# 他藏住了攻擊，卻藏不住自己——少年駭客「Bouquet」的落網之路

> 一名19歲少年，用一通電話騙開珠寶商的大門、勒索八百萬美元，全程躲在 VPN與假名背後。他幾乎什麼都藏住了——除了兩件事：一組拔不掉的 Windows 裝置編號，以及他自己在社群上的炫耀。這是 Scattered Spider 成員 Bouquet 的落網始末。

*資安事件簿 · 更新於 2026.07.15 · 約 7 分鐘閱讀*

---

![Close-up of the word ](https://ethome.cc/wp-content/uploads/2026/07/2882554-edited.jpeg)

2026 年 4 月 10 日，芬蘭赫爾辛基機場。一名 19 歲少年正準備登上飛往日本的班機，隨身帶著兩顆 2TB 的硬碟。就在閘門前，芬蘭警方上前攔下——一紙國際刑警組織的紅色通緝令，讓這趟旅程在登機口戛然而止。三個月後，這名少年出現在美國芝加哥的聯邦法庭上。

檢方指控，他是惡名昭彰的網路犯罪集團 Scattered Spider 的成員。而讓調查人員一路追到他本人的關鍵，不是什麼高深的破解，而是一組他大概從沒注意過的東西：Windows 電腦裡一枚拔不掉的裝置編號。以下故事根據 FBI 訴狀與公開報導整理；在定罪之前，當事人推定無罪。

## 化名「Bouquet」的少年

![](https://ethome.cc/wp-content/uploads/2026/07/Screenshot-2026-07-11-at-01-13-18-edited.png)
圖：電影[《駭客》](https://www.imdb.com/title/tt0113243/) 劇照（IMDB）

根據訴狀，彼得‧斯托克斯（Peter Stokes）擁有美國與愛沙尼亞雙重國籍，在網路上用過「Bouquet」「Jordan」等化名。資安研究者從 2022 年就開始追蹤這個帳號的動靜。檢方指出，這名少年涉入的第一起入侵，發生在他 16 歲那年。

他過的並不是躲在暗處的生活。根據 FBI 取得的社群帳號內容，斯托克斯在 Snapchat 上大方展示大把現金、名錶，以及刻著「HACK THE PLANET」（駭進全世界，出自 1995 年電影[《駭客》](https://www.imdb.com/title/tt0113243/)的經典台詞）的鑽石項鍊；還曬出自己在世界各地旅行的照片。檢方甚至提到，當事人一度貼出愛沙尼亞警局的照片，語帶挑釁地表示執法單位根本不知道自己放跑了誰。這些貼文後來成了呈堂證供的一部分。

他所屬的 Scattered Spider（又稱 Octo Tempest、UNC3944、0ktapus）並不是傳統印象裡「敲鍵盤找漏洞」的駭客。美國司法部指出，這個集團涉及超過 100 起網路入侵、造成逾一億美元的贖金損失，受害者包括拉斯維加斯的賭場、以及英國的多家企業與交通系統。他們最鋒利的武器，往往不是程式碼，而是一通電話。

## 一通打進技術部門的電話

![Retro office setup with rotary phones, file cabinet, and red wood paneling in Ho Chi Minh City](https://ethome.cc/wp-content/uploads/2026/07/37375253-edited.jpeg)

2025 年 5 月，目標是一家高級珠寶零售商（訴狀中僅以「Company F」代稱，未具名）。根據 FBI 說法，攻擊者用 Google Voice 門號打電話給該公司的 IT 技術部門，冒充被鎖在帳號外的員工，說服客服重設了密碼、以及綁定多重驗證（MFA）的手機。門，就這樣從裡面被打開了。

進入系統後，檢方指控攻擊者架設了一條 [ngrok](#) 隧道——這本是開發者常用的正當工具，用來把內部服務接到網際網路上，此處被拿來維持對公司資料中心的持續存取。接著，至少 77GB 的公司資料被複製走，緊跟著是一張八百萬美元加密貨幣的贖金要求。

但這一次，防守方沒有慌。該公司的資安團隊反應夠快，在勒索軟體被部署之前就把入侵者踢出網路，最終一毛贖金都沒付。即便如此，光是業務中斷、調查與善後，公司仍損失了至少兩百萬美元。這是一場攻擊者「進得去、拿到東西、卻沒能收網」的失敗勒索。

## 那條沒擦掉的數位小尾巴

![lighted city at night aerial photo](https://ethome.cc/wp-content/uploads/2026/07/okoogo578eo-edited.jpg)

真正精彩的，是後來的追查。攻擊者很小心：註冊那個 ngrok 帳號時，用的是 VPN 代理伺服器的 IP，從網路連線上根本看不出是誰。照理說，這條線索到 VPN 就斷了。

