俄罗斯paypal

这篇文章讲述了PayPal在2000年与两名俄罗斯黑客Vasily Gorshkov和Alexey Ivanov的较量。主要内容如下:

Gorshkov和Ivanov利用盗取的信用卡信息在eBay购物并将货物转运回俄罗斯进行转售牟利。他们还入侵公司网站盗取信用卡信息。2000年11月,两人受骗前往美国,被FBI以组织诈骗等罪名逮捕。

档案显示,两人还针对PayPal进行了“大规模诈骗计划”。他们创建伪造账户,用被盗信用卡付款,在账户间转移资金洗钱。PayPal安全调查员John Kothanek发现两人就是PayPal头号宿敌“Greg Stivenson”,与其展开猫捉老鼠的较量。

FBI联系PayPal,两者开始合作。PayPal帮助FBI搜集证据,Kothanek和Levchin还在案件审判中作证。最终,两名黑客被判入狱数年。这成为网络犯罪诉讼的一个里程碑,也标志着PayPal与政府合作关系的转变。

与此同时,PayPal也在加强自身安全。Levchin要求比金融行业标准更高的安全要求,建立了严密的内外部安全体系。PayPal的反诈骗团队也在扩大,他们将与黑客的较量视为职业生涯的高点。

Gorshkov服刑后被遣返俄罗斯,Ivanov最终也在美国找到了合法的科技工作。这场跨国网络犯罪诉讼以不太传统的方式结束,体现了互联网时代全球化的特点。

原文：

Vasily Gorshkov和Alexey Ivanov的黑客代码名称分别是“Kvakin”和“Subbsta”。他们住在俄罗斯的车利亚宾斯克,擅长瞄准美国金融公司—偷取客户的信用卡和银行账户信息,然后用它们购买商品。这些商品会运到附近的哈萨克斯坦、格鲁吉亚和其他前苏联卫星国的转运点。在穿越边界和时区后,这些商品几乎无法追踪,Gorshkov和Ivanov以利润转售它们。

这对20多岁的黑客还经营另一个生意,他们希望它能在科技行业带来合法生活。两人会黑进企业计算机系统,向该公司提供入侵证据,并提供“安全咨询服务”。他们的这项副业消息显然已经传开了,因为在2000年夏天,Gorshkov和Ivanov收到了一家名为Invita Security的美国公司的询问,该公司寻找他们来逆向工程防止黑客的保护措施。

Invita提供飞他们到西雅图当面进行商谈。Gorshkov和Ivanov听说过黑客变成高薪白帽安全专家的故事,与Invita Security的合同工作听起来很有前景。从俄罗斯中西部到西雅图的行程耗时30个小时,两人于2000年11月10日抵达美国。

两人被接走,驱车前往Invita Security位于附近写字楼的总部。从机场驾车,Ivanov对美国人遵守交通法感到惊讶。“你们为什么开车这么平和?”他问他的一位主持人。“在俄罗斯......我们一看到绿灯就踩油门......在俄罗斯,人们开上人行道以到达目的地很常见。”

两人到达Invita Security办公室后,Ivanov远程登录他留在俄罗斯家中的个人电脑,并演示了他用于入侵美国系统的技术。他的主持人印象深刻。当被要求提供详细信息时,他们是如何获得信用卡信息的,Gorshkov似乎很谨慎。“这种问题最好在俄罗斯讨论,”他说。当Invita高管问他们是否担心FBI时,Gorshkov不以为然。“我们根本不考虑FBI,”他说,“因为他们在俄罗斯抓不到我们。”

演示结束后,Gorshkov和Ivanov挤进公司面包车,前往过夜的酒店。就在面包车进入酒店停车场时,司机突然猛踩刹车。货车门突然打开,一个声音喊道:“FBI!把你的手举过头顶从车里出来!”

