- 天下Web only
2025年5月,台灣大罷免運動吵得正熱,一封以國際調查記者同盟(ICIJ)名義寄出的採訪邀約,正悄悄流入台灣。
「您好,我是Yi-Shan Chen,現任職於國際調查記者同盟(ICIJ)……鑑於國民黨與民眾黨對賴清德總統提出罷免與彈劾的政治行動,引發台灣社會與國際媒體高度關注,我們希望能邀請您接受一次深度專訪,從公民社會的視角出發,探討以下議題。」
收到這封信的,是台灣網路媒體沃草的營運長洪國鈞。
寄出信的Yi-Shan Chen,不是別人,正是《天下雜誌》總編輯陳一姍的英文名字。
2016年,《天下》受邀參與ICIJ巴拿馬文件專案,調查全球富豪如何藏富於離岸天堂。一年後,陳一姍也成為ICIJ正式會員,並持續參與後續的跨國調查。
看起來,陳一姍用ICIJ的頭銜邀採訪,並不奇怪。但洪國鈞收到信後,卻隱約覺得不對勁。
「我跟Yi-Shan Chen不認識、也沒接觸過,」洪國鈞接受《天下》採訪時回憶。距離他第一次收到信,已過去大半年。
「最怪的是,對方的email不是ICIJ的官方郵件,」洪國鈞指著螢幕上的寄件人地址,使用的是Gmail免費帳號,命名還像個免洗帳號——[email protected]。
洪國鈞的直覺沒有錯。《天下》近半年調查發現,Yi-Shan Chen根本不是《天下》總編輯本人,而是來自中國的間諜威脅。
洪國鈞也不是唯一被接觸的對象。這背後,受影響的不只台灣,更是一場中國跨國間諜活動的最新曝光。
中國間諜為何要冒名ICIJ?
過去一年,除了陳一姍外,ICIJ還有兩名記者被冒名用來接觸維吾爾族、西藏、台灣和香港的人權工作者或社群。就連台灣駐外大使,都被假冒的歐美ICIJ成員聯繫。
為什麼要冒名ICIJ?
「從時間點來看,可能與我們去年4月做的中國如何跨國鎮壓異議人士的『中國箭靶 』(China Targets)系列調查有關,」負責中國箭靶調查專案的ICIJ記者阿萊奇(Scilla Alecci)推測。但《天下》並未參與此項專案,也未列名其上。(看更多:ICIJ調查報導)
在台灣,我們掌握這名冒名者至少聯繫了5人,他們橫跨台灣媒體、經濟智庫、民進黨籍市議員、立委助理等。其中一位還曾在國安會工作。
而地點也不限台灣,連遠在美國非營利組織的工作者都被接觸。
真實的陳一姍在去年4月11日,獲知有第二起冒名案後,立刻向警方與調查局報案,配合調查。但之後,「假陳一姍」仍持續接觸不同人,手段也幾乎一樣。
一開始,冒名窗口,都先以邀約採訪的方式釣魚。
在洪國鈞之前,小威(化名)是冒名者最早接觸的對象。
小威在隸屬立法院外交國防委員會的某立委辦公室上班,去年3月,他才剛到職1個月,ㄧ天,他的Line突然跳出「假陳一姍」的問候。
對方用繁體中文自述,自己是《天下》的主編「陳懿珊(Yi-Shan Chen)」、台大新聞學院講師、來自ICIJ,透過台大新聞研究所,因此聯繫到小威。
「您好,請多多指教!」對方帳號不但有本人的大頭照,連頭銜和經歷都報上,就算名字和職稱明顯有誤,但小威不疑有他,立刻傳了貼圖問好。
接下來,對方丟出採訪主題:「近期澤倫斯基與美國總統川普之間的關係,是否會影響到台灣?」
突如其來的大哉問,讓小威再次確認為什麼找上他?對方辯解,要廣泛蒐集台灣民眾建議,小威才開始在Line裡展開對話。
聊了幾分鐘,冒名者突然話鋒一轉:「您的觀點很獨特,如果可以,希望可以透過郵箱採訪您。」
一週後,小威收到一封郵件,地址來自知名加密email服務商Proton郵箱,附上加密的採訪大綱,引導小威解鎖下載。
而這,才是對方設局的開始。
