世界杯上，进球的花样多，犯罪的花样更多

1985 年的一天，三千多名“幸运观众”收到华盛顿州一场足球赛的免费赠票邀请，需要他们在某日上午 9 点前往华盛顿会议中心的一处早午餐会兑换。当天，一百多人欣然赴约。

然后被一 打尽。

实际上，这份邀请函来自一家虚构公司，设局者是来自美国大都会警察局和其他各地的执法人员，而“幸运观众”则是各种刑事犯罪逃犯。警方试探性地向这 3000 多名逃犯的最新通讯地址发送邀请，并亲自扮演引座员、清洁工、餐饮人员，甚至还有体育电视台的官员。

警察亲自扮演工作人员｜U.S. Marshals Service

这样朴素又挺有创意的方法，在今天已成历史，但大型体育赛事依旧是警察与罪犯共同紧盯的机会。犯罪与追捕不再需要笨拙的手法，现在的套路里，技术扮演着重要角色。

今年的世界杯接近尾声，观赛人数已达 20 亿。在这样一个万众瞩目的盛会中，“聪明”的罪犯们又整出了哪些新花样呢？

本届世界杯期间，大量不同背景的虚拟货币出现，最为常见的是粉丝代币（Fan Token），由俱乐部或国家队发行，持有者在表达对球队支持的同时，还能获得 VIP 席位、参与俱乐部管理等权益。代币的价值也可随着俱乐部的发展而上涨。

非官方背景的粉丝代币也如雨后春笋般冒出，大多包含“世界杯”“卡塔尔”“足球”“狗狗”等关键词。Football INU（足球狗狗）就是这样一款非官方代币。该币的标志是一只头戴粉紫色眼罩、穿粉紫色运动衣的狗狗，据部署者介绍，它们的主要目标是成为世界杯的吉祥物，并与足球巨星建立合作。

部署者还有更大的野心——希望复制现实足球生态，打造一个元宇宙版的足球世界。它规划了一系列功能，比如让玩家创建、培养和交易自己的 NFT 足球运动员，组建球队和俱乐部，甚至运营体育场馆等。

Football INU官 ｜ 页截图

大饼一推，吸引了好些寻找机会的球迷。历史数据显示，该币 24 小时交易量达到 25 万美元，在非官方的世界杯代币中已算不错。

但两周之后，就有多位投资者指出，该币无法正常出售，也有评论者称自己在该币的 Telegram 频道提出质疑时被移出群聊。目前，大部分交易平台上已无法正常查询到该币的记录。

全能通行证=全能大漏洞？

还有一个惊天漏洞，握在每一位入境球迷手中。

临时签证哈亚卡（Hayya Card）是东道主卡塔尔力推的应用。它是世界杯期间的限定“一码通”，主要在入境、入场、乘坐公共交通时使用。

哈亚卡申请 站｜ 页截图

插图：SOCRadar 告截图显示，部分暗 商店出现了与哈亚卡相关的数据包｜ 告截图

告透露的信息表明，这些哈亚卡相关数据可能包含会话 cookie、IP 地址、浏览器指纹和受害者帐户密码等。一旦落入他手，对方便能访问受害者账户，获取包括商业电子邮件在内的敏感信息。这些数据通过加密货币进行出售，定价依账户数量、类型和受害者所在地而定。

不仅哈亚卡，被称为卡塔尔健康宝的 Ehteraz 也有类似隐忧爆出。IT 杂志 The Register 刊文称，Ehteraz 应用允许服务器远程访问用户图片、视频（尽管该应用否认这一点），自动拨打电话，还要求后台定位服务始终保持开启状态。这种情况甚至能持续到用户离开卡塔尔。有鉴于此，德国、法国、挪威的数据保护相关机构都建议本国旅客慎重安装。

蹭热点的电脑病毒

1998 年法国世界杯冠军赛当天，流行起一款叫 ZMK 的病毒，也叫世界杯狂热（World Cup Fever）或世界杯 98（WorldCup 98）。之所以得名，大概是因为其行为仿佛狂热球迷的玩笑：感染者打开 word 文档，电脑会弹出一个法语对话框，在 9 个队伍中，挑选你认为会夺冠的队。选中了安全过关，选错了电脑拜拜。

这是一场赌博，唯一的“正确答案”并不来自现实中的赛况，而是来自病毒的随机挑选。有 8/9 的几率，你会收到病毒的“遗憾道歉”，同时病毒被激活。它含有两个随机激活的路径，一个会用含有“98 世界杯真是太棒了! ! ！”的指令覆盖你的文件；另一个则删除你的重要系统文件。

好在目前还没有与 2022 年卡塔尔世界杯相关的电脑病毒的消息。上面提到病毒在目前的防护软件面前已经基本构不成威胁，取而代之的是如勒索软件这样更隐蔽、破坏力也更大的新型恶意程序。

