潛伏十年，她親手端掉了歐美最隱秘的黑客組織

（來(lái)源：麻省理工科技評(píng)論）

事情發(fā)生在一個(gè)春天。

2024 年 4 月，一名使用「Waifu」和「Judische」作為網(wǎng)名的神秘人士，開始在 Telegram 與 Discord 頻道發(fā)布針對(duì)網(wǎng)絡(luò)安全研究員艾莉森?尼克松（Allison Nixon）的死亡威脅。這名用戶寫道，艾莉森?尼克松很快會(huì)被灌滿汽油的輪胎燒死。他還表示，腦震蕩是他最偏好的腦死亡方式，而這將會(huì)發(fā)生在艾莉森?尼克松身上——這些表述均帶有冒犯意味。

事情愈演愈烈。不久之后，甚至有人開始發(fā)布由 AI 生成的尼克松的不雅照片。

這些匿名賬號(hào)將尼克松作為目標(biāo)，是因?yàn)樗呀?jīng)成為一股難以對(duì)抗的力量。她在網(wǎng)絡(luò)調(diào)查公司 Unit 221B 擔(dān)任首席研究官，這家公司的名稱來(lái)自福爾摩斯的住所。她長(zhǎng)期追蹤網(wǎng)絡(luò)罪犯，并協(xié)助將其逮捕。

多年來(lái)，她潛伏在各類網(wǎng)絡(luò)聊天頻道，或使用化名與作案者直接交流，同時(shí)整理對(duì)方不慎泄露的個(gè)人信息與犯罪線索。這些工作幫助她將多名網(wǎng)絡(luò)罪犯繩之以法，其中尤其包括一批自稱 The Com（共產(chǎn)主義聯(lián)盟）的無(wú)政府主義黑客。

但 The Com 成員不只參與黑客活動(dòng)。部分成員還會(huì)對(duì)追蹤他們的研究員實(shí)施線下暴力。這類行為包括砸窗襲擊與報(bào)假警誘騙特警突襲。后者是一種危險(xiǎn)的惡作劇，行為人謊稱目標(biāo)家中發(fā)生謀殺或人質(zhì)事件，促使特警持械包圍目標(biāo)住所。The Com 分支團(tuán)體 764 的成員被指控實(shí)施更嚴(yán)重的暴力行為，包括虐待動(dòng)物、持刀傷人與校園槍擊，或是煽動(dòng) The Com 內(nèi)外人員實(shí)施此類犯罪。

尼克松在十多年前就開始追蹤該群體成員。當(dāng)時(shí)其他研究員與執(zhí)法人員大多忽視這群人，原因是他們年紀(jì)尚小，許多仍處于青少年階段。

由于長(zhǎng)期的關(guān)注，尼克松積累了大量識(shí)別并揭露 The Com 成員身份的經(jīng)驗(yàn)。聯(lián)邦調(diào)查局特工瑞安?布羅根（Ryan Brogan）表示，自 2011 年與尼克松合作以來(lái)，尼克松已協(xié)助他與同事識(shí)別并逮捕二十多名該團(tuán)體成員。他認(rèn)為，尼克松揭露嫌疑人身份的能力無(wú)可比擬。

他表示，一旦被他和尼克松盯上，落網(wǎng)只是時(shí)間問(wèn)題。無(wú)論行為人使用多少網(wǎng)絡(luò)匿名手段與操作技巧，最終都會(huì)被識(shí)破。盡管尼克松從事這項(xiàng)工作已超過(guò)十年，她仍無(wú)法理解為何 Waifu/Judische 賬號(hào)背后的人會(huì)突然對(duì)她發(fā)出威脅。

她曾接受媒體采訪介紹 The Com，最近一次是在《60 分鐘》節(jié)目。但她并未公開自己揭露成員身份與工作的細(xì)節(jié)，因此，這次敵意來(lái)得十分突然。她過(guò)去曾因 Waifu 吹噓的犯罪行為關(guān)注過(guò)這個(gè)賬號(hào)。但威脅出現(xiàn)時(shí)，Waifu 已不在她的追蹤范圍內(nèi)，因?yàn)樗?dāng)時(shí)正在調(diào)查其他目標(biāo)。此時(shí)尼克松決定揭露 Waifu/Judische 與其他發(fā)出死亡威脅者的真實(shí)身份，并以他們承認(rèn)的罪名將其繩之以法。

