美国司法部揭露Scattered Spider网络犯罪团伙的逮捕

重点总结

• 美国司法部逮捕了五名Scattered Spider网络钓鱼团伙的嫌疑人。
• FBI的调查显示，虽然网络匿名化服务流行，但仍能追踪嫌疑人的活动。
• 个人隐私和数字足迹之间的揭示使得网络追踪依然可能。
• 涉案嫌疑人使用了各种技术，但最终暴露于执法机关。


本周三，美国司法部宣布逮捕了五名涉嫌ScatteredSpider网络钓鱼团伙的成员，这一案件最引人注意的是FBI文件，该文件详细描述了FBI如何轻松追踪这些网络钓鱼者的活动。

近年来，各种匿名通信和交易服务日益受到欢迎。这其中包括加密货币、免费一次性电子邮件地址，以及注册域名以保护实际所有者身份的服务。这些变化令许多CISO（首席信息安全官）感到担忧。

然而，最新发布的FBI调查报告表明，这些服务并不能真正提供匿名和隐秘，它们只是使信息的追踪变得费时、昂贵且繁琐。简言之，它们并没有保护身份，只是让查明身份变得更加麻烦。

网络安全律师马克·拉什（MarkRasch）表示：“网络犯罪调查中最困难的问题是数字犯罪的多层面模糊性。但数据和金钱最终都必须从一个地方转移到另一个地方。一旦这样做，它们就会留下数字足迹。”

在FBI进行全球追踪攻击者和被盗货币的艰巨努力之前，他们显然碰到了好运。

这种好运来自于苏格兰执法机关，他们刚好以无关的罪名逮捕了其中一名嫌疑人。这次逮捕让他们获取了该嫌疑人控制的多个数字系统的访问权限，而从中获得的一些数据与美国执法机构的询问相符合。随后，这些系统被移交给FBI。

根据，未透露身份的FBI特工提交给加利福尼亚联邦法官马戈·罗科尼（MargoRocconi）称，嫌疑人使用多种技术使受害者信任钓鱼链接。首先，链接看起来似乎来自受害者雇主的域名。其次，攻击者利用企业安全供应商Okta的名义，在钓鱼域名的可见部分末尾添加“-okta.net”。

攻击者随后 reportedly使用域名注册服务NameCheap，该站点自称提供“私密域名注册”，并以讽刺的口吻宣称，允许客户“保护自己免受欺诈和身份盗窃。您的联系信息将对公众的Whois数据库隐藏。”

嫌疑人还使用了一个虚假的用户名（一个名人与一个冒犯性词汇结合）以及免费的Gmail电子邮件地址。“这些记录显示，这两个钓鱼域名是在2022年6月2日注册的——正是受害公司1、2和3在钓鱼计划中成为目标的同一天，”FBI文件指出。

“NameCheap对情节化账户的记录还显示，该账户用于注册了其他钓鱼域名，这些域名的名称表明它们旨在同样针对其他电信、加密货币交易、社交媒体和技术公司，”该文件称。

嫌疑人还使用了Proton邮件，该服务自称提供“保护您隐私的安全电子邮件”，并在其网站上表示“与ProtonMail的对话保持私密，这是基于瑞士的加密电子邮件服务。”

这时候，苏格兰当局查获的设备发挥了作用，FBI通过大量信息的对接揭示了嫌疑人与犯罪活动之间的联系。

“其中两个设备包含