攻擊的不是系統,是人
「這是常見的社交工程攻擊手段,」長期關注中國駭客族群與攻擊事件的台灣資安公司TeamT5網路威脅分析師張哲誠說,「對方先偽裝成你認識的人,讓你點開夾帶惡意連結或惡意程式的檔案。」
以小威的經歷來說,他被引導下載的訪綱,後來追查,其實夾帶惡意程式。
而洪國鈞後來收到的訪綱,甚至是對方用Google繪圖平台,「畫」出來的假Google文件,不但跟真實文件長得一模一樣,還刻意引導洪國鈞輸入真實的Google帳號和密碼登入。
也就是說,和駭客直接駭進系統、跑到主機埋藏惡意程式不同,社交工程攻擊直接瞄準的是「人」,消耗的是人與人之間的信任。
《天下》在截稿前,沒有發現任何被接觸的對象中了圈套、打開惡意程式,幾乎所有人都主動與《天下》編輯部求證。調查局目前也仍在調查冒名的Line帳號。
但故事並沒有停在這。
因為對方惡意足跡遍布,反倒讓我們有了機會可以反向調查。
《天下》與加拿大多倫多大學公民實驗室(Citizen Lab)、TeamT5分頭合作發現,這波冒名者的攻擊,連結到的惡意網域,都託管在中國威脅者常用的雲端或網路基礎設施。並且,網域表面像一般普通網站,但背後都導向同個主網域 「entruhub.com」,代表很可能是同一個攻擊者在操作。(看更多:加拿大多倫多大學公民實驗室調查報告)
再往下追,可以看到主網域底下,有多個像亂碼的子網域,甚至都導向同一個IP位置。也就是說,看起來有不同入口,但最後都通往同一棟大樓。
而這個IP位置,也讓我們意外發現,去年在美國資安大廠Proofpoint的報告中,它早已現身。
追查幕後黑手,竟指向半導體網攻事件
去年7月,Proofpoint發現「UNK_SparkyCarp」在內的3~4家中國駭客團體,瞄準15到20家台灣半導體企業,刻意假冒成求職者或投資者,向廠商、甚至半導體分析師發送問題,同時夾帶惡意連結或檔案。
和我們手上的冒名案一比,除了網域導向同個IP位置,釣魚手法也近乎雷同。
多倫多大學公民實驗室甚至發現,這波攻擊目標,過去一年不只冒名ICIJ,有超過一百個相似網域架構,鎖定了十多位維吾爾族、西藏、香港和台灣的人權工作者。
| 鎖定社群 | 主要攻擊手法 |
|---|---|
| 台灣人權與政治團體 | 冒充ICIJ記者接觸 |
| 維吾爾族人權團體 | 冒充記者、電影導演、歐洲議會議員等接觸;寄送偽造安全警示的email,引導使用者前往釣魚頁面 |
| 西藏人權團體 | 寄送偽造安全警示的email,引導使用者前往釣魚頁面 |
| 香港人權團體 | 寄送偽造安全警示的email,引導使用者前往釣魚頁面 |
| 資料來源:加拿大多倫多大學公民實驗室 | |
目前無法確認「UNK_SparkyCarp」是否接受中國國安部、公安部、中共中央統戰部、或是解放軍的指揮。但可以確定的是,這場看似針對ICIJ記者的冒名行動,早被國際資安圈標記為中國廣泛間諜行動的一環。
面對這波行動,中國駐美國大使館發言系統回覆ICIJ時,如此回應:「追查網路攻擊來源是項複雜的技術。我們希望相關單位能秉持專業和負責任的態度,在對網路事件進行定性時,應基於充分證據,而非憑空臆測和指控。中國一貫反對並嚴厲打擊任何形式的網路攻擊。」
參與去年那份研究報告的Proofpoint分析師凱利(Mark Kelly)分析,若一開始就發送惡意連結或軟體,很容易被資安公司偵測;但先建立對話與信任、再發送惡意內容,不但難以被偵測,也容易讓受害者點擊。
而且,對方詢問的問題都不是太高級的情報,例如問人權組織的聯絡方式、問大罷免的觀察,幾乎都能在網上公開查詢。
