世界杯上，进球的花样多，犯罪的花样更多

原创 方点点 果壳

1985 年的一天，三千多名“幸运观众”收到华盛顿州一场足球赛的免费赠票邀请，需要他们在某日上午 9 点前往华盛顿会议中心的一处早午餐会兑换。当天，一百多人欣然赴约。

然后被一网打尽。

实际上，这份邀请函来自一家虚构公司，设局者是来自美国大都会警察局和其他各地的执法人员，而“幸运观众”则是各种刑事犯罪逃犯。警方试探性地向这 3000 多名逃犯的最新通讯地址发送邀请，并亲自扮演引座员、清洁工、餐饮人员，甚至还有体育电视台的官员。

警察亲自扮演工作人员｜U.S. Marshals Service

这样朴素又挺有创意的方法，在今天已成历史，但大型体育赛事依旧是警察与罪犯共同紧盯的机会。犯罪与追捕不再需要笨拙的手法，现在的套路里，技术扮演着重要角色。

今年的世界杯接近尾声，观赛人数已达 20 亿。在这样一个万众瞩目的盛会中，“聪明”的罪犯们又整出了哪些新花样呢？

价格为$0.000000000001202的世界杯虚拟币

本届世界杯期间，大量不同背景的虚拟货币出现，最为常见的是粉丝代币（Fan Token），由俱乐部或国家队发行，持有者在表达对球队支持的同时，还能获得 VIP 席位、参与俱乐部管理等权益。代币的价值也可随着俱乐部的发展而上涨。

非官方背景的粉丝代币也如雨后春笋般冒出，大多包含“世界杯”“卡塔尔”“足球”“狗狗”等关键词。Football INU（足球狗狗）就是这样一款非官方代币。该币的标志是一只头戴粉紫色眼罩、穿粉紫色运动衣的狗狗，据部署者介绍，它们的主要目标是成为世界杯的吉祥物，并与足球巨星建立合作。

部署者还有更大的野心——希望复制现实足球生态，打造一个元宇宙版的足球世界。它规划了一系列功能，比如让玩家创建、培养和交易自己的 NFT 足球运动员，组建球队和俱乐部，甚至运营体育场馆等。

Football INU官网｜网页截图

大饼一推，吸引了好些寻找机会的球迷。历史数据显示，该币 24 小时交易量达到 25 万美元，在非官方的世界杯代币中已算不错。

但两周之后，就有多位投资者指出，该币无法正常出售，也有评论者称自己在该币的 Telegram 频道提出质疑时被移出群聊。目前，大部分交易平台上已无法正常查询到该币的记录。

推特上投资者向开发者提问，为何无法售出自己的代币｜作者截图

种种迹象表明，这很可能是一次打着“世界杯”名号的退出（Rug Pull）骗局。

在这类骗局中，部署者会在智能合约中植入恶意代码，让自己能禁止投资者转售代币、修改余额等。这样，投资者就会不知不觉被“套牢”，无法撤出资金。

他们先以各种方式吸引投资者进场。世界杯这种四年一度的盛事，更是天然的噱头。当投资者足够多时，部署者就在短时间内抛售，将代币兑换成其他加密货币，而被抛售的代币价格则迅速归零。本文写作时，该币的交易价格仅为$0.000000000001202（省流：到小数点后 15 位）。

这不会是唯一的一场退出骗局，毕竟世界杯是虚拟货币届最爱的赛事之一。根据加密货币平台 KuCoin 的调查，有近 70% 的投资者密切关注世界杯，48% 的投资者有意向进行交易。

全能通行证=全能大漏洞？

还有一个惊天漏洞，握在每一位入境球迷手中。

临时签证哈亚卡（Hayya Card）是东道主卡塔尔力推的应用。它是世界杯期间的限定“一码通”，主要在入境、入场、乘坐公共交通时使用。

哈亚卡申请网站｜网页截图

申请者通过邮箱注册账号后，申请页面依次要求提交有效的票据编号、外国游客证件照、护照照片，联系电话和紧急联系人等。申请通过后，哈亚卡将成为每位球迷在卡塔尔的全能通行证。

但也成为一个全能漏洞。

网络安全公司 SOCRadar 和 Recorded Future 都称，他们在暗网黑市中监测到有人售卖标记着哈亚卡申请主页“qatar2022.qa”的账户数据包。这些数据包分布在不同的暗网商店，已发现的就有 181 个。大多数数据包都与子域“hayya.qatar2022.qa”关联，正是注册哈亚卡的系统域名。这意味着，申请哈亚卡的球迷数据很可能已经泄露，成为某种程度上的透明人。

