美国科技巨头对财政部制裁的复杂响应

2025年5月，美国政府制裁了一名中国公民，其运营的云服务提供商与大多数向FBI报告的虚拟货币投资诈骗网站有关。但最新报告发现，被指控者仍在美国科技公司（包括Facebook、GitHub、PayPal和Twitter/X）运营大量现有账户。

5月29日，美国财政部宣布对Funnull Technology Inc.实施经济制裁，这家总部位于菲律宾的公司被指控为数十万个涉及虚拟货币投资诈骗（称为“杀猪盘”）的网站提供基础设施。2025年1月，KrebsOnSecurity详细报道了Funnull如何设计为一个内容交付网络，迎合外国网络犯罪分子寻求通过美国云提供商路由流量。

财政部还制裁了Funnull的 alleged operator，一名40岁的中国公民刘“Steve”立志（Liu Lizhi）。政府称Funnull直接促成了导致美国人经济损失超过2亿美元的金融计划，且该公司运营与大多数向FBI报告的杀猪盘诈骗有关。

美国公司或个人与财政部制裁对象交易通常是非法的。然而，正如刘先生的案例所示，仅因某人被制裁并不意味着大型科技公司会暂停其在线账户。

政府称刘立志出生于1984年11月13日，使用昵称“XXL4”和“Nice Lizhi”。尽管如此，Steve Liu在LinkedIn上17年历史的账户（名为“Liulizhi”）直到最近仍有数百名关注者（刘的LinkedIn个人资料 helpful 确认了他的生日）：该账户于今早删除，就在KrebsOnSecurity寻求LinkedIn评论几小时后。

刘先生的LinkedIn账户在KrebsOnSecurity寻求LinkedIn评论后24小时内被暂停。

在电子邮件回复中，LinkedIn发言人表示，公司的“禁止国家政策”规定LinkedIn“不向受美国政府制裁的个人和公司销售、许可、支持或以其他方式提供其高级账户或其他付费产品和服务”。LinkedIn拒绝说明相关个人资料是高级还是免费账户。

刘先生还维护一个可用的PayPal账户，名为Liu Lizhi，用户名“@nicelizhi”，这是财政部制裁中列出的另一个昵称。一个15年历史的Twitter/X账户名为“Lizhi”，链接到刘先生的个人域名，仍然活跃，尽管关注者很少且多年未发帖。

这些账户和许多其他账户被安全公司Silent Push标记，该公司过去一年一直在跟踪Funnull的运营，并呼吁亚马逊和微软等美国云提供商更快切断与公司的联系。

刘立志的PayPal账户。

在今日发布的报告中，Silent Push发现刘立志仍运营多个Facebook账户和群组，包括一个名为Liu Lizhi的私人Facebook账户。另一个明确与刘立志相关的Facebook账户是中国赣州的旅游页面“EnjoyGanzhou”，该页面在财政部制裁中被命名。

“这个人是托管大多数针对美国人的诈骗网站基础设施的技术管理员，基于他托管的网站，已损失数亿美元，”Silent Push高级威胁研究员Zach Edwards说。“疯狂的是，绝大多数大型科技公司没有采取任何措施切断与这个人的联系。”

FBI称去年收到近15万起涉及数字资产的投诉，损失93亿美元——同比增长66%。投资诈骗是报告最多的加密相关犯罪，损失58亿美元。

在声明中，Meta发言人表示公司持续采取措施履行法律义务，但制裁法律复杂多样。他们解释说制裁通常是针对性的，并不总是禁止人们在其平台上存在。尽管如此，Meta确认已删除账户、取消发布页面，并移除违反政策的群组和事件。

通过刘先生在Hotmail和Gmail的主要电子邮件地址联系尝试被退回为无法投递。同样，他14年历史的YouTube频道似乎最近被取下。

然而，任何有兴趣查看或使用刘先生146个计算机代码仓库的人都可以轻松找到他的GitHub账户，包括以财政部制裁中提到的NiceLizhi和XXL4昵称注册的账户。

