Close-up of the word 'HACKER' made with letter tiles on a red background, emphasizing cybersecurity.

2026 年 4 月 10 日,芬蘭赫爾辛基機場。一名 19 歲少年正準備登上飛往日本的班機,隨身帶著兩顆 2TB 的硬碟。就在閘門前,芬蘭警方上前攔下——一紙國際刑警組織的紅色通緝令,讓這趟旅程在登機口戛然而止。三個月後,這名少年出現在美國芝加哥的聯邦法庭上。

檢方指控,他是惡名昭彰的網路犯罪集團 Scattered Spider 的成員。而讓調查人員一路追到他本人的關鍵,不是什麼高深的破解,而是一組他大概從沒注意過的東西:Windows 電腦裡一枚拔不掉的裝置編號。以下故事根據 FBI 訴狀與公開報導整理;在定罪之前,當事人推定無罪。

化名「Bouquet」的少年

圖:電影《駭客》 劇照(IMDB)

根據訴狀,彼得‧斯托克斯(Peter Stokes)擁有美國與愛沙尼亞雙重國籍,在網路上用過「Bouquet」「Jordan」等化名。資安研究者從 2022 年就開始追蹤這個帳號的動靜。檢方指出,這名少年涉入的第一起入侵,發生在他 16 歲那年。

他過的並不是躲在暗處的生活。根據 FBI 取得的社群帳號內容,斯托克斯在 Snapchat 上大方展示大把現金、名錶,以及刻著「HACK THE PLANET」(駭進全世界,出自 1995 年電影《駭客》的經典台詞)的鑽石項鍊;還曬出自己在世界各地旅行的照片。檢方甚至提到,當事人一度貼出愛沙尼亞警局的照片,語帶挑釁地表示執法單位根本不知道自己放跑了誰。這些貼文後來成了呈堂證供的一部分。

他所屬的 Scattered Spider(又稱 Octo Tempest、UNC3944、0ktapus)並不是傳統印象裡「敲鍵盤找漏洞」的駭客。美國司法部指出,這個集團涉及超過 100 起網路入侵、造成逾一億美元的贖金損失,受害者包括拉斯維加斯的賭場、以及英國的多家企業與交通系統。他們最鋒利的武器,往往不是程式碼,而是一通電話。

一通打進技術部門的電話

Retro office setup with rotary phones, file cabinet, and red wood paneling in Ho Chi Minh City's Independence Palace.

2025 年 5 月,目標是一家高級珠寶零售商(訴狀中僅以「Company F」代稱,未具名)。根據 FBI 說法,攻擊者用 Google Voice 門號打電話給該公司的 IT 技術部門,冒充被鎖在帳號外的員工,說服客服重設了密碼、以及綁定多重驗證(MFA)的手機。門,就這樣從裡面被打開了。

進入系統後,檢方指控攻擊者架設了一條 ngrok 隧道——這本是開發者常用的正當工具,用來把內部服務接到網際網路上,此處被拿來維持對公司資料中心的持續存取。接著,至少 77GB 的公司資料被複製走,緊跟著是一張八百萬美元加密貨幣的贖金要求。

但這一次,防守方沒有慌。該公司的資安團隊反應夠快,在勒索軟體被部署之前就把入侵者踢出網路,最終一毛贖金都沒付。即便如此,光是業務中斷、調查與善後,公司仍損失了至少兩百萬美元。這是一場攻擊者「進得去、拿到東西、卻沒能收網」的失敗勒索。

那條沒擦掉的數位小尾巴

lighted city at night aerial photo

真正精彩的,是後來的追查。攻擊者很小心:註冊那個 ngrok 帳號時,用的是 VPN 代理伺服器的 IP,從網路連線上根本看不出是誰。照理說,這條線索到 VPN 就斷了。

