原文:annas-archive.org/md5/fbddc39f54eebd2a9cbbfa0ba9227ab7 译者:飞龙 协议:CC BY-NC-SA 4.0
第一章:社会工程的基本概念与坏人的使用
社会工程是一种极其有效的攻击过程,超过 80% 的网络攻击,其中超过 70% 是来自国家级别的,都是通过利用人类而不是计算机或网络安全漏洞发起和执行的。因此,要构建安全的网络系统,不仅需要保护构成这些系统的计算机和网络,还需要对其人类用户进行安全程序的教育和培训。
针对人类的攻击被称为社会工程,因为它们操纵或设计用户执行所需的行动或泄露敏感信息。最一般的社会工程攻击只是试图让毫不知情的互联网用户点击恶意链接。更有针对性的攻击试图诱使组织中的敏感信息,如密码或私人信息,或者通过获得不应有的信任而从特定个人那里窃取有价值的东西。
这些攻击通常要求人们执行攻击者希望诱使受害者执行的所需行为。为了做到这一点,他们需要受害者的信任,这通常是通过互动获得的,或者通过复制或窃取身份而被利用。根据攻击的复杂程度,这些攻击将针对个人、组织或广泛的人群。骗子经常使用熟悉的公司名称或假装是受害者认识的人。2018 年的一个现实例子利用了 Netflix 的名字,当时向未知数量的收件人发送了一封旨在窃取个人信息的电子邮件。该邮件声称用户的帐户因为 Netflix 当前的结算信息有些问题而暂停,并邀请用户点击链接更新他们的付款方式。¹
社会工程攻击之所以奏效,是因为用户很难验证他们收到的每一条通信。此外,验证需要一定水平的技术专业知识,而大多数用户缺乏这方面的知识。更糟糕的是,能够访问特权信息的用户数量通常很大,从而形成了相应大规模的攻击面。²
说服个人透露敏感信息并将其用于恶意企图的行为已有很长时间了。自互联网出现以来,社会工程学攻击就一直存在。但在互联网发展之前,犯罪分子利用电话、邮政服务或广告来冒充受信任的代理以获取信息。大多数人认为,“网络钓鱼”这个词起源于 20 世纪 90 年代中期,当时它被用来描述获取互联网服务提供商(ISP)账户信息。然而,这个术语已经发展到包括各种攻击,目标是个人或企业拥有的信息,包括电话、电子邮件、社交媒体、亲自观察、游戏平台、邮递信件或包裹的盗窃,以及古老的喜好,即垃圾箱或垃圾拾取。
1.1 了解社会工程学作为一种武器的广度
不论是哪个社交网络,用户在网上仍然会被声称是别人的人欺骗。与现实世界不同,个人在网上沟通时可以对自己的一切进行误导,不仅限于他们的姓名和业务关系(在现实中这也是相对容易做到的),还包括他们的性别、年龄和地点(这些在现实中更难伪造的标识)。多年前,调查人员将这些类型的人称为信心或骗子。
也许是由于高科技时代的结果,骗子现在被称为从事社会工程学。毫不奇怪地得知,联邦调查局(FBI)正在调查传统的投资欺诈计划,如庞氏计划,这些计划现在正在虚拟世界中进行。其他骗子能够通过在社交网络网站上误认自己,然后诱使受害者提供他们的账户名称和密码以及其他个人身份信息来实施身份盗窃犯罪。
除了身份盗窃犯罪,儿童掠夺者经常使用社交网络网站来找到和沟通未来的受害者和其他恋童癖者。在至少一起 2018 年的公开案件中,一个人在控制了少女的电子邮件和社交网络账户后企图勒索她们的裸照。那起 FBI 的调查导致犯罪者被判处 18 年的联邦刑期,反映出这些犯罪是严重的,不会被容忍。
社会工程学是指任何依赖欺骗人们采取行动或泄露信息的攻击的广义术语。社会工程学已被定义为几种方式,如盒子 1.1 所示。
盒子 1.1 定义社会工程学
通过与个人交往来获得信心和信任以揭示敏感信息的行为。
来源:社会工程下的 NIST SP 800-63-2 [已废弃]
试图欺骗某人透露可以用于攻击系统或网络的信息(例如密码)的尝试。
来源:CNSSI 4009-2015(NIST SP 800-61 Rev. 2)、NIST SP 800-61 Rev. 2 下的社会工程、NIST SP 800-82 Rev. 2 下的社会工程(NIST SP 800-61)
