他们凭借自己高深的计算机技术,把目光瞄向了那些有着巨大经济价值的商业和军事目标,甚至从事双料间谍,把A的资料卖给B,再把B的资料拿回来转卖给A,如此倒买倒卖,很轻松地就可以一夜暴富。

弗拉基米尔·莱文就是其中最优秀的黑客之一。

俄罗斯人天生具有探索和求新的精神,这成就了俄罗斯人在高精尖技术领域的众多精英级人物,包括计算机领域。个人电脑在它兴起的最初年代里就受到俄罗斯人的疯狂追捧,以至于在随后的几十年时间里,俄罗斯有着世界一流的软件业和硬件业,其航天航空、电子、重型工业以及军事领域中应用到的最尖端技术人员都依靠电脑成就了非凡的业绩。但相比之下,这些高精尖的从业人员工资待遇较低,个人养老医疗都得不到很好的保障,“买一套微软的Windows系统需要用去我们两个月的薪水,而我们只需要花上半个月的工资去买一台光盘刻录机,就可以制造出无数的Windows,这对任何人都是巨大的诱惑。”而贩卖盗版软件似乎只是小儿科的事情,那些精英级的人物是不屑为之,比如弗拉基米尔·莱文,他的目光看到的是那些放在银行重重深门之后的一沓沓钞票。

莱文与大多数黑客一样,是泡黑客论坛成长起来的。自小喜好数学和逻辑学的莱文天生对计算机有着浓厚的兴趣,在一些黑客论坛里摸爬滚打了几年之后,莱文俨然已经成为领袖群伦的重量级人物。随着美国大兵进驻科索沃地区,俄罗斯激进派人士大力抨击美国的霸权行为,在这种政治环境下,那些热血黑客们往往充当了排头兵。莱文在俄罗斯经济的不景气中失业后,也萌生了攻击美国银行的想法,而在黑客论坛里掌握的计算机和网络知识则给他提供了强有力的技术支持。

1994年,刚从圣彼得堡科技大学毕业的莱文工作仅仅三个月后就失业了,整天无所事事地游荡在各大黑客论坛里,当看到有个帖子声称美国花旗银行的网上支付系统似乎经常出现系统崩溃的现象之后,他敏锐地感觉到这应该是银行网络系统的缺陷造成的。对于黑客而言,系统缺陷就暗示着可以找到进入的“跳板”,而一旦成功进入银行网上支付系统的后台管理页面,便可以对储户的个人信息,包括密码都一览无余。

这发现让莱文异常兴奋,在那个帖子后面他貌似无心地跟了帖,具体询问了花旗银行系统崩溃的发作规律,然后与三五个同样泡在黑客论坛的朋友决定一试身手。

经过多次试探性地在花旗银行的网上支付系统上访问,莱文发现每当系统进行到“点击确定按钮进行付款”的时候,系统就会反应迟钝,页面很久无法刷新,而当使用者强行关闭这个疑似崩溃的页面之后,偶尔会出现你的银行卡里的钱并没有支付而系统却认为你已经完成交易的情况。

这说明花旗银行的系统数据库在即时更新上存在着某种冗余溢出错误,使得用户在点击支付按钮后系统无法正常做出反应,或者说,在用户点击支付按钮之后,后台数据库是开放的,并没有即时关闭。若是能在数据库开放的极短时间内成功进入数据库,就免去了寻找数据库的位置以及刺探数据库密码的过程,整个数据库的用户信息都将赤裸裸暴露在自己的眼前。

针对这一漏洞,莱文几人日以继夜地编写一个针对花旗银行这一漏洞的对接程序,并不断地把这个程序与系统对接,试图在数据库开放的瞬间挤入系统中去。经过近一周的努力,莱文终于在同伴的帮助下成功地进入了花旗银行的系统数据库。

接下来,他只需要复制用户的各种有用信息就可以了。经过筛选,莱文选中了大约十位户头上有着巨额存款,而在最近三个月里并没有动用过银行账户的用户数据。之所以选中这几个用户,理由很简单,巨额的存款可以供莱文几人肆意挪用,而长时间未动用存款,说明用户不急于使用这笔存款,因此莱文的行为不会在很短的时间里被发现,这是最重要的,他需要时间来转移这些款项,并且逃跑。