她表示，在對(duì)方發(fā)出死亡威脅之前，她對(duì)他們并不感興趣。

Com 的起源

大多數(shù)人從未聽(tīng)說(shuō)過(guò) The Com，但該團(tuán)體的影響力與威脅正在不斷擴(kuò)大。

這是一個(gè)由松散團(tuán)體組成的網(wǎng)絡(luò)社群，成員主要是北美與歐洲英語(yǔ)地區(qū)的青少年和二十多歲的青年人，他們也被看作是網(wǎng)絡(luò)犯罪青年運(yùn)動(dòng)的一部分。

通常情況下，國(guó)際法與國(guó)際規(guī)范，以及對(duì)報(bào)復(fù)行為的擔(dān)憂，會(huì)限制國(guó)家在網(wǎng)絡(luò)行動(dòng)中的力度。但奉行無(wú)政府主義的 The Com 并不受此類約束。

過(guò)去十年間，該團(tuán)體的犯罪活動(dòng)不斷升級(jí)。早期只是通過(guò)分布式拒絕服務(wù)攻擊癱瘓網(wǎng)站，后來(lái)發(fā)展為 SIM 卡劫持攻擊、加密貨幣盜竊、勒索軟件攻擊與企業(yè)數(shù)據(jù)竊取，這些犯罪行為影響到 AT&T、Microsoft、Uber 等多家機(jī)構(gòu)；The Com 成員還參與多種形式的性敲詐，逼迫受害者自殘或拍攝色情內(nèi)容；甚至，其影響還延伸至線下，涉及綁架、毆打與其他暴力行為。

一位長(zhǎng)期研究網(wǎng)絡(luò)犯罪的研究員因工作原因要求匿名。他表示，The Com 在網(wǎng)絡(luò)領(lǐng)域的威脅程度與俄羅斯和中國(guó)相當(dāng)，背后原因十分特殊。他指出，中國(guó)、俄羅斯與朝鮮在網(wǎng)絡(luò)行動(dòng)中都會(huì)受到約束。國(guó)際法、國(guó)際規(guī)范與對(duì)報(bào)復(fù)的擔(dān)憂，都會(huì)限制國(guó)家行為的力度。但無(wú)政府主義的 The Com 并不受這些限制。他表示，這是一個(gè)相當(dāng)嚴(yán)重的威脅，但人們往往因?yàn)閷?duì)方只是一群孩子而忽視問(wèn)題。然而他們?cè)斐傻挠绊懖蝗莺鲆暋?/p>

（來(lái)源：麻省理工科技評(píng)論）

布羅根表示，這類行為造成的經(jīng)濟(jì)損失會(huì)在短時(shí)間內(nèi)達(dá)到驚人規(guī)模。

The Com 成員沒(méi)有固定的聚集平臺(tái)。他們分散在多個(gè)網(wǎng)絡(luò)論壇、Telegram 與 Discord 頻道。該團(tuán)體延續(xù)了過(guò)去二十年中一系列黑客與亞文化社群的發(fā)展模式。這些團(tuán)體在網(wǎng)絡(luò)上興起并獲得惡名，隨后因核心成員被捕或其他原因衰落消失。尼克松表示，這些團(tuán)體的動(dòng)機(jī)與活動(dòng)各不相同，但都源自相同的早期網(wǎng)絡(luò)環(huán)境。The Com 的源頭可以追溯到 The Scene。該群體最初由各類盜版團(tuán)體組成，主要從事游戲、音樂(lè)與電影盜版活動(dòng)。

2011 年尼克松開始關(guān)注 The Scene 時(shí)，其成員主要劫持游戲賬號(hào)、發(fā)動(dòng) DDoS 攻擊并提供攻擊服務(wù)。DDoS 攻擊通過(guò)僵尸網(wǎng)絡(luò)流量壓垮服務(wù)器或計(jì)算機(jī)，阻礙正常訪問(wèn)。Booter 服務(wù)是一種可租用工具，任何人都能使用它對(duì)指定目標(biāo)發(fā)動(dòng) DDoS 攻擊。這些成員會(huì)獲得部分收益，但主要目的是博取關(guān)注與名聲。

（來(lái)源丨麻省理工科技評(píng)論）

這一情況在 2018 年左右發(fā)生改變。當(dāng)時(shí)加密貨幣價(jià)格上漲，The Com 作為分支團(tuán)體出現(xiàn)，并最終取代了 The Scene。成員開始以經(jīng)濟(jì)利益為目標(biāo)，包括竊取加密貨幣、數(shù)據(jù)與實(shí)施敲詐。