攻击者试图诱骗人们透露敏感信息或执行某些操作的一般术语,例如下载并执行看似良性但实际上是恶意的文件。
来源:社会工程下的 NIST SP 800-114 [已废弃]
尝试欺骗某人透露信息(例如密码)的过程。
来源:社会工程下的 NIST SP 800-115
欺骗个人以揭示敏感信息、获取未经授权的访问权或者通过与个人建立联系获得信任,从而实施欺诈行为的行为。
来源:社会工程下的 NIST SP 800-63-3
来源:词汇表。计算机安全资源中心。访问于 2019 年 2 月 1 日。csrc.nist.gov/glossary/term/social-engineering。
如今,钓鱼这个术语已经演变为涵盖各种针对个人或公司信息的攻击。最初,钓鱼被确定为使用电子邮件消息,设计成看起来像来自受信任代理人(如银行、拍卖网站或在线商务网站)的消息。这些消息通常要求用户采取某种形式的行动,例如验证其账户信息。它们通常使用一种紧急感(例如账户暂停的威胁)来激励用户采取行动。最近,已经出现了几种新的社会工程手段来欺骗毫无戒心的用户。这些包括提供填写在线银行网站调查的服务,并承诺如果用户包含账户信息,则会给予一笔货币奖励,以及声称来自酒店奖励俱乐部的电子邮件消息,要求用户验证客户可能在合法网站上为预订目的存储的信用卡信息。消息中包含一个供受害者使用的统一资源定位器(URL),然后将用户重定向到一个输入其个人信息的网站。该网站被精心制作,以尽可能地模仿合法网站的外观和感觉。然后,这些信息被犯罪分子收集并使用。随着时间的推移,这些虚假的电子邮件和网站已经演变成对于临时调查更具技术欺骗性的形式。⁴
1.2 社会工程欺诈方案
在任何时候,网络犯罪分子都在使用各种互联网欺诈方案。举例来说,最近的欺诈方案涉及网络犯罪分子获取对一个毫无戒心的用户的电子邮件账户或社交网络网站的访问权限。欺诈者声称是账户持有者,然后向用户的朋友发送消息。在消息中,欺诈者声称自己正在旅行,被抢劫了信用卡、护照、钱和手机,急需立即用钱。朋友们没有意识到消息是来自犯罪分子,就将钱汇到了海外账户,而没有验证这一要求。
钓鱼方案试图让互联网用户相信他们收到的电子邮件来自可信任的来源,尽管事实并非如此。社交网络网站用户的钓鱼攻击采用各种格式,包括社交网络网站内来自陌生人或被入侵的朋友账户的消息;社交网络网站个人资料中声称指向无害内容实际上是有害的链接或视频;或者发送给用户声称来自社交网络网站本身的电子邮件。社交网络网站用户由于在使用社交网络网站时通常显示出更高水平的信任,因此成为这些方案的受害者。用户经常接受他们实际上并不认识的人进入他们的私人网站,或者有时未能正确设置个人资料的隐私设置。这使得网络窃贼在试图通过各种钓鱼方案欺骗受害者时具有优势。
社交网络网站以及一般的企业网站为犯罪分子提供了大量信息,使他们能够制作看起来正式的文件并发送给对特定主题表现出兴趣的个人目标。这些信息的个人化和详细性侵蚀了受害者的警惕意识,导致他们打开恶意邮件。这样的邮件将包含一个附件,其中包含恶意软件,旨在让邮件发送者控制受害者整个计算机。当恶意软件感染被发现时,通常已经太迟保护数据免受损害。
网络犯罪分子设计先进的恶意软件,以精确行动,感染、隐藏访问、窃取或修改数据而不被察觉。先进恶意软件的编写者耐心,并且已知会测试网络及其用户以评估防御性响应。恶意软件,也称为恶意代码,指的是秘密插入另一个程序的程序,目的是破坏数据,运行破坏性或侵入性程序,或以其他方式妨碍受害者数据、应用程序或操作系统的机密性、完整性或可用性。恶意软件是大多数主机面临的最常见的外部威胁,造成广泛的损害和破坏,并需要大多数组织进行广泛的恢复工作。先进的恶意软件可能会使用分层方法来感染并在系统上获得提升的特权。通常,这些类型的攻击会与其他网络犯罪策略捆绑在一起,如社会工程或零日漏洞利用。恶意软件经常被用来盗用信息和数据,这些信息和数据可以被轻易地使用,如登录凭据、信用卡和银行账号,有时还有商业机密。
