一起珠宝零售商入侵案里,攻击者偷走77GB数据、开口勒索800万美元,企业拒绝付钱却还是付出200万美元清理成本。整件事的侦破没有依赖难以追踪的比特币流向,也没有靠短时效的IP日志,最终给FBI提供突破口的,是一串看起来毫不起眼的标识符——g:6755467234350028,微软分配给某台Windows设备的全局唯一ID。

根据本周解封的联邦起诉书,这名被指控的黑客是19岁的彼得·斯托克斯,美籍爱沙尼亚双国籍,网名“Bouquet”。他从芬兰被引渡后,6月30日在芝加哥首次出庭,坚称无罪。所有证据都指向同一个问题:一次靠打电话就能完成的入侵,为什么能在防护严密的IT环境中撕开口子?

打开网易新闻 查看精彩图片

2025年5月12日到15日,攻击者用Google Voice号码反复拨打珠宝商的IT帮助台,自称是锁在账户外的员工。值班人员没有走核实流程,直接重置了受害员工的密码,还重置了多因素认证所绑定的移动设备。几小时内,三个账户权限落到对方手里,其中两个属于IT管理员。团队随即在服务器上安装ngrok和另一款名为Teleport的隧道工具,把大量业务数据搬运到亚马逊云存储,揽走至少77GB信息。

企业的安全团队反应不算慢,及时发现并拦截了部署勒索软件的尝试,还把攻击者踢出网络。但对方仍然发出邮件,标题赫然写着“重要:我们偷走了数据,请立既联系”,急切地连“immediately”都拼错了。随后索要800万美元加密货币赎金。虽然公司没付钱,中断、调查和清理造成的损失仍逼近200万美元。

公诉材料特意点出一个容易被忽略的事实:整个突破口不是某个软件漏洞,而是人接起了电话。事后复盘强调,所有密码重置前至少要做一次按既定号码回拨的验证,涉及特权账户更必须有经理签字甚至视频认证。即便公司事后铺开FIDO2等防钓鱼多因素方案,也拦不住这种绕过技术的社工话术——只要帮助台愿意在电话里配合重置,再强的令牌都像没上锁的门。

真正让黑客轮廓浮现的线索,藏在微软提供给FBI的设备日志里。g:6755467234350028是一个全局设备标识符,与单次Windows安装绑定,重装系统前会一直存在。这台设备在UTC时间5月12日19点21分访问了ngrok注册页面,同一分钟内,ngrok账户被创建;三小时后通过同一节点访问了受害零售商的网站。轨迹重叠到几乎同步。

更戏剧的是,同一台设备随后反复出现在与斯托克斯个人生活强关联的IP地址上:2024年6月在爱沙尼亚塔林,11月在纽约,次年2月在泰国,时间、地点与美国国务院旅行记录完全吻合。同时段同IP上活跃的,还有警方认定为斯托克斯本人的Snapchat、Apple和Facebook账号。起诉书里写道,他在Snapchat上毫不遮掩地晒出成捆现金与昂贵手表,仿佛数字盗窃带来的刺激比隐匿行踪更重要。

这起案件把两个平行的网络安全议题压在同一页纸上:一是企业对外暴露的语音通道依然脆弱到一戳就破,二是每一台电脑的底层标识符远比操作者以为的更难以擦除。攻击者认真处理了中继跳板、隧道转发和账户化名,偏偏漏掉那行随系统启动就永远在场的设备ID。FBI顺藤摸到的不是密码学漏洞,而是一个连系统更新都无法覆盖的装机指纹。