刘“Steve”立志使用的多个GitHub个人资料之一，使用昵称XXL4（财政部制裁中列出的刘先生的别名）。

刘先生还运营一个GitHub页面，用于一个名为NexaMerchant的开源电子商务平台，该平台自称为与众多美国金融机构合作的支付网关。有趣的是，此个人资料的“关注者”页面显示其他几个似乎是刘先生的账户。所有账户的关注者都被标记为“暂停”，尽管访问这些个人资料时不显示暂停消息。

回应问题时，GitHub表示有流程识别用户和客户是否为特别指定国民或其他被拒绝或封锁方，但会锁定这些账户而不是删除它们。根据其政策，GitHub确保用户和客户不受超出法律要求的影响。

“这包括保持公共仓库（包括开源项目）可用和可访问，以支持涉及制裁区域开发者的个人通信，”政策规定。“这也意味着GitHub将倡导制裁区域开发者享受更多平台访问和全球开源社区的完全访问。”

Edwards说GitHub有处理制裁账户的流程很好，但该流程似乎不以透明方式沟通风险，指出锁定账户上的唯一指示是消息“此仓库已被所有者归档。它不是只读的。”

“这是一个奇怪的消息，没有沟通‘这是一个制裁实体，不要分叉此代码或在生产环境中使用它’，”Edwards说。

Mark Rasch是一名前联邦网络犯罪检察官，现为纽约市安全咨询公司Unit 221B的顾问。Rasch说当财政部外国资产控制办公室（OFAC）制裁个人或实体时，企业或组织与制裁方交易变得非法。

Rasch说金融机构有非常成熟的系统切断与受OFAC制裁人士相关的账户，但科技公司可能远不那么主动——尤其是免费账户。

“银行有 established 方式检查[美国政府制裁列表]中的制裁实体，但科技公司不一定做得很好，特别是对于可以点击注册的服务，”Rasch说。“这对涉及的科技公司是潜在风险和 liability，但仅限于OFAC愿意执行的程度。”

刘立志运营多个Facebook账户和群组，包括这个用于OFAC制裁中指定实体的账户：中国赣州的“Enjoy Ganzhou”旅游页面。图片：Silent Push。

2024年7月，Funnull购买了域名polyfill[.]io，这是一个长期合法的开源项目的家，允许网站确保使用传统浏览器的设备仍能以新格式渲染内容。Polyfill域名易手后，至少384,000个网站陷入供应链攻击，将访问者重定向到恶意网站。根据财政部，Funnull使用代码将人们重定向到诈骗网站和在线赌博网站，其中一些与中国犯罪洗钱操作有关。

美国政府称Funnull为其购买的IP地址上的网站提供域名，使用域名生成算法（DGAs）——为网站生成大量相似但唯一名称的程序——并向网络犯罪分子销售网页设计模板。

“这些服务不仅使网络犯罪分子在创建诈骗网站时更容易冒充可信品牌，还允许他们在合法提供商尝试取下网站时快速切换到不同域名和IP地址，”财政部声明写道。

与此同时，Edwards说Funnull似乎在制裁后改变其业务的几乎所有方面。

“而以前他们可能使用60个DGA域名隐藏和反弹流量，我们现在看到 far more，”他说。“他们正试图使基础设施更难跟踪和更复杂，所以目前他们不会消失，而更多只是改变所做。更多组织应该 hold their feet to the fire。”

更新，美国东部时间下午2:48：添加Meta回应，确认已关闭与刘先生相关的账户和群组。

更新，7月7日美国东部时间下午6:56：在书面声明中，PayPal表示持续努力打击和防止其服务的非法使用。

“我们在全球投入 significant 资源于金融犯罪合规，并主动向全球执法官员提交案件并协助他们识别、调查和停止非法活动，”声明写道。