在恶意软件感染的第一阶段,用户可能会收到一封钓鱼邮件,该邮件获取用户的信息或使用用户的凭据进入系统。一旦网络犯罪分子与用户或系统建立连接,他们可以利用其他可能使他们更深入地访问系统资源的向量进一步利用它。在第二阶段,黑客可能会安装一个后门,以在网络上建立一个持久存在,这个存在不能再通过反病毒软件或防火墙发现。
网络窃贼利用社交网络网站上的数据挖掘来提取关于受害者的敏感信息。这可以由犯罪行为者在大规模或小规模上进行。例如,在大规模数据挖掘计划中,网络犯罪分子可能向大量社交网络用户发送“了解你”的问卷。虽然这些问题的答案在表面上看起来并不恶意,但它们通常模仿金融机构或电子邮件账户提供商在个人忘记密码时提出的相同问题。因此,电子邮件地址和问卷的答案可以为网络犯罪分子提供进入银行账户、电子邮件账户或信用卡账户的工具,以转账或吸收账户资金。如果社交网络网站用户没有正确保护自己的个人资料或对敏感信息的访问权限,那么小规模数据挖掘对网络犯罪分子也可能很容易。事实上,一些社交网络应用程序鼓励用户发布自己是否正在度假,同时让窃贼知道没有人在家。⁵
勒索软件诈骗涉及一种感染计算机并限制用户访问其文件或威胁永久销毁其信息的恶意软件,除非支付赎金——从几百到几千美元不等。勒索软件影响家庭计算机、企业、金融机构、政府机构和学术机构,其他组织也可能感染,导致敏感或专有信息的丢失、常规业务的中断、为恢复系统和文件而产生的财务损失,以及/或对组织声誉的潜在损害。
最近几年来,勒索软件一直存在,但近来,网络罪犯对其使用明显增加。FBI 与公共和私营部门合作,针对这些罪犯及其诈骗行为进行打击。当勒索软件首次出现时,计算机主要是通过用户打开包含恶意软件的电子邮件附件而感染的。但最近,我们看到越来越多的事件涉及所谓的驱动型勒索软件,用户只需点击被妥协的网站,通常是被欺骗性的电子邮件或弹出窗口引诱过去,就能感染他们的计算机。
另一个新的趋势涉及赎金支付方式。尽管早期的一些勒索软件诈骗涉及让受害者使用预付卡支付赎金,但现在越来越多的受害者被要求使用比特币支付,比特币是一种去中心化的虚拟货币网络,吸引罪犯的原因是该系统提供的匿名性。另一个不断增长的问题是勒索软件锁定移动电话并要求支付赎金以解锁它们。
FBI 和联邦、国际和私营部门合作伙伴采取了积极措施,通过打击促进勒索软件分发和运作的主要僵尸网络之一,来中和一些更严重的勒索软件诈骗行为。例如,Reveton 勒索软件,由一种称为 Citadel 的恶意软件传递,虚假警告受害者,称其计算机已被 FBI 或司法部确定与儿童色情网站或其他非法在线活动有关。2013 年 6 月,微软、FBI 和金融合作伙伴在 Citadel 恶意软件上建立了一个巨大的犯罪僵尸网络,从而阻止了 Reveton 的分发。Cryptolocker 是一种使用加密密钥对加密受害者计算机文件的高度复杂的勒索软件,并要求赎金以获取加密密钥。2014 年 6 月,FBI 在与 GameOver Zeus 僵尸网络干扰同时宣布,美国和国际执法官员已经查封了 Cryptolocker 的命令和控制服务器。⁶
1.3 网络地下世界
网络犯罪对个人和商业的影响可能是巨大的,后果从仅仅是一种不便到财务破产不等。巨大利润的潜力吸引了年轻的犯罪分子,并导致了一个被称为网络地下世界的庞大地下经济的产生。网络地下世界是一个普遍存在的市场,其规则和逻辑与合法商业世界的规则和逻辑非常相似,包括一种独特的语言、对成员行为的一套期望,以及基于知识和技能、活动和声誉的分层系统。
在网络地下世界中,网络犯罪分子之间进行交流的一种方式是在线论坛。在这些论坛上,网络犯罪分子买卖登录凭证(例如电子邮件、社交网络网站或金融账户的凭证);钓鱼工具包、恶意软件和对僵尸网络的访问权限;以及受害者的社会安全号码(SSN)、信用卡和其他敏感信息。这些犯罪分子越来越专业化、有组织化,并具有独特或专业化的技能。