插图：SOCRadar报告截图显示，部分暗网商店出现了与哈亚卡相关的数据包｜报告截图

报告透露的信息表明，这些哈亚卡相关数据可能包含会话 cookie、IP 地址、浏览器指纹和受害者帐户密码等。一旦落入他手，对方便能访问受害者账户，获取包括商业电子邮件在内的敏感信息。这些数据通过加密货币进行出售，定价依账户数量、类型和受害者所在地而定。

不仅哈亚卡，被称为卡塔尔健康宝的 Ehteraz 也有类似隐忧爆出。IT 杂志 The Register 刊文称，Ehteraz 应用允许服务器远程访问用户图片、视频（尽管该应用否认这一点），自动拨打电话，还要求后台定位服务始终保持开启状态。这种情况甚至能持续到用户离开卡塔尔。有鉴于此，德国、法国、挪威的数据保护相关机构都建议本国旅客慎重安装。

蹭热点的电脑病毒

1998 年法国世界杯冠军赛当天，流行起一款叫 ZMK 的病毒，也叫世界杯狂热（World Cup Fever）或世界杯 98（WorldCup 98）。之所以得名，大概是因为其行为仿佛狂热球迷的玩笑：感染者打开 word 文档，电脑会弹出一个法语对话框，在 9 个队伍中，挑选你认为会夺冠的队。选中了安全过关，选错了电脑拜拜。

这是一场赌博，唯一的“正确答案”并不来自现实中的赛况，而是来自病毒的随机挑选。有 8/9 的几率，你会收到病毒的“遗憾道歉”，同时病毒被激活。它含有两个随机激活的路径，一个会用含有“98 世界杯真是太棒了! ! ！”的指令覆盖你的文件；另一个则删除你的重要系统文件。

好在目前还没有与 2022 年卡塔尔世界杯相关的电脑病毒的消息。上面提到病毒在目前的防护软件面前已经基本构不成威胁，取而代之的是如勒索软件这样更隐蔽、破坏力也更大的新型恶意程序。

总之，大型活动和纪念日是病毒（不管是电脑还是自然界）的高发期，开启防护，不轻易点击来路不明的链接和文件总是没有错的。

搅浑水的假信息

2017 年 7 月 15 日晚，一篇名为《部分阿拉伯国家要求国际足联撤销卡塔尔举办 2022 年世界杯资格》的文章出现在与瑞士媒体 The Local 极为相似的刊文网站上。文章引述国际足联主席詹尼·因凡蒂诺的消息，称沙特联合其他五国以卡塔尔支持恐怖主义为由，要求取消该国举办世界杯的资格。

路透社的转发｜网页截图

当时卡塔尔正值外交危机，与沙特等国关系恶化，这条消息无疑会搅动地区风云。该文章随后被转载扩散，受到各路媒体的关注和引用，其中包括路透社这样的知名媒体。

进入公众视野后，这则消息引来了更多转发。一些自称为记者、学者的账号开始在推特等社交媒体扩散以上文章链接，或在其他第三方平台撰文并对这一“新闻”加以引用，其中不乏有一定影响力的人士。

半岛电视台英语频道新闻编辑的转发，他有10.5k粉丝｜推特截图

一圈一圈的转发中，这则新闻声势越来越大。

然而，仅仅一天后，The Local 联合创始人就否认了该文与 The Local 的关系，并称刊载文章的网站为仿造。紧接着，路透社、BBC 等多家媒体也对此做了澄清，撤回了不实文章。

多伦多大学蒙克国际研究中心下属的跨学科实验室公民实验室（Citizen Lab）溯源了最初转载该文章的几个个人账号，发现这则假新闻很可能与一个名为“无尽蜉蝣（Endless Mayfly）”的虚假信息散布网络组织有关。

这则假新闻很可能与虚假信息散布网络组织有关｜Giphy

这是一个从 2016 年起就开始运作的组织，拥有大量的仿造网站和个人账号，特点是散播针对沙特、美国和以色列的负面假新闻。组织会在短时间后删除这些假新闻，但舆论已被搅动，继而影响地缘政治局势。

大型赛事里，假消息从来不会缺席。这些消息来源繁多，一些可能只是煽动情绪、供人猎奇或擦边营销，但另一些则可能有组织、成规模，背后有黑客团体甚至某些国家的支持。近些年，我们一次次目睹舆论在现实中产生的旋涡，真假难辨、影响范围又极大的各类消息成了现实中获取利益、力量博弈的一把“暗器”。世界杯自然也不能幸免。

一张 C 罗送给你的免费球票有待领取

当然，大家最有可能遇到的还是“恭喜你抽中免费门票”、“我是 C 罗，给我打钱”这类的诈骗信息。

2021年10月到2022年10月间，网络安全公司Recorded Future 就录得 669 次与卡塔尔世界杯相关的网络钓鱼事件，涉及世界杯的多个环节，包括比赛赠票、免费直播、住宿和机酒预订等。

