═══ 他藏住了攻擊,卻藏不住自己——少年駭客「Bouquet」的落網之路 ═══ 資安事件簿 · 更新於 2026.07.15 · 約 7 分鐘閱讀 一名19歲少年,用一通電話騙開珠寶商的大門、勒索八百萬美元,全程躲在 VPN與假名背後。他幾乎什麼都藏住了——除了兩件事:一組拔不掉的 Windows 裝置編號,以及他自己在社群上的炫耀。這是 Scattered Spider 成員 Bouquet 的落網始末。 ────────────────────────────── [圖片:Close-up of the word ] 2026 年 4 月 10 日,芬蘭赫爾辛基機場。一名 19 歲少年正準備登上飛往日本的班機,隨身帶著兩顆 2TB 的硬碟。就在閘門前,芬蘭警方上前攔下——一紙國際刑警組織的紅色通緝令,讓這趟旅程在登機口戛然而止。三個月後,這名少年出現在美國芝加哥的聯邦法庭上。 檢方指控,他是惡名昭彰的網路犯罪集團 Scattered Spider 的成員。而讓調查人員一路追到他本人的關鍵,不是什麼高深的破解,而是一組他大概從沒注意過的東西:Windows 電腦裡一枚拔不掉的裝置編號。以下故事根據 FBI 訴狀與公開報導整理;在定罪之前,當事人推定無罪。 ◆ 化名「Bouquet」的少年 [圖片] 圖:電影《駭客》 (https://www.imdb.com/title/tt0113243/) 劇照(IMDB) 根據訴狀,彼得‧斯托克斯(Peter Stokes)擁有美國與愛沙尼亞雙重國籍,在網路上用過「Bouquet」「Jordan」等化名。資安研究者從 2022 年就開始追蹤這個帳號的動靜。檢方指出,這名少年涉入的第一起入侵,發生在他 16 歲那年。 他過的並不是躲在暗處的生活。根據 FBI 取得的社群帳號內容,斯托克斯在 Snapchat 上大方展示大把現金、名錶,以及刻著「HACK THE PLANET」(駭進全世界,出自 1995 年電影《駭客》 (https://www.imdb.com/title/tt0113243/)的經典台詞)的鑽石項鍊;還曬出自己在世界各地旅行的照片。檢方甚至提到,當事人一度貼出愛沙尼亞警局的照片,語帶挑釁地表示執法單位根本不知道自己放跑了誰。這些貼文後來成了呈堂證供的一部分。 他所屬的 Scattered Spider(又稱 Octo Tempest、UNC3944、0ktapus)並不是傳統印象裡「敲鍵盤找漏洞」的駭客。美國司法部指出,這個集團涉及超過 100 起網路入侵、造成逾一億美元的贖金損失,受害者包括拉斯維加斯的賭場、以及英國的多家企業與交通系統。他們最鋒利的武器,往往不是程式碼,而是一通電話。 ◆ 一通打進技術部門的電話 [圖片:Retro office setup with rotary phones, file cabinet, and red wood paneling in Ho Chi Minh City] 2025 年 5 月,目標是一家高級珠寶零售商(訴狀中僅以「Company F」代稱,未具名)。根據 FBI 說法,攻擊者用 Google Voice 門號打電話給該公司的 IT 技術部門,冒充被鎖在帳號外的員工,說服客服重設了密碼、以及綁定多重驗證(MFA)的手機。門,就這樣從裡面被打開了。 進入系統後,檢方指控攻擊者架設了一條 ngrok 隧道——這本是開發者常用的正當工具,用來把內部服務接到網際網路上,此處被拿來維持對公司資料中心的持續存取。接著,至少 77GB 的公司資料被複製走,緊跟著是一張八百萬美元加密貨幣的贖金要求。 但這一次,防守方沒有慌。該公司的資安團隊反應夠快,在勒索軟體被部署之前就把入侵者踢出網路,最終一毛贖金都沒付。即便如此,光是業務中斷、調查與善後,公司仍損失了至少兩百萬美元。這是一場攻擊者「進得去、拿到東西、卻沒能收網」的失敗勒索。 ◆ 那條沒擦掉的數位小尾巴 [圖片:lighted city at night aerial photo] 真正精彩的,是後來的追查。攻擊者很小心:註冊那個 ngrok 帳號時,用的是 VPN 代理伺服器的 IP,從網路連線上根本看不出是誰。照理說,這條線索到 VPN 就斷了。 又或者說,也不是完全斷了。根據訴狀,微軟的紀錄顯示:在同一個時間點,同一台 Windows 裝置——由那組全域裝置識別碼(GDID)代表——也造訪了 ngrok 的頁面。調查人員把那個 VPN 的 IP,對應到了一台「屬於斯托克斯的微軟裝置」。VPN 換掉了對外的 IP,卻沒能換掉裝置本身的身分。 有了這條線,剩下的就是把點連成線。