特別在這次冒名案,對方願意花時間跟資源跟被釣者慢慢耗,互動可以長達快一年。甚至,聊到最後,對方還主動想給其中兩位被接觸者實體三星手機,方便聯繫。儘管最後沒有人順利取得手機,但行動明目張膽又誇張。
「以金錢為動機的攻擊者,比較少會長時間與目標來回互動,」凱利說,「這已不只是社交工程攻擊,而是非常典型的『間諜活動 』。」
這對長期關注中國情報戰的人來說,並不意外。看在專家眼裡,這套手法,甚至還停在建立關鍵人脈肖像(profiling)的「前哨戰」。
長期追蹤中國資訊威脅的立委沈伯洋觀察,早在疫情期間,就曾有假冒智庫學者的團體,接觸台灣政界、甚至還有退休官員。「推測是疫情期間,他們人來不了,對台灣掌握變成高度不確定性,開始往這模式走。」
一開始,對方先問些不重要的問題、降低對方戒心,久了才開始提供「稿費」或「訪談費」,一步步引導你進入情報交換的金錢交易。
「他可以丟一百個訊息出去,只要有一個成功就夠了,」沈伯洋說。
可以亂槍打鳥,因為接觸成本實在很低。
一名國安官員透露,目前被國安法起訴的案例,曾出現類似長時間被接觸的過程。但這次不同,接觸管道全靠網路平台,難就難在,檢察官可以從個資法、偽造文書進行起訴,被冒名者也可以提告刑事的妨礙名譽,但若犯罪人在境外,幾乎難以起訴。
看起來諜影重重、難以杜絕,但這起跨國冒名記者案例,卻也透露中國間諜情報戰的趨勢和限制。
間諜也會下班?情報蒐集外包化
兩年前,TeamT5意外在網上發現中國資安企業安洵的合約和對話文件。
流出的文件顯示,安洵承包中國解放軍、國安部或公安部的委託,廣泛參與網路間諜活動。這也讓外界第一次看到,中國私人企業如何大規模地加入國家級間諜和駭客行動,幾乎背後有一套完整的產業鏈。
這次ICIJ冒名案,其實也流露私人團體參與的痕跡。
「和國家級駭客組織相比,這次惡意網址的網域群集,有點太容易被追到,」曾任蘋果安全部門、美國海軍陸戰隊網路部隊作戰主任,公民實驗室資深研究員布朗(Rebekah Brown)說。
一名國安官員也觀察,從對方談話內容、還有只在上班時間回話,很可能有上下班制,「不太像出自中國國安部門,中間似乎又隔了一層,」他暗示,這次手法更像外包的網路輿情公司。
這也反映出,中國公私協力的情報蒐集網,仍持續運作。如今,蒐集的關鍵節點,更從傳統的軍方和政界,延伸到冒用記者,接觸關鍵人脈、還有更廣泛的公民社會。
回顧歷史,東德曾建立全球最龐大的情報體系,擁有無所不在的監控機器。但最終,政權沒有更穩固,反而累積大量無用情報、加速體制的空洞化。
當中國竭盡所能地打造情報網,不要忘了,它同時也在累積不安和脆弱。
民眾自救》面對間諜釣魚,如何自保?
如何避免被釣魚詐騙:
- 先檢查對方寄信網域,確認是否與所屬組織有關
- 不要點擊信件或通訊軟體內來源不明的連結或檔案
- 請對方提供能識別身分的資訊,例如名片或手機號碼,用最傳統的方式確認
- 可自行上網找尋聯絡電話或公司信箱,透過第二管道確認是否為本人聯繫
如何避免被冒名盜用:
- 對外使用官方email聯繫,建立身分識別
- 使用加密的通訊軟體,email、社群帳號和通訊軟體開啟「兩步驟驗證」,防止密碼外洩而導致的帳號盜用
- 若Line帳號被偽冒、身分資訊被濫用,如有人在Line中使用你的全名、自稱某企業主管,被冒名者可點選Line對話窗右上角的三條線 >設定>檢舉>假冒他人,檢舉該帳號,同時寫信給客服提供侵權主張相關證明
- 在社群平台上,公開聲明身分近期被冒用,提醒外界已有假帳號
資料來源:採訪整理、Line官方
(責任編輯:曹凱婷)