总之，大型活动和纪念日是病毒（不管是电脑还是自然界）的高发期，开启防护，不轻易点击来路不明的链接和文件总是没有错的。

搅浑水的假信息

路透 的转发｜ 页截图

一圈一圈的转发中，这则新闻声势越来越大。

然而，仅仅一天后，The Local 联合创始人就否认了该文与 The Local 的关系，并称刊载文章的 站为仿造。紧接着，路透 、BBC 等多家媒体也对此做了澄清，撤回了不实文章。

这则假新闻很可能与虚假信息散布 络组织有关｜Giphy

这是一个从 2016 年起就开始运作的组织，拥有大量的仿造 站和个人账 ，特点是散播针对沙特、美国和以色列的负面假新闻。组织会在短时间后删除这些假新闻，但舆论已被搅动，继而影响地缘政治局势。

当然，大家最有可能遇到的还是“恭喜你抽中免费门票”、“我是 C 罗，给我打钱”这类的诈骗信息。

2021年10月到2022年10月间， 络安全公司Recorded Future 就录得 669 次与卡塔尔世界杯相关的 络钓鱼事件，涉及世界杯的多个环节，包括比赛赠票、免费直播、住宿和机酒预订等。

还有的诈骗团队会搭建与世界杯官方 站相似的假 站。同样是在截至 2022 年 10 月的一年间，至少有近千个带有“fifa.com”或其他世界杯关键词的域名出现。

还有一些骗子不仅要冒充世界杯官方，还要冒充与本届世界杯有关系的第三方。 络安全公司 Group-IB 爆料，有一家犯罪团伙以卡塔尔一家颇有实力的石化公司名义发放调查表格，称完成表格的人将获得公司赠送的世界杯门票。

还有的诈骗团队盯上了想在世界杯上找工作的人，它们制作假的求职 站（对，是 站而不是职位），还在 交平台上创建 30 多个页面来推广 站，颇费一番功夫。

这些诈骗大多要求受害者提交姓名、护照、电话、住址、金融账 、支付密码等信息，进可盗取财物，退可出售身份信息。有的信息或 站还带有恶意链接，可以让恶意程序在不知不觉中植入受害者设备。

也有好消息

不要太灰心，体育赛事即是技术犯罪的温床，也是技术辅助安保的好时机。人脸识别就是一个案例。

早在 2001 年，美国的超级碗比赛就秘密应用了人脸识别，从 71,000 名与会者中产生了 19 次可能的面部匹配（由于为实验性质，当时没有进行抓捕）。2008年的北京奥运会、2014年的巴西世界杯，2016年的里约奥运会，包括2021年的东京奥运会，人脸识别都是重要的安保措施。

面部识别｜wikimedia commons

除了通行，人脸识别还有一个能力——抓逃犯。英国南威尔士警方就在大型赛事中用 AI 面部识别辨认在逃嫌犯。这款程序能自动从摄像头拍摄的画面中提取人脸，与储存了 50 万罪犯嫌疑人图像的数据库进行搜索匹配，从中识别出在逃人员。

人脸识别还有一个能力，抓逃犯｜Giphy

不过抓逃犯的错误率有些高，在 2017 年的欧冠联赛决赛期间，这套 AI 系统发出了 2470 次警 ，但里面 2297 次都是错 ，错误率高达 92%。此后，该系统经历多次调试，在后来的 15 场体育赛事和音乐节中再度投入使用，但错误率一直极高。

根据美国一项研究，人脸识别算法或多或少存在年龄、种族、民族偏见，非白人族裔的识别错误率一直偏高。

2019 年，南威尔士的面部识别系统还被告上法庭。法院裁定这套系统违反人权法，在隐私方面没有进行令人满意的评估，也未考虑阻止算法在性别、种族方面的偏见。

不过，南威尔士警方依旧死磕人脸识别。今年 3 月，警方在加迪夫市中心恢复了面部识别系统的部署，至今已在两场体育赛事中投入使用。

不知道 AI 这次有没有认准一些。

参考文献

[1]https://www.usmarshals.gov/whoweare/aboutus/history/historical-reading-room/fugitiveinvestigative-strike-teams-no-such-thing-free-lunch

[2]https://footballinu.net/

[3]https://coinmarketcap.com/currencies/football-inu/

[4]https://socradar.io/fifa-world-cup-2022-qatar-dark-web-phishing-landscape-analysis/

[5]https://www.recordedfuture.com/fielding-cyber-influence-and-physical-threats-to-2022-fifa-world-cup-in-qatar

[6]https://www.theregister.com/2022/11/11/world_cup_security/

[7]https://www.f-secure.com/v-descs/zmk.shtml

[8]Lim, G., Maynier, E., Scott-Railton, J., Fittarelli, A., Moran, N., & Deibert, R. (2019). Burned after reading: Endless Mayfly’s ephemeral disinformation campaign.

[9]https://www.groupib.com/mediacenter/pressreleases/scammers-on-the-pitch/

[10]https://abcnews.go.com/Technology/storyid=98871&page=1

[11]https://www.theguardian.com/uk-news/2018/may/05/welsh-police-wrongly-identify-thousands-as-potential-criminals

[12]https://www.south-wales.police.uk/police-forces/south-wales-police/areas/about-us/about-us/facial-recognition-technology/deployments-for-live-facial-recognition/