此外,网络犯罪越来越具有跨国性质,世界各地生活的个人共同参与同一计划。2008 年底,一个国际黑客团伙进行了有史以来最复杂和有组织的计算机欺诈攻击之一。该犯罪团伙使用复杂的黑客技术来破解用于保护 44 张工资借记卡上数据的加密,并提供了一个提款人网络,从全球至少 280 个城市的超过 2,100 台 ATM 机中提取了超过 900 万美元,包括美国、俄罗斯、乌克兰、爱沙尼亚、意大利、香港、日本和加拿大的城市。这 900 万美元的损失发生在不到 12 小时的时间内。网络地下世界促进了网络犯罪服务、工具、专业知识和资源的交流,从而使这种跨国犯罪行动能够在多个国家开展。
除了与社交网络网站相关的网络犯罪后果之外,军事或政府人员通过其社交网络网站个人资料可能无意中暴露了宝贵的信息。最近公开的一例案例中,一个人在多个社交网络网站上创建了一个假的个人资料,假扮成一名有吸引力的女情报分析员,并向政府承包商、军事人员和其他政府人员发送了好友请求。许多好友请求被接受了,尽管该个人资料是虚构的。据新闻报道,这种欺骗使其创作者获得了相当数量的敏感数据,包括一张在阿富汗巡逻中拍摄的士兵照片,其中包含了标识他精确位置的嵌入式数据。当被问及创建假社交网络个人资料的人试图证明什么时,他回答说:第一件事是信任问题以及它是多么容易被给予。第二件事是展示通过各种网络泄露出的不同信息量有多大。他还指出,尽管一些人认识到这些网站是假的,但他们没有一个集中的地方来警告其他人有关所认为的欺诈行为,从而确保了一个月内有 300 个新连接。
最后一点值得进一步探讨。一些社交网络网站自愿成为模范企业公民,通过提供功能让用户举报滥用行为。一些网站提供了易于使用的按钮或链接,只需单击一下即可向系统管理员发送消息,提醒他们潜在的非法或滥用内容。不幸的是,许多网站并未效仿这一做法。一些网站不允许用户举报滥用行为,而其他一些网站要么故意要么无意地通过要求用户完成一系列繁琐的步骤来举报滥用行为,从而阻止了举报行为。 ³
1.4 联邦调查局和战略合作伙伴关系
美国司法部(DOJ)领导全国打击网络犯罪的努力,而联邦调查局(FBI)与其他联邦执法机构合作进行网络犯罪调查。FBI 的网络犯罪使命包括四个方面:首先,阻止那些策划最严重的计算机入侵和恶意代码传播的人;其次,识别和阻止利用互联网与儿童接触和剥削、制作、拥有或分享儿童色情作品的在线性侵者;第三,打击针对美国知识产权的行动,从而危及国家安全和竞争力;第四,瓦解参与互联网欺诈的国家和跨国有组织犯罪企业。为此,FBI 在全国各地的 56 个办事处设立了网络犯罪小组,拥有 1000 多名经过专门培训的特工、分析师和数字取证专家。然而,FBI 无法独自应对这一威胁。
FBI 在打击任何犯罪问题方面拥有的一些最佳工具是与联邦、州、地方和国际执法机构以及私营部门和学术界的长期合作伙伴关系。在联邦层面,并经总统授权,FBI 领导了国家网络调查联合特别行动组(NCIJTF),作为协调、整合和共享与网络威胁调查相关的相关信息的多机构国家焦点,以确定网络威胁团体和个人的身份、位置、意图、动机、能力、联盟、资金和方法。在这样做的过程中,NCIJTF 的合作伙伴支持美国政府在国家力量的所有元素上的全面选择。
FBI 还与非营利组织密切合作,包括与国家白领犯罪中心(NW3C)建立互联网犯罪投诉中心(IC3)、国家网络取证和培训联盟(NCFTA)、建立 InfraGard 的 InfraGard 国家成员联盟、金融服务信息共享与分析中心(FS-ISAC)和国家失踪和被剥削儿童中心(NCMEC)等广泛合作。