“这么干真是够刺激的!”莱文和他的同伙们喜出望外,他似乎看到了在不久的将来身家亿万的自己在塞纳河边凭栏远眺的情景。“如果我们拿光他们所有的存款,大概可以有数亿美元。想想都感觉血脉膨胀,要知道,在俄罗斯一个大学教授每个月的薪水不过才折合150美元。”

最后莱文还是放弃了全额挪用的念头,毕竟这些钱如何挥霍都是今生也花不完的,如果花不完,钱就体现不出其应有的价值。更重要的是如果有一天被捕,他很可能因此送命。在这十个备选名单中,莱文选中了一个存款额达1300万美元的用户,数据表明这个用户在过去的一年多时间里,对自己放在花旗银行里的这笔存款不闻不问。

接下来,莱文和同伙们在芬兰、荷兰、德国和以色列等国开设了银行账户,随后他的同伙们便分头进入各国,莱文则蹲守原地。待同伴们各就各位之后,按约定时间由莱文从花旗银行里将巨款分批转移到这些在各国先期开设的户头上,而他的同伙们则立即在各国的银行里把这些钱取出。如果不是以色列的银行因意外事故暂停存取款业务,使得莱文的同伙没能立即把钱转移的话,莱文也许就真的在得手后人间蒸发了。

事发当天,以色列的某家银行因突然的系统故障被迫停止业务,莱文于是吩咐他的同伙放弃这里的款项,立即前往中立国家瑞士,但他的同伙显然对这个结果相当地不满意,并没有马上离开,准备冒险在第二天再来试一次。而凑巧花旗银行在当天晚些时候发现有一笔巨额款项被人从银行划走,银行方面于是按照惯例向户主发送了电话告之,户主当然选择了报警,并要求银行对这笔款项的去向进行追查和冻结处理。于是,当银行发现以色列的这笔款项尚未被取出时,立即加派了人手对位于以色列的这个新开户的银行户头重点监控,第二天,莱文的同伙试图再次作案,正好被守候一旁的警察逮个正着,一场惊天迷案随即水落石出。

莱文在第二天发现以色列的同伙并未按时到达瑞士,立即转乘航班马不停蹄地逃往罗马,从此隐姓埋名。

莱文由此一手炮制了世界上第一个成功的网络银行盗窃案,也把自己从一个优秀的程序员变成了隐居他乡、张皇度日的通缉犯。直到1989年,莱文在伦敦机场转机时不小心被机场候机大厅的电梯绊倒,摔断了脚踝,就医时显示的医疗记录终于把这个远遁千里之外的银行大盗绳之以法。

莱文知道自己一旦被引渡到美国很可能就此埋骨他乡,在他的律师竭尽全力周旋了两年之后,莱文仍然没能躲开美国的审判,他将在美国的监狱里待上三年之久。

这三年的时间消磨了莱文所有的激情,出狱的莱文再没有了往日的光彩,每天躲在圣彼得堡的乡下,经营着一个大棚花室,每天面对着成千上万绽放的花朵微笑。

也许从此世界上少了一个优秀的程序员,少了一个优秀的黑客,但这一切都不妨碍莱文在世界黑客史上,占有厚重的一章和浓烈的一笔。

3 黑手党走向互联网

时间推进到2000年,这一次让我们到意大利去看看。

意大利的黑手党与意大利的足球一样有名,而如果你还认为黑社会都是些只会打打杀杀的粗人,那你就大错特错了。

就在这年秋天,意大利黑手党精心策划了一起模拟莱文的网络银行盗窃案,他们的目标是西西里岛政府存放于西西里银行的大约1万亿里拉巨款,并且这一次他们不需要戴着墨镜端着枪,他们只需要一台电脑和雇佣几个胆大心细的计算机高手。

100万里拉的出价,足以让任何黑客流下口水,黑手党党魁安东尼奥决定在退休之前“干一个漂亮的,应该可以青史留名的大事儿”,他首先花费巨资把西西里银行的两位高级职员拉下水。这两位职员各自掌握着银行电子密匙软件的一部分,当这两部分软件合二为一时,就会自动计算出经过二次加密的存取款密码;并且这两个职员的功能还在于,单纯地取得了这笔巨款的存取密码还不行,银行系统设定在某一时间之前,任何个人和单位不得提前支取这笔款项,而这两个职员可以在某一时刻关闭真正的银行网络系统,这样黑手党只需要在银行系统被关闭的同时,用另一套同样是这两个职员提供的银行网络系统的拷贝代替真正的银行系统,这个时间锁就迎刃而解。当然了,关闭银行系统还需要这两个职员出马。