Gorshkov和Ivanov被手持武器、穿防风雨衣的联邦探员包围。两人被粗暴地拽出面包车,铐上手铐,探员用英语向他们宣读米兰达权利警告,并递给他们一张纸,上面用俄语翻译了警告内容。

为了抓住Gorshkov和Ivanov,FBI的圈套行动—代号为“飞钩行动”—使用了Invita Security,一家虚假公司,由实际是卧底FBI特工Michael Schuler和Marty Prewett的“高管”组成。Gorshkov和Ivanov用来展示黑客技术的计算机安装了一个“嗅探器”程序,记录每个按键,房间内的音频视频设备记录了他们的每句话语和动作。一旦Gorshkov登录俄罗斯的计算机,联邦调查局就下载了数GB的他的黑客exploit宝库。

正如Steve Schroeder在《诱惑》一书中所记录的那样,Gorshkov和Ivanov非常多产。两人共同入侵了近40家美国公司,包括Western Union—他们从其网站上窃取了近1.6万个信用卡号码—以及一个名为CD Universe的网站,从中他们获取了另外35万个号码。此案检察官指出,Gorshkov的“黑客技能是一流的”。一位取证专家将这对描述为“他见过的最棒的系统集成者”。

档案还揭示了检察官所称Gorshkov和Ivanov对PayPal进行“大规模欺诈计划”。两人生成了数百个伪造的PayPal账户和伪造的eBay账户。然后他们设置现场拍卖,用被盗信用卡付款,并在没有发送任何实际商品的情况下在账户之间转移资金。对PayPal来说,看似普通的交易实际上是一个复杂的操作,用于将被盗信用卡号转换为现金。

他们还用被盗信用卡对现场拍卖出价—用机器人进行投标。“Ivanov和Gorshkov的计划既精心设计又令人印象深刻:PayPal账户中的信用卡号被盗,通过设计精良的网络钓鱼攻击获得,”与此案相关的网络安全专家Ray Pompon写道。“然后,这些信用卡号被机器人在eBay拍卖中用于购买商品。从eBay购买的商品运往俄罗斯转售。” PayPal的损失总计近150万美元。

Ivanov和Gorshkov也欺诈接受PayPal付款的非eBay卖家。在一例中,他们从一名计算机配件卖家那里订购了各种硬件。当卖家发送发票时,Gorshkov和Ivanov通过PayPal使用被盗信用卡支付了发票。然后卖家将货物运往哈萨克斯坦的一个地址,Gorshkov在那里贿赂海关官员将货物运进俄罗斯。

特工Prewett致电PayPal,将FBI发现的情况告知对方。电话那头是PayPal的高级安全调查员John Kothanek。Kothanek在科技公司有着独特的背景:他的职业生涯始于海军陆战队的军事情报官。

“当我从海湾战争回来后,”Kothanek说,“我买了一台计算机。我在这台486 DX上花了一大笔钱。从我放入的第一个3.5英寸磁盘开始,我就沉迷上了它。它触动了我的某根神经。”对于他萌芽的书呆子气质,Kothanek从他的海军陆战队战友那里受到了一些责难。“我所有的哥们都在取笑我。他们说,‘见鬼。计算机。这东西没戏。没人care计算机,’”他回忆道。

离开海军陆战队后,Kothanek在梅西百货工作,担任内部调查员。然后他从eBay的一个朋友那里得到了一个提示,说X.com和Confinity正聚合在一起—并可能需要一个可以在公司和执法部门之间联络的人。

在PayPal工作不久后,Kothanek发现自己面临语言障碍。他在写给全公司的邮件中寻求帮助:“X.com有谁会说/读俄语吗?我在处理一个有俄罗斯联系的有组织犯罪的事情。在搜寻线索的过程中,我希望有人看看电子邮件地址,告诉我它们是否意味着什么。绝望!!!”