兩年后的疫情期間，The Com 成員數(shù)量大幅增長(zhǎng)。尼克松認(rèn)為，這一現(xiàn)象源于社交隔離與青少年被迫轉(zhuǎn)為線上學(xué)習(xí)。她同時(shí)認(rèn)為，經(jīng)濟(jì)環(huán)境與社交問(wèn)題也推動(dòng)了團(tuán)體規(guī)模擴(kuò)張。她表示，許多成員因技能不足或行為問(wèn)題無(wú)法正常就業(yè)。部分被捕成員家庭環(huán)境不穩(wěn)定，難以適應(yīng)學(xué)校生活，部分還表現(xiàn)出精神健康問(wèn)題。The Com 為成員提供歸屬感、支持與情緒宣泄渠道。2018 年之后，該團(tuán)體還為部分人提供了獲取金錢的途徑。

該社群衍生出多個(gè)松散小組，包括 Star Fraud、ShinyHunters、Scattered Spider、Lapsus$ 等。這些小組合作實(shí)施系列犯罪活動(dòng)。法庭文件顯示，他們通常以知名加密貨幣從業(yè)者與科技巨頭為目標(biāo)，通過(guò)盜竊與敲詐獲利數(shù)百萬(wàn)美元。

這名網(wǎng)絡(luò)犯罪研究員表示，即便在以利益為目的的行動(dòng)中，掌控感、權(quán)力與炫耀資本仍是重要?jiǎng)訖C(jī)，這也是成員選擇攻擊大型目標(biāo)的部分原因。他表示，行動(dòng)確實(shí)能帶來(lái)經(jīng)濟(jì)收益，同時(shí)也是在宣告自己可以影響那些自認(rèn)為無(wú)法被撼動(dòng)的對(duì)象。尼克松表示，事實(shí)上部分 The Com 成員受強(qiáng)烈自我意識(shí)驅(qū)動(dòng)，這類動(dòng)機(jī)最終會(huì)與經(jīng)濟(jì)利益目標(biāo)產(chǎn)生沖突。她表示，他們的經(jīng)濟(jì)計(jì)劃常常因?yàn)樽载?fù)而失敗，而這一現(xiàn)象也成為她工作的突破口。

黑客獵手

尼克松留著黑色直發(fā)，佩戴細(xì)框眼鏡，身形偏瘦，氣質(zhì)斯文。初次見(jiàn)面時(shí)，她甚至?xí)徽`認(rèn)為青少年。她講述工作時(shí)語(yǔ)速很快，仿佛腦中信息急于輸出；她在向他人解釋 The Com 威脅時(shí)，會(huì)表現(xiàn)出強(qiáng)烈的緊迫感；當(dāng)她追蹤的對(duì)象被捕時(shí)，她不會(huì)掩飾自己的喜悅。

2011 年，尼克松剛開始調(diào)查 The Com 前身社群時(shí)，她在安全公司 SecureWorks 的安全運(yùn)營(yíng)中心上夜班。該中心負(fù)責(zé)處理客戶網(wǎng)絡(luò)的工單與安全警報(bào)。尼克松渴望進(jìn)入公司反威脅團(tuán)隊(duì)，該團(tuán)隊(duì)主要調(diào)查并發(fā)布來(lái)自中國(guó)與俄羅斯的國(guó)家級(jí)黑客組織威脅情報(bào)報(bào)告。她當(dāng)時(shí)沒(méi)有相關(guān)人脈與經(jīng)驗(yàn)，無(wú)法進(jìn)入調(diào)查崗位，但尼克松擁有強(qiáng)烈的好奇心，這份特質(zhì)為她開辟了道路。

威脅團(tuán)隊(duì)關(guān)注黑客對(duì)客戶網(wǎng)絡(luò)的影響，包括入侵方式與竊取內(nèi)容。尼克松則更關(guān)注行為人的動(dòng)機(jī)與性格特征。她認(rèn)為犯罪黑客一定有聚集的網(wǎng)絡(luò)論壇，于是搜索黑客論壇，進(jìn)入了名為 Hack Forums 的網(wǎng)站。她表示，過(guò)程非常簡(jiǎn)單直接。