而让他们想象不到的是,有些人不是用金钱就可以打动的,这两个职员中的一个,是被警方故意安插进来的。于是,一切的精心策划都被这个小小的疏忽打得落花流水。就在安东尼奥费尽心力搜罗来的高科技精英们在电脑前做着1万亿里拉的美梦时,一张法网将他们一网打尽。

4 “诈骗高手联盟”

计算机为整个世界开启了神奇之门,在这扇门后,一些掌握着高科技的人痴迷于运用计算机技术满足自己的贪婪,与普通的犯罪不同,计算机网络作案有时不会留下任何实物证据。随着网络银行、各种电子支付系统的普及,这在方便了广大用户的同时,也引得一些掌握了计算机技术的人私欲膨胀,在网络世界中扮演着电子窃贼的角色。

最早的股票是一张张实实在在的票据,不计名不挂失,所有的买卖都要现金交易,而随着信息时代的来临,网上炒股改变了传统的炒股方式,无纸化交易以及电子商务使得人们只要面对电脑,在键盘上敲击几个按键就可以周转巨额的款项。在这个时代,钱币的流通更大程度上只是一串串数字在一个看不到的网络上跑来跑去,计算机网络的成功应用,使得电脑在经济领域大展身手的同时,围绕着电脑的经济犯罪也跟着时代的脚步日新月异,掌握着高新技术的电脑人才很容易在巨大的诱惑面前失去底线,使自己变为盗取巨额资金的电子飞贼。人们在享受高科技方便快捷的同时,也要面临资金安全的风险,这似乎也是高科技时代不可避免的矛盾。

作为世界上著名的黑客组织“诈骗高手联盟”的创始人之一,美籍华人约翰·李,12岁成为一名黑客,16岁时就可以“免费乘坐班机,把自己的房租和水电费清零”,他可以任意改变他人银行账户上的存款金额,他声称自己按五个键就可以完成一次网络盗窃。在两年之内挥霍了从美国国立银行弄到手的360万美元之后,约翰·李被捕,在法庭上他承认“坐牢很不好玩,但如果有机会,还是不能抵抗再干一次的刺激和诱惑”。

这就是网络犯罪的最普遍心理,正是这种凭借计算机技术不劳而获的“成功”,让一些人疯狂和痴迷。

金融业永远是黑客的高度集中区,也是网络犯罪的重灾区。1998年10月,三个十几岁的中学生入侵了美国一家电子产品零售店的主服务器,窃取了八千余份在线信用卡订购单;2000年,美国一家信用卡公司的网站被攻破,存有数万个信用卡用户信息的数据库遭到洗劫,迫使这家公司不得不重新向所有用户发放最新加密的信用卡;2000年2月,英国《泰晤士报》报道,一批黑客在过去一年里至少向12家跨国公司的电脑系统发起攻击并得手,其中一家VISA信用卡公司被勒索1000万英镑,黑客在这家公司的系统中窃取了刷制信用卡芯片数据的软件程序,并声称如果该公司不合作,将使该公司的整个系统陷入瘫痪。该公司拥有近10亿个信用卡用户,一旦系统陷入瘫痪,每天的损失就将高达数千万英镑。

随着瞄准银行卡的犯罪手段日益先进,信用卡和银行系统的核心代码及防范措施也越来越完善,但不可否认,无论信用卡运用了多么高深的技术,只要它还是由程序刷制的,就同样可以被不法之徒加以复制,而这个世界上也许根本就不存在万夫莫开的安全系统,完全没有攻击漏洞的系统根本就不存在。

5 中国第一网上盗窃案

相比之下,中国网络上涉及经济的犯罪虽然不如西方国家那样频繁猖獗,却也是日渐嚣张。早在1999年,郝景龙、郝景文兄弟利用计算机进行网上银行盗窃的案件就已经引起举国震惊。