回复很快就来了,对刚加入X.com的Kothanek来说。“他们说,‘马克斯会。难道你不知道吗?!’我就像,‘我完全不知道马克斯是谁。’于是接下来我知道的就是,这个戴眼镜的家伙走进了我的小隔间,”Kothanek回忆道。

Levchin和Kothanek这个奇怪的组合开始配合,用俄语与俄罗斯欺诈分子进行沟通,Kothanek指导语气,Levchin翻译。“我会说,‘好吧,如果是我,我会这么回复他。让我们稍微踢他的球。让我们激怒这些家伙。’ 马克斯就会说‘好的’,然后他会用我的电子邮件地址,用乌克兰语打出一些话,发回给他们。然后,果不其然,第二天,我会收到一封回信。” 这样,Kothanek和Levchin与PayPal的俄罗斯欺诈分子建立起“奇怪的关系”。

Kothanek早就知道Ivanov和Gorshkov—尽管不知道这些名字。Kothanek、Levchin和PayPal的其他人将他们称为“Greg Stivenson”和“Murat Nasirov”。Kothanek汇总他们对PayPal掠夺行为的电子表格已增加到10,796笔交易。FBI联系他后,Kothanek给探员发了封电子邮件:“我必须说,你们昨天的消息绝对使我十年如一日。我在过去10个月里一直研究并痴迷于这个团伙。”

与Igor一样,“Greg Stivenson”成为PayPal特别令人讨厌的宿敌。当Kothanek和欺诈团队首次与他对抗时,他们简单地关闭了姓“Stivenson”的账户,并写信给用户的电子邮件地址告知他们。犯罪者Ivanov给Kothanek写回信:“你以为抓到我了?看这个。”同一天又开设了成千上万个欺诈账户。

10月中旬,Kothanek写信告诉他,PayPal抓住了他的行迹:

Kothanek: 嘿,老兄,又是我......我们的一些客户说你一直给他们发电子邮件询问你的货物。猜猜看他们不会来。所以基本上如果你没有收到货物,那是因为我们制止了它。下次好运。

Stivenson: 你在这里还是这个邮件地址无效?请回复我想与你谈论你们的安全措施。

Kothanek: 不如我们来谈谈你在我们系统上的欺诈活动。

在这里,和在他的整个通信中,Stivenson钓鱼获取报酬的安全工作。“我可以停止在PayPal的活动,”他曾经对Kothanek说。“我可以将这个完整的系统出售给第三方。”在一封给Levchin的用俄语书写的冗长信息中,Stivenson再次提供了他的安全服务,分享了他的行为方式,并嘲笑了阻止他的努力:

你好。你可能已经明白我们在这里有一整套通过PayPal支付商品的系统。

这可能看起来很奇怪,但在分析和评估人为因素(正是因为它我才能通过PayPal工作,以至于例如没有人能够抵制人类渣滓)上花费的时间要多得多。你为了公司辩护所做的一些举措可以看作是向前迈进了几步。此外,我们首先假设基本群众是合法用户,因此在每次更改之后,我都会试图以你的系统也认为我是合法用户的方式行事。

关于你最近的更改,在不久的将来,其他互联网网站(商店、银行等)也会进行这样的更改。像这样的变化只会为你争取一些时间(我认为不会超过2个月。)

现在关于安全问题,我可以提供帮助,但所有安全问题的解决不会仅仅由一声“谢谢”决定,因为“谢谢”并不能填饱你的肚子。与此同时,每个人都做自己的事...... 你有你的,我有我的。希望你能理解我。

祝好。

猫捉老鼠的游戏持续着。PayPal会试图阻止Stivenson,而Stivenson会找到方法突破公司的防线。他还会嘲笑他们。“去你们的,美国混蛋,”他曾经写给团队。“我会回来的。”

“他们很鲁莽,”Kothanek在接受CNN采访时说。“他们认为我们碰不了他们,因为他们在俄罗斯。” Levchin后来对一位记者说,他开始将Stivenson的嘲笑当作人身攻击。“我是不可逾越的俄罗斯人,”Levchin对《旧金山纪事报》说。“规则很清楚。他们试图偷窃,我阻止他们。” 团队偶尔能够停止他。Levchin和Kothanek记得当他们告诉Stivenson尝试突破Gausebeck-Levchin CAPTCHA时的自豪感—但他无法做到。