她驚訝地發(fā)現(xiàn)，成員會(huì)在論壇上公開討論自己的犯罪行為。她聯(lián)系 SecureWorks 威脅團(tuán)隊(duì)的一名成員，詢問(wèn)對(duì)方是否了解該網(wǎng)站，對(duì)方認(rèn)為這只是“腳本小子”聚集的地方——這一說(shuō)法用來(lái)指代技術(shù)水平較低的黑客。

當(dāng)時(shí)，許多網(wǎng)絡(luò)安全專業(yè)人士將注意力從網(wǎng)絡(luò)犯罪轉(zhuǎn)向國(guó)家級(jí)黑客行動(dòng)。這類行動(dòng)技術(shù)更復(fù)雜，也更受關(guān)注。但尼克松喜歡選擇與他人不同的方向，同事的輕視反而增強(qiáng)了她對(duì)這些論壇的興趣。SecureWorks 的另外兩名同事也抱有同樣興趣。三人在輪班空閑時(shí)間研究這些論壇，他們重點(diǎn)調(diào)查運(yùn)營(yíng) DDoS 攻擊服務(wù)的人員。

尼克松喜歡這些論壇的原因是，這對(duì)她這樣的新手十分友好。威脅情報(bào)團(tuán)隊(duì)需要獲得受害者網(wǎng)絡(luò)的高級(jí)權(quán)限才能調(diào)查入侵事件。但尼克松可以在公開論壇獲取所有需要的信息。這些黑客似乎認(rèn)為沒(méi)有人在關(guān)注他們，因此，他們經(jīng)常在操作安全上出現(xiàn)失誤，泄露居住城市、就讀學(xué)校或曾經(jīng)工作的地點(diǎn)等個(gè)人信息。聊天中暴露的細(xì)節(jié)與其他信息結(jié)合，可以幫助揭露匿名賬號(hào)背后的真實(shí)身份。她表示，自己很驚訝識(shí)別對(duì)方身份竟然相對(duì)容易。

論壇中充斥著幼稚的吹噓與瑣碎爭(zhēng)吵，但她并不在意。她表示，很多人不愿意做閱讀聊天記錄的工作。她知道這并不常見(jiàn)，也許自己的思維方式確實(shí)有些特別，才愿意投入這項(xiàng)工作。她擁有一項(xiàng)特殊能力，可以在雜亂信息中梳理內(nèi)容而不受干擾。

尼克松很快發(fā)現(xiàn)，并非所有成員都是技術(shù)低下的腳本小子。她表示，部分成員展現(xiàn)出真正的創(chuàng)造力與強(qiáng)大技術(shù)能力。但由于這些技術(shù)被用于劫持游戲賬號(hào)等無(wú)足輕重的目標(biāo)，而非攻擊銀行賬戶，研究員與執(zhí)法部門并未重視他們。尼克松開始追蹤這些人，她懷疑對(duì)方最終會(huì)將技術(shù)用于更重要的目標(biāo)。這一直覺(jué)后來(lái)被證明是正確的。當(dāng)他們轉(zhuǎn)向重要目標(biāo)時(shí)，尼克松已經(jīng)積累了大量相關(guān)信息。

她持續(xù)研究 DDoS 攻擊兩年，直到 2013 年出現(xiàn)轉(zhuǎn)折點(diǎn)。長(zhǎng)期追蹤網(wǎng)絡(luò)犯罪的網(wǎng)絡(luò)安全記者布萊恩?克雷布斯（Brian Krebs）遭遇特警報(bào)假警襲擊。

安全社區(qū)約十余人與克雷布斯合作，試圖揭露作案者身份。尼克松也受邀參與其中，克雷布斯將碎片化線索交給她調(diào)查。最終團(tuán)隊(duì)識(shí)別出作案者，盡管對(duì)方兩年后才被逮捕。當(dāng)她受邀與克雷布斯及其他調(diào)查人員共進(jìn)晚餐時(shí)，她意識(shí)到自己找到了志同道合的群體。她表示，那是一段非常棒的時(shí)刻。她發(fā)現(xiàn)身邊有一群志同道合的人，他們?cè)敢馓峁椭⑶壹兇獬鲇跓釔?ài)投入這項(xiàng)工作。

一步領(lǐng)先

成人影片演員為尼克松帶來(lái)了下一個(gè)重要研究方向。這一方向再次體現(xiàn)出她的能力，她能在 The Com 成員與犯罪趨勢(shì)成為重大威脅前，就提前發(fā)現(xiàn)其苗頭。