郝景龙身为中国工商银行江苏镇江分行花山湾分理处的职员,其工作职责便是维护银行的存取款系统,保证系统正常稳定的运行。精通业务的郝景龙很快发现,如果有一段程序可以在银行的系统后台挂接,就可以绕过密码校验,直接进入到用户的存取系统。而作为软件维护人员的他,每天与银行系统的各个部门打交道,可以名正言顺地以工作需要为借口,随意挂接各种设备和调度程序代码。

精心策划之后,他与双胞胎兄弟郝景文密谋,先在工商银行下辖的储蓄所以假名开设了16个银行账户,由郝景文出资购买了电脑并安装了电话和调制解调器。当年9月7日凌晨,郝景龙进入自己任职的银行,顺利地把自己早已编写好并调试成功的程序与银行的电脑系统对接,同时由郝景文在自家的电脑上操作软件远程进入工商银行中心管理系统,分别向那16个银行账户打款共计300余万元,随后二人分别在扬州等地的工商银行储蓄所分期分批提取现金160余万元,后在某处储蓄所提款时被工作人员要求出示有效证件,二人担心事情败露,遂潜回镇江。

1998年12月,二人罪行败露,被判处死刑及无期徒刑。这也是中国有史以来第一次以电脑网络犯罪处以极刑的案例。

6 莫让浮云遮望眼

证券业进入寻常百姓家时,股票早已由最早的传统交易方式转变为电子商务,纸质股票退出了历史舞台。中国自股票市场开通之后,黑客事件便层出不穷。

2007年夏季的一天,浙江金华的股民张某到公安局报案称自己投资3000万元购买的股票被莫名其妙地抛售一空,仅余940多万元在账上。张某声称自己炒股所用的银行卡一直随身携带,密码也从未透露给任何人,自己在这些股票被卖出时一直出差在外地,根本没有进行任何交易。经证券交易所查证,就在半个月前,有人用交易卡委托的方式在峰值处买入1900余万元的股票,随着股市下挫和不断地买进卖出,张某的2000余万元人间蒸发。后经证券交易所与公安部门查实,证券交易所没有任何违规现象存在,一定是某个熟知张某股票信息内情的人在暗中搞鬼,而张某身为某大型私企老板,平时得罪了不少商界人士,很可能就是这些商界对手窃取了张某的银行密码和股票信息,从而让张某的数千万元十几天里就在股市中化为泡影。

在随后的深入调查中,办案人员发现证券交易所的实习大学生耿某存在重大嫌疑,于是建议张某再投入资金以配合调查,并声称一旦张某的资金发生未知流动,将主动冻结,以保证张某不受损失。就在张某继续投入了700万元之后,耿某在办案人员的精心布局之下终于落网,被捕时耿某在证券交易所使用的电脑就停留在受害人张某的登录页面上。

耿某本是个品学兼优的大学生,自幼家境贫寒,父母均有残疾,让儿子学有所成、出人头地是父母最大的心愿。父母经营着一个小小的超市,每天早起晚归挣钱供耿某读书,乖顺的耿某也不负所望,以优异的成绩毕业后又被保送攻读研究生,但急于挣钱回报父母的耿某放弃了继续深造的机会,转而进入这家证券交易所实习。

从未踏入股票大厅的耿某立即被这里的气氛吸引了。那些金链子比手指都粗的人们大呼小叫,每天从指缝间流出流入的钞票以千万计,对于一个初入社会的贫寒学生来说,这无疑是一种强烈的生存反差和精神刺激。

就在实习的第四天,他跟着师傅进入大户室维护系统时偶然发现,这些财大气粗的股民们大多都是电脑盲,有些随手投入上亿资金的用户,居然连回车键在哪里都不知道。这让他灵光一闪,精于网络编程的他完全可以在用户无法察觉的前提下,安装一个小的密码探测软件,为自己开辟一个生财之道。

仅用了两天时间,耿某就编好了一个体积极小的密码探测器。这个探测器的工作原理是,当用户输入用户名和密码时,便把相应的按键次序记录到一个文本文件里,然后上传到耿某自己建立的网络空间里随时供其取用。

耿某最初的想法是直接套取用户的现金,但似乎这样做的风险太大,于是他转而想到利用这些用户的巨额资金,或高价买进,或低价卖出,从而拉动某只股票涨落,自己就可以从中渔利。