這台裝置的 GDID,在不同時間出現過的 IP,恰好與檢方認定屬於斯托克斯的 Snapchat、Apple、Facebook 帳號在同一時間、同一地點登入的紀錄疊合:2024 年 6 月的愛沙尼亞塔林、同年 11 月的紐約、2025 年 2 月的泰國——而這些行程,還與美國國務院的出入境紀錄互相印證。一個躲在 VPN、隧道工具與假名背後的操作者,就這樣被接回到一個有名有姓、會在 Snapchat 曬鑽石項鍊的真人。他藏住了攻擊,卻沒藏住自己。(追查細節見 The Hacker News (https://thehackernews.com/2026/07/court-filing-reveals-windows-device-id.html)。) ◆ 其實,他早就被盯上了 耐人尋味的是,執法單位並不是這時候才知道他是誰。根據法院紀錄,微軟早在 2024 年 10 月就在一份刑事移交報告中指認了斯托克斯的真實身分——但當時他還未成年。實務上,對已知的網路犯罪者,執法單位往往會等到對方成年才動手。 於是時間快轉到 2026 年:國際刑警組織發出紅色通緝令,芬蘭警方在赫爾辛基機場攔下正要飛往日本的斯托克斯,查扣了那兩顆硬碟;隨後他被引渡到美國,於 6 月底在芝加哥聯邦法院出庭,面對共謀、網路入侵與詐欺等指控,並被裁定羈押。對調查這類鬆散跨國集團的探員來說,那兩顆硬碟裡的工具、基礎設施與聯絡人,也許比這一次的起訴更有價值——因為它們可能牽出下一個人。 ◆ 這起事件,留下什麼? 撇開戲劇性,這個案子對每個人——不管你是公司 IT、還是一般使用者——都留下了很實在的提醒。 ◆ • 破口在「人」,不在防火牆。攻擊沒有硬闖任何漏洞,而是靠一通電話騙過服務台。真正擋得住的,是重設帳號前更嚴格的身分驗證,基本,最少都要有兩步驟驗證,可以看〈兩步驟驗證是什麼?為什麼比密碼更重要 (/2fa/)〉。 • 匿名其實分兩層。VPN 藏得住連線的 IP,卻藏不住裝置本身的身分。想理解為什麼「換了 IP 還是被找到」,可以看〈換了 IP、開了 VPN,為什麼還是被找到?〉。 • 再高明的技術,也擋不住自己的嘴。把攻擊藏得滴水不漏,卻在社群上曬行程、曬戰利品——最會出賣人的,常常是自己。 如果你是一般使用者,看到這裡先別慌。故事裡那組 GDID 是執法單位偵辦犯罪時用到的能力,不是專門用來盯你的。想知道它對日常使用者到底有沒有影響、你可以做哪些簡單設定,可以看〈微軟的 GDID 是什麼? (/what-is-gdid/)〉。 斯托克斯的案件仍在審理中,在定罪之前,他推定無罪。但這個故事已經把一件事說得很清楚:在今天,技術上的隱形從來不是真正的隱形——你用的裝置會留下身分,你分享的生活會留下座標。對想作惡的人,這是天羅地網;對想保護自己的人,這是一堂該認真上的課。 ◆ 參考來源 • 主要來源|美國司法部新聞稿與美國訴 Peter Stokes 刑事訴狀(伊利諾州北區聯邦地方法院,2026 年 7 月解封):DOJ 新聞稿 (https://www.justice.gov/opa/pr/alleged-member-criminal-cyber-hacking-group-scattered-spider-arrested-finland-and-extradited) • The Hacker News,Windows 裝置識別碼協助追查本案之報導:連結 (https://thehackernews.com/2026/07/court-filing-reveals-windows-device-id.html) • CyberScoop,斯托克斯背景與追蹤時間線:連結 (https://cyberscoop.com/scattered-spider-peter-stokes-cybercrime-extradition/) • The Record(Recorded Future News),引渡與案情細節:連結 (https://therecord.media/teen-suspect-in-scattered-spider-hacks-extradited-to-us) • Cybersecurity Dive,外洩資料量與化名等細節:連結 (https://www.cybersecuritydive.com/news/member-scattered-spider-extradited-us-retailer/824476/) ────────────────────────────── 來源:https://ethome.cc/scattered-spider-bouquet-device-id/ ethome.cc — 生活化的資安科普