2018 年，有人劫持部分成人影片演員的社交媒體賬號(hào)，利用這些賬號(hào)向大量粉絲發(fā)布加密貨幣詐騙信息。尼克松起初無(wú)法判斷黑客劫持賬號(hào)的方式。她向這些演員承諾，只要對(duì)方提供黑客控制賬號(hào)期間收發(fā)的私信記錄，她就幫助對(duì)方找回賬號(hào)。這些記錄將她引向一個(gè)論壇，論壇成員正在討論竊取賬號(hào)的方法。黑客誘騙部分演員泄露其他演員的手機(jī)號(hào)，隨后使用 SIM 卡劫持技術(shù)重置其他演員的社交媒體賬號(hào)密碼，將賬號(hào)原主人鎖定在外。SIM 卡劫持是指詐騙者將受害者手機(jī)號(hào)綁定到自己控制的 SIM 卡與手機(jī)上。

原本發(fā)給受害者的通話與短信會(huì)轉(zhuǎn)移到詐騙者設(shè)備。這包括網(wǎng)站在賬號(hào)登錄或密碼修改時(shí)發(fā)送給用戶的一次性安全驗(yàn)證碼。在涉及演員的部分案件中，黑客以合理理由誘導(dǎo)電信員工執(zhí)行 SIM 卡更換。其他案件中，黑客則通過(guò)賄賂員工完成操作。黑客隨后修改演員社交媒體賬號(hào)密碼，將原主人鎖定在外，并利用賬號(hào)推廣加密貨幣詐騙。

SIM 卡劫持是一種強(qiáng)力技術(shù)，可以用于劫持并掏空加密貨幣與銀行賬戶。因此尼克松很驚訝，詐騙者竟將其用于收益較低的騙局。但當(dāng)時(shí) SIM 卡劫持很少用于金融詐騙。與尼克松早年在 Hack Forums 看到的黑客一樣，劫持演員賬號(hào)的人似乎沒(méi)有意識(shí)到這項(xiàng)技術(shù)的真正威力。尼克松懷疑這一情況會(huì)改變，SIM 卡劫持很快會(huì)成為重大問(wèn)題，她因此調(diào)整了研究方向。如其所料，不久之后，詐騙者也轉(zhuǎn)向了更具利益的目標(biāo)。

尼克松這種提前預(yù)判的能力貫穿了她的整個(gè)職業(yè)生涯。多次出現(xiàn)這樣的情況。一名黑客或一個(gè)團(tuán)體因在小型行動(dòng)中使用新穎攻擊方式引起她注意。她會(huì)開始追蹤對(duì)方的網(wǎng)絡(luò)發(fā)帖與聊天記錄，相信對(duì)方最終會(huì)用這項(xiàng)技術(shù)實(shí)施重大行動(dòng)。事實(shí)往往如她所料。

當(dāng)這些黑客隨后通過(guò)高調(diào)或具有影響力的行動(dòng)登上新聞?lì)^條時(shí)，其他人會(huì)覺(jué)得他們憑空出現(xiàn)，研究員與執(zhí)法部門會(huì)手忙腳亂地調(diào)查其身份。但尼克松早已整理好相關(guān)檔案，部分案件中甚至已經(jīng)揭露其真實(shí)身份。

Lizard Squad 就是這樣一個(gè)案例。該團(tuán)體在 2014 與 2015 年通過(guò)一系列高調(diào) DDoS 行動(dòng)登上頭條，但尼克松與當(dāng)時(shí)的同事早已對(duì)其成員進(jìn)行個(gè)體追蹤。聯(lián)邦調(diào)查局因此尋求他們的協(xié)助，以識(shí)別成員身份。

她表示，這些年輕黑客會(huì)持續(xù)作案直到被捕，但整個(gè)過(guò)程往往需要數(shù)年時(shí)間。因此她職業(yè)生涯的重要一部分，就是持有這些尚未被處理的信息。

在 Lizard Squad 活躍期間，尼克松開始開發(fā)工具，抓取并記錄黑客的網(wǎng)絡(luò)交流內(nèi)容。多年之后，她才將這套思路用于抓取 The Com 的聊天室與論壇信息，這些頻道包含大量數(shù)據(jù)。在黑客生涯早期，這些數(shù)據(jù)看似無(wú)用，但當(dāng)執(zhí)法部門后續(xù)展開調(diào)查時(shí)，它們會(huì)變得至關(guān)重要。但這些內(nèi)容隨時(shí)可能被 The Com 成員刪除，或在執(zhí)法部門查封網(wǎng)站與聊天頻道時(shí)消失。