并非所有小偷都在遥远的时区。有一次,公司发现一位才华横溢的欺诈分子就住在离办公室几英里远的地方。团队收集了他的犯罪记录,甚至允许欺诈继续,以便给法 enforcement 争取时间。“我们获得了提出刑事定罪所需的所有证据,并将其提供给了特勤局和FBI。他们就像,‘嗯,这需要弄清他在哪个司法管辖区。’”马斯克记得。“就像,‘看在上帝的份上,他现在正在偷钱!这是他的地址!这是他的样子!这是所有证据!’......正在进行的犯罪!......最后,两个月后,他们去逮捕了他。花了很久。”

尽管过程常常令人沮丧且费时间,但公司希望与执法部门合作建立威慑措施。“让政府真正逮捕某人很重要,”马斯克解释道。“因为如果没有人真正被逮捕,欺诈分子就会以这种或那种方式继续欺诈。欺诈社区会迅速传开话。‘好吧,PayPal在逮捕人,所以再考虑一下。’”

欺诈分析师梅拉妮·塞尔范特斯记得联系各州的执法部门—并收到困惑的回应。“我们刚开始......就像,‘嘿,我们是PayPal,我们是一个金融犯罪受害者,犯罪者在你们的司法管辖区。’他们会说,‘PayPal?那是什么?’”

塞尔范特斯回忆说,即使团队能引起执法部门的兴趣,官员们也不确定如何归类数字犯罪,以及它们是否构成洗钱、设备访问欺诈、电汇欺诈或资金传输错误。“我们联系美国检察官,他们会说,‘我认为发生了犯罪,但没有现成的法律来起诉它,’”塞尔范特斯记得。

因此,FBI在Ivanov和Gorshkov案件上的努力代表了一个值得欢迎的改变。FBI联系公司讨论飞钩行动几天后,PayPal代表团—包括Kothanek、Levchin、Erik Klein和PayPal客户服务和欺诈高级副总裁Sarah Imbach—在西雅图与FBI探员围坐在会议桌旁。探员向他们详细说明了在诱捕中发现的情况。

FBI和PayPal开始在案件上进行合作。“我们能够建立他们的机器IP地址与他们在我们系统中使用的信用卡之间的关联,以及他们用于在我们系统上开设账户的Perl脚本,”Kothanek回忆道。团队发现Ivanov和Gorshkov就是paypai.com的幕后黑手—模仿PayPal网站。

尽管PayPal很高兴政府介入了该案,但这项努力产生的媒体报道并不总是受欢迎的。当检方在联邦法院提交宣誓书时,一家西雅图的报纸报道了该案。报道错误声称PayPal的信用卡数据库是Ivanov和Gorshkov入侵的对象之一。两人是在PayPal上使用被盗信用卡—而不是从PayPal入侵—对Levchin来说,这两者有天壤之别。Levchin知道,前者是公司可以应对的问题;后者则有损于人们对PayPal安全性的信任。

根据检察官的说法,Levchin“合理地愤怒”,并敦促司法部更正记录。检察官打电话给记者,解释了错误,并在第二天的报纸上印出了更正。

报纸风波体现了Levchin的核心原则之一:无论发生什么—与eBay的争执、令人痛苦的宕机时间、大量客户投诉—黑客都不应该能够渗透PayPal的系统并获取个人信息。“开发团队在价值观上非常一致,”David Gausebeck回忆道。“关于我们应该建立的标准,特别是安全性和正确性保证,这是‘当然,我们必须确保它是防弹的’。”

“不可逾越的俄罗斯人”觉得金融服务行业没有认真对待信息安全。Levchin和他的团队仔细研究了该行业的网络安全标准,并感到不满。如果PayPal系统要真正安全,达到那些标准远远不够。“已经有关于如何保护它们的标准,但它们可能只涵盖了攻击者能够攻击你系统的方式的十分之一,”工程师Bob McGrew回忆道。“PayPal的工作是非结构化的,但实际上质量非常高。这是由真正关心建立一个真正安全系统的人完成的,而不是一个关心遵守保护信用卡安全规程的团队。”