又或者說，也不是完全斷了。根據訴狀，微軟的紀錄顯示：在同一個時間點，同一台 Windows 裝置——由那組全域裝置識別碼（[GDID](/glossary/gdid/)）代表——也造訪了 ngrok 的頁面。調查人員把那個 VPN 的 IP，對應到了一台「屬於斯托克斯的微軟裝置」。VPN 換掉了對外的 IP，卻沒能換掉裝置本身的身分。

有了這條線，剩下的就是把點連成線。這台裝置的 GDID，在不同時間出現過的 IP，恰好與檢方認定屬於斯托克斯的 Snapchat、Apple、Facebook 帳號在同一時間、同一地點登入的紀錄疊合：2024 年 6 月的愛沙尼亞塔林、同年 11 月的紐約、2025 年 2 月的泰國——而這些行程，還與美國國務院的出入境紀錄互相印證。一個躲在 VPN、隧道工具與假名背後的操作者，就這樣被接回到一個有名有姓、會在 Snapchat 曬鑽石項鍊的真人。他藏住了攻擊，卻沒藏住自己。（追查細節見 [The Hacker News](https://thehackernews.com/2026/07/court-filing-reveals-windows-device-id.html)。）

## 其實，他早就被盯上了

耐人尋味的是，執法單位並不是這時候才知道他是誰。根據法院紀錄，微軟早在 2024 年 10 月就在一份刑事移交報告中指認了斯托克斯的真實身分——但當時他還未成年。實務上，對已知的網路犯罪者，執法單位往往會等到對方成年才動手。

於是時間快轉到 2026 年：國際刑警組織發出紅色通緝令，芬蘭警方在赫爾辛基機場攔下正要飛往日本的斯托克斯，查扣了那兩顆硬碟；隨後他被引渡到美國，於 6 月底在芝加哥聯邦法院出庭，面對共謀、網路入侵與詐欺等指控，並被裁定羈押。對調查這類鬆散跨國集團的探員來說，那兩顆硬碟裡的工具、基礎設施與聯絡人，也許比這一次的起訴更有價值——因為它們可能牽出下一個人。

## 這起事件，留下什麼？

撇開戲劇性，這個案子對每個人——不管你是公司 IT、還是一般使用者——都留下了很實在的提醒。

###

- **破口在「人」，不在防火牆。**攻擊沒有硬闖任何漏洞，而是靠一通電話騙過服務台。真正擋得住的，是重設帳號前更嚴格的身分驗證，基本，最少都要有兩步驟驗證，可以看〈[兩步驟驗證是什麼？為什麼比密碼更重要](/2fa/)〉。

- **匿名其實分兩層。**VPN 藏得住連線的 IP，卻藏不住裝置本身的身分。想理解為什麼「換了 IP 還是被找到」，可以看〈[換了 IP、開了 VPN，為什麼還是被找到？](#)〉。

- **再高明的技術，也擋不住自己的嘴。**把攻擊藏得滴水不漏，卻在社群上曬行程、曬戰利品——最會出賣人的，常常是自己。

**如果你是一般使用者，看到這裡先別慌。**故事裡那組 GDID 是執法單位偵辦犯罪時用到的能力，不是專門用來盯你的。想知道它對日常使用者到底有沒有影響、你可以做哪些簡單設定，可以看〈[微軟的 GDID 是什麼？](/what-is-gdid/)〉。

斯托克斯的案件仍在審理中，在定罪之前，他推定無罪。但這個故事已經把一件事說得很清楚：在今天，技術上的隱形從來不是真正的隱形——你用的裝置會留下身分，你分享的生活會留下座標。對想作惡的人，這是天羅地網；對想保護自己的人，這是一堂該認真上的課。

## 參考來源

- **主要來源｜**美國司法部新聞稿與美國訴 Peter Stokes 刑事訴狀（伊利諾州北區聯邦地方法院，2026 年 7 月解封）：[DOJ 新聞稿](https://www.justice.gov/opa/pr/alleged-member-criminal-cyber-hacking-group-scattered-spider-arrested-finland-and-extradited)

- The Hacker News，Windows 裝置識別碼協助追查本案之報導：[連結](https://thehackernews.com/2026/07/court-filing-reveals-windows-device-id.html)

- CyberScoop，斯托克斯背景與追蹤時間線：[連結](https://cyberscoop.com/scattered-spider-peter-stokes-cybercrime-extradition/)

- The Record（Recorded Future News），引渡與案情細節：[連結](https://therecord.media/teen-suspect-in-scattered-spider-hacks-extradited-to-us)

- Cybersecurity Dive，外洩資料量與化名等細節：[連結](https://www.cybersecuritydive.com/news/member-scattered-spider-extradited-us-retailer/824476/)

---

來源：[他藏住了攻擊，卻藏不住自己——少年駭客「Bouquet」的落網之路](https://ethome.cc/scattered-spider-bouquet-device-id/)
ethome.cc — 生活化的資安科普