數(shù)年來(lái)，她抓取并保存自己調(diào)查的所有聊天室內(nèi)容。直到 2020 年初加入 Unit 221B，她才獲得機(jī)會(huì)抓取 The Com 的 Telegram 與 Discord 頻道內(nèi)容。她將所有數(shù)據(jù)整合到可搜索平臺(tái)，供其他研究員與執(zhí)法部門使用。公司聘請(qǐng)兩名前黑客協(xié)助搭建抓取工具與基礎(chǔ)設(shè)施，最終形成社區(qū)驅(qū)動(dòng)、邀請(qǐng)制平臺(tái) eWitness。平臺(tái)最初只包含尼克松加入 Unit 221B 后收集的數(shù)據(jù)，后來(lái)其他用戶也上傳從 The Com 社交空間抓取的內(nèi)容，其中部分信息已不在公開論壇存在。

聯(lián)邦調(diào)查局的布羅根表示，這是一個(gè)極具價(jià)值的工具，尼克松本人的貢獻(xiàn)讓它更加重要。其他安全公司也會(huì)抓取網(wǎng)絡(luò)犯罪空間內(nèi)容，但很少對(duì)外分享。布羅根表示，尼克松工作方式的獨(dú)特之處在于，她會(huì)與聊天環(huán)境中的行為人互動(dòng)，獲取常規(guī)方式無(wú)法得到的信息。

她加入 Unit 221B 后啟動(dòng)的內(nèi)容保存項(xiàng)目時(shí)機(jī)恰到好處。項(xiàng)目開展恰逢疫情、The Com 新成員激增，以及兩個(gè)令人不安的分支 CVLT 與 764 出現(xiàn)。她在這些團(tuán)體剛出現(xiàn)時(shí)就抓取了聊天記錄。執(zhí)法部門逮捕團(tuán)體頭目并控制聊天服務(wù)器后，相關(guān)內(nèi)容便無(wú)法公開獲取。

CVLT 發(fā)音同 cult，據(jù)報(bào)道成立于 2019 年左右，主要從事性敲詐與兒童色情內(nèi)容相關(guān)活動(dòng)。764 從 CVLT 衍生而來(lái)，由得克薩斯州一名 15 歲少年布拉德利?卡登海德（Bradley Cadenhead）主導(dǎo)，團(tuán)體名稱來(lái)自他郵編的前幾位數(shù)字。該團(tuán)體以極端主義與暴力為核心。

2021 年，基于對(duì)這些團(tuán)體的觀察，尼克松將注意力轉(zhuǎn)向 The Com 成員實(shí)施的性敲詐活動(dòng)。

他們實(shí)施的性敲詐源于十年前開始的一種名為粉絲簽名的活動(dòng)。黑客以曝光個(gè)人信息威脅受害者，通常是年輕女性，逼迫對(duì)方在紙上寫下黑客網(wǎng)名。黑客會(huì)將照片用作自己網(wǎng)絡(luò)賬號(hào)的頭像，作為一種戰(zhàn)利品。最終部分人開始勒索受害者，將黑客網(wǎng)名寫在臉部、胸部或生殖部位。CVLT 出現(xiàn)后，這類行為進(jìn)一步升級(jí)，受害者被勒索將 The Com 成員名字刻在皮膚上，或拍攝、直播色情行為。

尼克松表示，疫情期間，大量 SIM 卡劫持者轉(zhuǎn)向兒童色情內(nèi)容與虐待性性敲詐。她厭惡追蹤這類恐怖活動(dòng)，但也看到了將其用于正向目的的機(jī)會(huì)。長(zhǎng)期以來(lái)，她對(duì)法官因金融詐騙看似不具暴力性質(zhì)而從輕判決感到不滿。她認(rèn)為，如果能將這些人與性敲詐關(guān)聯(lián)，就有機(jī)會(huì)讓法院作出更嚴(yán)厲判決。她因此開始重點(diǎn)調(diào)查這類犯罪。

此時(shí)，Waifu 仍不在她的追蹤范圍內(nèi)。但情況即將改變。

最終結(jié)局

2024 年 4 月，Waifu 與 The Com 其他成員參與一起涉及 AT&T 用戶通話記錄的大型黑客事件。此后，尼克松成為 Waifu 的攻擊目標(biāo)。