Levchin也认识到PayPal将受到更高的标准约束。PayPal没有ATM或公共分行;“PayPal品牌”就是其网站。网站被黑将等同于劫匪同时击中一家传统机构的所有当地银行分行。“富国银行有一个竞争的账单支付系统。但如果它们遭到黑客攻击,它们不会倒闭,”McGrew解释道。“在PayPal,任何计算机安全问题都绝对是存亡危机。”

团队在外部安全措施之外还建立了内部保障措施。“我们有措施防范欺诈分析师的欺诈,”McGrew回忆道。Huey Lin帮助建立了公司的“权限”工具。在公司早期,她回忆说,“每个人和他们的表兄弟”都可以访问敏感信息。随着时间的推移,PayPal加强了这些控制,以至于公司的高管也不能直接访问PayPal用户的信用卡信息。主密码演变成一个共享的、复杂的系统—任何访问尝试都会同时自动提醒其他高管。在数字安全的世界里,没有人可以信任—甚至是公司的创始人和领导者。

Colin Corbett于2001年以网络架构师的身份加入了团队。他帮助改造了PayPal的数据中心。在担任这一角色时,他构建了一个三层网络架构,具有精心设计的一系列安全保障,这些保障随着某人朝系统的核心挖掘而变得越来越困难,“以至于你知道,在某些情况下,甚至管理这些系统的人也不喜欢它的工作方式,因为它是如此繁琐。”

除了网络的“逻辑分段”之外,公司还实施了“物理分段”。某些网络设备“实际上将位于独立的上锁机柜中”,Corbett回忆道。只有在安全工程师成功通过“5个手掌指纹读取器”之后,才能进入公司的核心基础设施。你的手印被验证5次之后,Corbett指出,工程师仍然需要“一个独特的8位数代码才能实际进入机柜”。

除了正式的保障措施之外,公司还有非正式的方法来保护信息。员工如果错误地将笔记本电脑无人看管,将遭受“烧毁”。另一位员工会劫持他们的机器,并假冒笔记本主人的名义向整个公司发送令人尴尬的电子邮件。

随着时间的推移,烧毁变得传奇,员工会提前很久准备。“这太精心设计了,”偶尔也是受害者的Kim-Elisha Proctor回忆道。“工程师们真的很在行。他们在不断观察,并准备好电子邮件。你离开桌子,如果电脑未锁定,他们会向你发送烧毁邮件,跑到你的桌子旁,拿走那封烧毁邮件,然后发送给邮件列表。你会想,哦,妈的。”

随着欺诈活动增加,PayPal的反欺诈团队也在扩大。加入公司之前,塞尔范特斯为一家Visa卡处理机构处理欺诈案件—她发现这份工作乏味。在那里,她开始注意到一家位于帕洛阿尔托的新公司屡次出现在她的欺诈报告中。塞尔范特斯决定采取大胆的举动。“如果你的职业是调查欺诈,你需要去欺诈多发的地方......所以我联系了他们,基本上—我也不知道从哪儿来的胆量—但我就像,‘你们有很多欺诈。我知道是因为我一直在索赔你们。’所以看来你们需要帮助。’”

PayPal的反欺诈人员目睹了一些人类最为恶劣的行径。杰里米·罗伊巴尔通过一家临时工机构来到Confinity。他证明自己是一位出色的客户服务代表,但一旦客户服务迁移到奥马哈,他就需要一个新角色。“Kothanek把我从废墟中拉了出来,”罗伊巴尔回忆道,“说‘我希望你成为一名欺诈分析员。’”

在这种身份下,罗伊巴尔为执法机构汇编信息,以满足传票要求—这让他痛苦地暴露于PayPal用户群中阴暗的一面。他记得为儿童色情制品购买汇编电子表格。“这很伤人......每一行都是某种可怕的可怕东西的销售或购买,”他记得。有一次,在法庭作证后,罗伊巴尔回到酒店房间,痛哭流涕。“它会击垮你,”他说。