他东拼西凑了6万元钱为自己开设了股票账户,并以极低的价格买入若干股冷门股票,然后借助盗得的用户密码,以交易卡委托的形式大幅买卖这只股票,让这只股票在极短的时间内把股价拉升到一定的高度,然后自己在高点卖出,再回过头来重新拉动另一只股票。如此往复,在短短的数月之内,耿某的6万元资金已积累到24万余元。

耿某最终为他的行为付出了有期徒刑7年的代价。一个前途无量的大学生,就这样一头栽入深渊,成为股市浮云的牺牲品。

【黑客知识】

霍克的“四舍五入”案: 霍克名气不大,也算不得纯正的黑客,但其头脑灵活,手法可以算得上是高超巧妙,其“四舍五入”案曾经红极一时,成为黑客界经久不衰的经典案例。

1987年,霍克大学毕业,顺利进入加拿大一家银行做软件工程师,负责银行系统软件的维护和开发工作。在这期间霍克发现银行的财务系统中有一个很有趣的现象:在计算“我欠别人”时,只舍不入,而在计算“别人欠我”时则四舍五入。这样同一笔账目在“我欠”还是“别人欠”的计算中,总会有些小差别存在,而这些小差别虽然每笔数额仅几毛钱,但银行每天庞大的交易量,积少成多,这仍是笔可观的款项,天性聪明却又胆小怕事的霍克于是动起了脑筋,他利用职务之便,把这个银行界沿袭已久的计算公式顺理成章地加入到银行的利息计算程序中,同时在程序代码的最后,他有意加入了一小段指令,这段指令的作用就是把银行每一笔“我欠”还是“别人欠”的差额都转存到自己的银行户头上,这样每个月霍克的银行卡上都会多出几千美元,而霍克本人也心安理得地享受着这笔小小的入账自得其乐。

直到三年之后,银行因为扩大业务,又招募了另一个小伙子和霍克一起负责银行系统软件的维护工作,这个小伙子才无意中发现了霍克的这个小把戏。

打“时间差”的康尼: 每个网络金融犯罪者,几乎都有着令人意想不到的犯罪手法,其中很多人更是利用了人们“计算机总不会犯错”这种习惯性的思维方式,从而谋取大量不义之财。而在这些形形色色的网络经济犯罪方式中,康尼的手法无疑是独一无二的。

大学毕业后的康尼一直在一家规模不大的磁条加密厂做工人,虽然他不是计算机专业出身,但因工作需要,他透彻地了解生活中非常常见的磁条加密制作过程,这些磁条被广泛地应用于银行卡、考勤卡甚至餐厅的饭卡上。做了一年之后,康尼对自己的生活开始变得极其不满意,于是脑袋灵光的康尼在经过一番苦思冥想之后,想出了一个绝妙的方法。

康尼先在纽约的一家银行办理了一个私人账户,然后存入了数百美元,并要求银行开具了他的私人支票,利用这些支票和他在磁加密工厂的工作经验,他把其中十余张支票的磁条更改为自己刷制的磁条,那些经过更改的磁条上的银行特征码被刷成了旧金山的银行。康尼先用这些更改之后的支票到康涅狄格的银行兑换了一百美元,但康涅狄格银行的计算机识别系统验明这些支票属于纽约的银行,于是将其自动转到了可以通况纽约银行支票的别家银行,别家银行的计算机系统又识别这些支票应该来源于旧金山,于是自作主张地将其打回到旧金山,而旧金山的银行因为康尼的磁条信息虽然属于本地,但在本地的银行信息库中找不到对应的存款信息,于是自动将其删除,美国银行的惯例是被系统删除的银行支票为了防止误删会转为人工识别,负责识别这张支票的职员则通过支票上的银行地址认定这张支票来自纽约,于是人工将其拨回到纽约,随后纽约的银行则又重新开始了一次新的循环,而康涅狄格的银行则又不断地接到康尼的支票,并不断地为其付款,直到后来康尼被捕时,这张支票还在不断地被循环确认之中,而康尼就在这些支票不断地被反复确认过程中(系统并没有报告支票是伪造的,因为系统还在不断的确认之中)早已利用其他的支票透支了多达20万美元。