Waifu 所在團(tuán)體入侵了數(shù)據(jù)存儲(chǔ)服務(wù)公司 Snowflake 的數(shù)十個(gè)云賬號(hào)。其中一名客戶在 Snowflake 賬號(hào)中存儲(chǔ)了超過(guò) 500 億條 AT&T 無(wú)線用戶通話記錄。

隨后，他們變得更加魯莽。他們據(jù)稱從 AT&T 敲詐近 40 萬(wàn)美元，承諾刪除竊取的通話記錄。隨后他們?cè)俅吻迷p，威脅若不支付更多資金，就泄露聲稱已刪除的記錄。并且，他們?cè)谔又袠?biāo)記了聯(lián)邦調(diào)查局。

尼克松表示：“他們的行為好像在求著被調(diào)查似的。”

當(dāng)時(shí)，Snowflake 入侵與 AT&T 數(shù)據(jù)盜竊事件登上頭條。但尼克松不知道自己號(hào)碼在被盜記錄中，也不知道 Waifu/Judische 是事件主要嫌疑人。因此當(dāng)對(duì)方開始在網(wǎng)絡(luò)上嘲諷并威脅她時(shí)，她感到十分困惑。

（來(lái)源：麻省理工科技評(píng)論）

5 月與 6 月的幾周內(nèi)，一種模式逐漸顯現(xiàn)。Waifu 或其同伙會(huì)發(fā)布針對(duì)尼克松的威脅，隨后在網(wǎng)絡(luò)發(fā)帖邀請(qǐng)她對(duì)話。她現(xiàn)在認(rèn)為，對(duì)方當(dāng)時(shí)相信她正在協(xié)助執(zhí)法部門調(diào)查 Snowflake 入侵事件，希望通過(guò)對(duì)話套取執(zhí)法部門掌握的信息。但尼克松當(dāng)時(shí)尚未協(xié)助聯(lián)邦調(diào)查局調(diào)查對(duì)方。直到她因威脅事件開始調(diào)查 Waifu，才意識(shí)到對(duì)方涉嫌參與 Snowflake 黑客事件。

尼克松與其他研究員認(rèn)為，黑客可能通過(guò)其他方式獲取探員手機(jī)號(hào)。對(duì)方可能使用反向查詢工具，識(shí)別探員撥打或接聽(tīng)的號(hào)碼機(jī)主，并在其中找到尼克松的號(hào)碼。此后他們開始對(duì)尼克松進(jìn)行騷擾。

但這并非她第一次調(diào)查 Waifu。Waifu 在 2019 年就引起她注意。當(dāng)時(shí)他吹噓自己誣陷另一名 The Com 成員制造炸彈詐彈威脅，隨后又提及參與 SIM 卡劫持行動(dòng)。他給尼克松留下了深刻印象。他明顯具備技術(shù)能力，但尼克松認(rèn)為他經(jīng)常表現(xiàn)得幼稚、沖動(dòng)且情緒不穩(wěn)定。他在與其他成員互動(dòng)時(shí)極度渴望關(guān)注。他吹噓自己不需要睡眠，依靠藥物通宵進(jìn)行黑客活動(dòng)。他在保護(hù)個(gè)人信息方面也有些魯莽。他在私信中向另一名研究員表示，自己擅長(zhǎng)操作安全，絕不會(huì)被捕。但他同時(shí)透露自己住在加拿大，這一信息后來(lái)被證實(shí)屬實(shí)。

尼克松揭露 Waifu 身份的流程，與她識(shí)別 The Com 成員的通用方法一致。她會(huì)圍繞目標(biāo)及其所有網(wǎng)絡(luò)交流賬號(hào)建立大范圍調(diào)查圈，隨后分析互動(dòng)關(guān)系，縮小到與目標(biāo)聯(lián)系最緊密的人員。部分最佳線索來(lái)自目標(biāo)的敵人。她可以從網(wǎng)絡(luò)沖突中獲取對(duì)方身份、性格與活動(dòng)的大量信息。她表示，一般來(lái)說(shuō)，敵人與前女友是收集嫌疑人情報(bào)的最佳來(lái)源，她非常重視這類信息。