尽管遭遇犯罪和堕落,但塞尔范特斯、Kothanek、罗伊巴尔和PayPal欺诈团队的其他人都将这段经历视为职业生涯的高点,部分原因是他们直接捍卫了易受害人群,但也因为PayPal的创新欺诈者迫使欺诈团队具有前瞻性思维。凭借其先进的工具和技术,PayPal常常能在银行或信用卡公司之前识别不当行为。数字犯罪打击“非常令人鼓舞和充实,”罗伊巴尔回忆道。他和他的同事觉得自己像是“现代超级英雄”。

罗伊巴尔和他的同事进一步受到了他们所遇到的同行“超级英雄”的鼓舞—包括执法官员,随着时间的推移,他们成为将线上世界的恶人绳之以法的重要盟友。罗伊巴尔生动地记得他打给阿肯色州一名警官的电话。“‘先生,我相信有人正在诈骗老人,’他的反应如此令人耳目一新。他说,‘不会在我的县里!’然后冲去抓人。”

罗伊巴尔在公司工作了8年;塞尔范特斯14年。“你知道当你遇到宽宏大量、有魅力、天才的人时,你会想待在他们身边吗?”塞尔范特斯问。“这有点像每个人在办公室的感觉。” 约翰·科萨内克,现在为加密货币交易所Coinbase监督全球调查,也表达了同样的看法。“我就是上瘾了,”他承认。“野马也拖不走我离开这个职业。”

甚至Levchin也能够看到那些几乎摧毁公司的东西作为他PayPal经历的重要组成部分。他回忆起一封给马斯克的臭名昭着的电子邮件,主题为:“欺诈就是爱”,一个尖酸内部笑话。“回首看来,”他提出,“这不仅仅是一个笑话。我发现我真的很喜欢上了这件事。这是你能接近《谍影重重》的最近距离。我是一个技术宅书呆子,但我是间谍小说的狂热读者。”

欺诈团队也提醒人们,尽管PayPal在算法和自动化欺诈打击方面有所进步,技术公司仍然需要有血肉之躯的人类来提供最后一公里的保护。“欺诈识别是人与机器学习和自动化规则的组合,”塞尔范特斯指出。“人总会是那个组合的一部分。一直都是。因为存在人为行为的不确定性,机器人无法完全模拟。”

Ivanov-Gorshkov案的FBI探员和检察官定期拜访PayPal,并将打击“PayPal欺诈”作为联邦优先事项。PayPal与FBI的合作标志着公司历史中一个具有讽刺意味的转折点:当Confinity最初启动时,它还在考虑启动一个摆脱政府束缚的通用数字货币。现在,同一支团队肩并肩地与FBI探员坐在一起,帮助他们起诉金融犯罪。

“我认为转折点在于,当我们能够打电话给某个州的某人,无论是FBI的现场办事处还是特勤局的现场办事处,并说‘伙计,我有一个案子要给你’,他们会接电话并听我们说,”Kothanek回忆道。

这条路是双向的。Ivanov和Gorshkov案的FBI探员要求Kothanek和Levchin在审判中作证,Kothanek同意上证人席作证。他向法庭讲述了Ivanov和Gorshkov在PayPal的计划,包括他们创建paypai.com和被盗信用卡骗局。该案主要律师当庭向陪审团大声朗读了Ivanov冗长的“食入口”电子邮件。

Ivanov和Gorshkov被控多项指控,包括串谋、计算机欺诈、黑客入侵和敲诈。Ivanov认罪,服刑近4年;Gorshkov受审,被判3年徒刑。这些案件成为新兴网络安全诉讼领域的里程碑,参与的FBI探员因卓越调查获得了董事奖。

作为报复,俄罗斯起诉FBI,声称FBI非法访问了Ivanov和Gorshkov的计算机,2002年,俄罗斯政府对特工Schuler提出刑事指控。这个新闻登上了《莫斯科时报》的头版在Vasily “Kvakin” Gorshkov服刑后被遣返俄罗斯。当他在监狱时,他当时的女友生了孩子,遣返后,他在俄罗斯与家人团聚。Alexey “Subbsta” Ivanov实现了他合法的白领科技工作的心愿。在一种非正统的美国梦中,Ivanov在美国找到了一份工程师的工作。