还有的诈骗团队会搭建与世界杯官方网站相似的假网站。同样是在截至 2022 年 10 月的一年间，至少有近千个带有“fifa.com”或其他世界杯关键词的域名出现。

部分与官方域名相似的假网站｜作者截图

还有一些骗子不仅要冒充世界杯官方，还要冒充与本届世界杯有关系的第三方。网络安全公司 Group-IB 爆料，有一家犯罪团伙以卡塔尔一家颇有实力的石化公司名义发放调查表格，称完成表格的人将获得公司赠送的世界杯门票。

还有的诈骗团队盯上了想在世界杯上找工作的人，它们制作假的求职网站（对，是网站而不是职位），还在社交平台上创建 30 多个页面来推广网站，颇费一番功夫。

这些诈骗大多要求受害者提交姓名、护照、电话、住址、金融账号、支付密码等信息，进可盗取财物，退可出售身份信息。有的信息或网站还带有恶意链接，可以让恶意程序在不知不觉中植入受害者设备。

也有好消息

不要太灰心，体育赛事即是技术犯罪的温床，也是技术辅助安保的好时机。人脸识别就是一个案例。

早在 2001 年，美国的超级碗比赛就秘密应用了人脸识别，从 71,000 名与会者中产生了 19 次可能的面部匹配（由于为实验性质，当时没有进行抓捕）。2008年的北京奥运会、2014年的巴西世界杯，2016年的里约奥运会，包括2021年的东京奥运会，人脸识别都是重要的安保措施。

面部识别｜wikimedia commons

大型赛事里的人脸识别大多用于运动员、记者、赛事工作人员等专业人士的通行。主办方将事先录入的面部图像与带有 IC 芯片的通行证信息关联后，再向有关人员发放通行证。通过匹配面部图像与通行证信息，入场者就能像高铁检票口刷卡一样顺畅进入，不仅能防止通行证盗用冒用，还能减少人员聚集，减轻现场工作人员的负担。

除了通行，人脸识别还有一个能力——抓逃犯。英国南威尔士警方就在大型赛事中用 AI 面部识别辨认在逃嫌犯。这款程序能自动从摄像头拍摄的画面中提取人脸，与储存了 50 万罪犯嫌疑人图像的数据库进行搜索匹配，从中识别出在逃人员。

人脸识别还有一个能力，抓逃犯｜Giphy

不过抓逃犯的错误率有些高，在 2017 年的欧冠联赛决赛期间，这套 AI 系统发出了 2470 次警报，但里面 2297 次都是错报，错误率高达 92%。此后，该系统经历多次调试，在后来的 15 场体育赛事和音乐节中再度投入使用，但错误率一直极高。

根据美国一项研究，人脸识别算法或多或少存在年龄、种族、民族偏见，非白人族裔的识别错误率一直偏高。

2019 年，南威尔士的面部识别系统还被告上法庭。法院裁定这套系统违反人权法，在隐私方面没有进行令人满意的评估，也未考虑阻止算法在性别、种族方面的偏见。

不过，南威尔士警方依旧死磕人脸识别。今年 3 月，警方在加迪夫市中心恢复了面部识别系统的部署，至今已在两场体育赛事中投入使用。

不知道 AI 这次有没有认准一些。

参考文献

[1]https://www.usmarshals.gov/whoweare/aboutus/history/historical-reading-room/fugitiveinvestigative-strike-teams-no-such-thing-free-lunch

[2]https://footballinu.net/

[3]https://coinmarketcap.com/currencies/football-inu/

[4]https://socradar.io/fifa-world-cup-2022-qatar-dark-web-phishing-landscape-analysis/

[5]https://www.recordedfuture.com/fielding-cyber-influence-and-physical-threats-to-2022-fifa-world-cup-in-qatar

[6]https://www.theregister.com/2022/11/11/world_cup_security/

[7]https://www.f-secure.com/v-descs/zmk.shtml

[8]Lim, G., Maynier, E., Scott-Railton, J., Fittarelli, A., Moran, N., & Deibert, R. (2019). Burned after reading: Endless Mayfly’s ephemeral disinformation campaign.

[9]https://www.groupib.com/mediacenter/pressreleases/scammers-on-the-pitch/

[10]https://abcnews.go.com/Technology/storyid=98871&page=1

[11]https://www.theguardian.com/uk-news/2018/may/05/welsh-police-wrongly-identify-thousands-as-potential-criminals

[12]https://www.south-wales.police.uk/police-forces/south-wales-police/areas/about-us/about-us/facial-recognition-technology/deployments-for-live-facial-recognition/

作者：方点点

阅读原文