在她開展調(diào)查的同時(shí)，Waifu 及其團(tuán)體聯(lián)系其他安全研究員，試圖獲取尼克松及其調(diào)查內(nèi)容的信息。他們還試圖向研究員釋放虛假線索，提及加拿大其他可能被誤認(rèn)為是 Waifu 的網(wǎng)絡(luò)罪犯名字。尼克松從未見(jiàn)過(guò)網(wǎng)絡(luò)罪犯使用這類反情報(bào)手段。

在這些誤導(dǎo)與混亂信息中，尼克松與一名合作研究員多次咨詢并交叉核對(duì)其他研究員的線索，確保在提交聯(lián)邦調(diào)查局前確認(rèn)正確身份。

到 7 月，她與研究員確認(rèn)了目標(biāo)身份。康納?賴?yán)?莫卡（Connor Riley Moucka），25 歲，高中輟學(xué)，與祖父住在安大略省。10 月 30 日，加拿大皇家騎警包圍莫卡住所并將其逮捕。

加拿大法庭文件顯示，逮捕前 9 天的 10 月 21 日下午，一名加拿大便衣警察以借口前往莫卡住所，秘密拍攝照片并與美國(guó)當(dāng)局提供的圖像比對(duì)。警察敲門按鈴，莫卡衣衫不整地開門，表示對(duì)方吵醒了自己。他向警察自稱亞歷克斯。莫卡有時(shí)使用別名亞歷山大?安東寧?莫卡（Alexander Antonin Moucka）。警察確認(rèn)開門者就是美國(guó)尋求的目標(biāo)后離開。此時(shí) Waifu 在網(wǎng)絡(luò)上對(duì)尼克松的攻擊升級(jí)，誤導(dǎo)行為也更加頻繁。尼克松認(rèn)為，上門調(diào)查嚇到了對(duì)方。

尼克松不愿透露揭露莫卡身份的具體方法，只表示對(duì)方出現(xiàn)了失誤。她表示，不想通過(guò)披露失誤方式，教會(huì)這類人如何避免被捕。

加拿大針對(duì)莫卡的法庭文件顯示，除對(duì)尼克松的威脅外，他還被指控在網(wǎng)絡(luò)發(fā)布多條暴力內(nèi)容。部分內(nèi)容包括幻想成為連環(huán)殺手，或向密歇根州與俄亥俄州的黑人大量郵寄硝酸鈉藥片。另一條內(nèi)容中，其賬號(hào)表示要獲取槍支殺害加拿大人，并實(shí)施引警自殺行為。

起訴文件顯示，莫卡的網(wǎng)絡(luò)別名包括 Waifu、Judische 及另外兩個(gè)。檢察官表示，他與同伙從 Snowflake 賬號(hào)竊取數(shù)據(jù)，并從至少三名受害者處敲詐至少 250 萬(wàn)美元。莫卡面臨近 24 項(xiàng)指控，包括串謀、非法入侵計(jì)算機(jī)、敲詐與電信欺詐。他表示不認(rèn)罪，并于去年 7 月被引渡至美國(guó)。他的審判定于今年 10 月。但黑客案件通常以認(rèn)罪協(xié)議結(jié)案，而非正式庭審。

尼克松與同事向當(dāng)局提交線索后，當(dāng)局?jǐn)?shù)月后才逮捕莫卡。但他在 Snowflake 事件中的一名同伙，名為卡梅倫?約翰?瓦格紐斯（Cameron John Wagenius），網(wǎng)名 Kiberphant0m 的美軍士兵被捕速度更快。

2024 年 11 月 10 日，尼克松及其團(tuán)隊(duì)發(fā)現(xiàn)瓦格紐斯的一處失誤，這一失誤幫助識(shí)別了他的身份。12 月 20 日，瓦格紐斯被捕。他已經(jīng)對(duì)出售或試圖出售機(jī)密通話記錄相關(guān)的兩項(xiàng)指控認(rèn)罪，并將于今年 3 月宣判。

如今，尼克松仍在調(diào)查 The Com 成員的性敲詐活動(dòng)。但她表示，Waifu 團(tuán)伙的剩余成員仍在對(duì)她進(jìn)行嘲諷與威脅。她表示，這些人仍在繼續(xù)無(wú)理行為，但會(huì)被逐個(gè)擊破。她會(huì)一直堅(jiān)持下去，直到對(duì)方所有人都被處理。

https://www.technologyreview.com/2026/02/16/1132526/allison-nixon-hackers-security-researcher/