又或者說,也不是完全斷了。根據訴狀,微軟的紀錄顯示:在同一個時間點,同一台 Windows 裝置——由那組全域裝置識別碼(GDID)代表——也造訪了 ngrok 的頁面。調查人員把那個 VPN 的 IP,對應到了一台「屬於斯托克斯的微軟裝置」。VPN 換掉了對外的 IP,卻沒能換掉裝置本身的身分。

有了這條線,剩下的就是把點連成線。這台裝置的 GDID,在不同時間出現過的 IP,恰好與檢方認定屬於斯托克斯的 Snapchat、Apple、Facebook 帳號在同一時間、同一地點登入的紀錄疊合:2024 年 6 月的愛沙尼亞塔林、同年 11 月的紐約、2025 年 2 月的泰國——而這些行程,還與美國國務院的出入境紀錄互相印證。一個躲在 VPN、隧道工具與假名背後的操作者,就這樣被接回到一個有名有姓、會在 Snapchat 曬鑽石項鍊的真人。他藏住了攻擊,卻沒藏住自己。(追查細節見 The Hacker News。)

其實,他早就被盯上了

耐人尋味的是,執法單位並不是這時候才知道他是誰。根據法院紀錄,微軟早在 2024 年 10 月就在一份刑事移交報告中指認了斯托克斯的真實身分——但當時他還未成年。實務上,對已知的網路犯罪者,執法單位往往會等到對方成年才動手。

於是時間快轉到 2026 年:國際刑警組織發出紅色通緝令,芬蘭警方在赫爾辛基機場攔下正要飛往日本的斯托克斯,查扣了那兩顆硬碟;隨後他被引渡到美國,於 6 月底在芝加哥聯邦法院出庭,面對共謀、網路入侵與詐欺等指控,並被裁定羈押。對調查這類鬆散跨國集團的探員來說,那兩顆硬碟裡的工具、基礎設施與聯絡人,也許比這一次的起訴更有價值——因為它們可能牽出下一個人。

這起事件,留下什麼?

撇開戲劇性,這個案子對每個人——不管你是公司 IT、還是一般使用者——都留下了很實在的提醒。

  • 破口在「人」,不在防火牆。攻擊沒有硬闖任何漏洞,而是靠一通電話騙過服務台。真正擋得住的,是重設帳號前更嚴格的身分驗證,基本,最少都要有兩步驟驗證,可以看〈兩步驟驗證是什麼?為什麼比密碼更重要〉。
  • 匿名其實分兩層。VPN 藏得住連線的 IP,卻藏不住裝置本身的身分。想理解為什麼「換了 IP 還是被找到」,可以看〈換了 IP、開了 VPN,為什麼還是被找到?〉。
  • 再高明的技術,也擋不住自己的嘴。把攻擊藏得滴水不漏,卻在社群上曬行程、曬戰利品——最會出賣人的,常常是自己。

如果你是一般使用者,看到這裡先別慌。故事裡那組 GDID 是執法單位偵辦犯罪時用到的能力,不是專門用來盯你的。想知道它對日常使用者到底有沒有影響、你可以做哪些簡單設定,可以看〈微軟的 GDID 是什麼?〉。

斯托克斯的案件仍在審理中,在定罪之前,他推定無罪。但這個故事已經把一件事說得很清楚:在今天,技術上的隱形從來不是真正的隱形——你用的裝置會留下身分,你分享的生活會留下座標。對想作惡的人,這是天羅地網;對想保護自己的人,這是一堂該認真上的課。

參考來源

  • 主要來源|美國司法部新聞稿與美國訴 Peter Stokes 刑事訴狀(伊利諾州北區聯邦地方法院,2026 年 7 月解封):DOJ 新聞稿
  • The Hacker News,Windows 裝置識別碼協助追查本案之報導:連結
  • CyberScoop,斯托克斯背景與追蹤時間線:連結
  • The Record(Recorded Future News),引渡與案情細節:連結
  • Cybersecurity Dive,外洩資料量與化名等細節:連結