一个协调的例子突显了当我们在这些紧密建立的合作伙伴关系中工作时我们是多么有效。2019 年初,罗马尼亚警方和检察官进行了罗马尼亚有史以来最大的一次警察行动之一——对从事互联网诈骗的有组织犯罪团伙进行调查。该调查动用了超过 700 名执法人员,在 103 个地点进行了搜查,导致 34 人被逮捕。这个罗马尼亚犯罪团伙的 600 多名受害者是美国公民。成功摧毁这个团伙的一部分原因在于罗马尼亚执法部门与美国国内联邦、州和地方合作伙伴之间的合作伙伴关系的强大。通过 FBI 驻布加勒斯特法律专员(legat)的广泛协调,互联网犯罪投诉中心向罗马尼亚人提供了从www.IC3.gov报告门户提交的 600 多份投诉。此外,再次与 FBI 的法律专员密切协调,超过 45 个 FBI 现场办公室通过进行采访以获取罗马尼亚投诉表上的受害者声明,并通过获取警方报告和在其部门内进行其他调查线索来协助调查。
与他人密切合作,分享信息,并利用所有可用的资源和专业知识,FBI 及其合作伙伴在打击网络犯罪方面取得了重大进展。显然,还有更多工作要做,但通过协调的方式,美国在努力将最严重的违法者绳之以法方面变得更加灵活和响应迅速。 ³
1.5 对抗钓鱼攻击的基本步骤
钓鱼是指骗子使用欺诈性的电子邮件或短信,或者模仿网站,以获取您分享有价值的个人信息,比如账号、社会安全号码或登录 ID 和密码。骗子利用这些信息来窃取一个人的钱财,或身份,或两者兼而有之。骗子还利用钓鱼邮件来获取对计算机或网络的访问权限;然后安装像勒索软件这样的程序,可以锁定用户计算机上的重要文件。
钓鱼骗子通过复制熟悉、信任的已建立的合法公司的标志,将他们的目标引入一种虚假的安全感。或者他们假装是朋友或家人。钓鱼骗子让人觉得他们需要你的信息或别人的信息,而且需要快速提供,否则会发生糟糕的事情。他们可能会说你的账户将被冻结,你将无法获得税款退还,或者你的老板会生气,甚至家人会受伤或你可能会被逮捕。他们撒谎来获取你的信息。计算机用户应采取几种措施来防止钓鱼成功:
- 谨慎打开电子邮件中的附件或点击链接。即使是您朋友或家人的帐户也可能被黑客攻击。文件和链接可能包含可以削弱计算机安全性的恶意软件。
- 自己动手输入。如果您认识的公司或组织向您发送链接或电话号码,请不要点击。使用您喜欢的搜索引擎自行查找网站或电话号码。即使电子邮件中的链接或电话号码看起来像真的,骗子也可能隐藏真实目标。
- 如果您不确定,请打电话。不要回复任何要求个人或财务信息的电子邮件。钓鱼者使用压力策略并利用恐惧。如果您认为某家公司、朋友或家庭成员确实需要您的个人信息,请拿起电话自己打电话给他们,使用他们网站上或您地址簿中的号码,而不是电子邮件中的号码。
- 打开两步验证。对支持的帐户,两步验证需要您的密码和额外的信息才能登录您的帐户。第二部分可以是发送到您手机的代码,或者是应用程序或令牌生成的随机数。即使您的密码被泄露,这也可以保护您的帐户。
- 作为额外预防措施,您可能希望选择多种第二验证类型(例如,PIN),以防您的主要方法(如电话)不可用。
- 将文件备份到外部硬盘或云存储。定期备份文件可以保护自己免受病毒或勒索软件攻击。
- 保持您的安全更新。使用您信任的安全软件,并确保将其设置为自动更新。⁷
- 要对未经请求的电话、访问或电子邮件持怀疑态度,询问员工或其他内部信息的个人。如果一个未知的个人声称来自合法组织,请直接与该公司验证其身份。
- 不要提供个人信息或组织信息,包括其结构或网络,除非你确定某人有权获得该信息。
- 不要在电子邮件中透露个人或财务信息,也不要回复要求此信息的电子邮件。这包括按电子邮件发送的链接。
- 不要在未检查网站安全性的情况下通过互联网发送敏感信息。
- 注意网站的统一资源定位符。恶意网站可能与合法网站看起来相同,但 URL 可能使用拼写变体或不同的域(例如,.com 与 .net)。
- 如果您不确定电子邮件请求是否合法,请通过直接联系公司来验证。不要使用请求网站提供的联系信息;相反,请查看以前的声明以获取联系信息。
- 安装和维护防病毒软件、防火墙和电子邮件过滤器以减少某些流量。
- 利用您的电子邮件客户端和网络浏览器提供的任何防钓鱼功能。
- 报告钓鱼邮件和短信(Box 1.2)。⁸
Box 1.2 如何报告钓鱼诈骗
将钓鱼邮件转发到 spam@uce.gov ——以及在邮件中被冒名顶替的组织。当您包含完整的电子邮件头部时,您的报告效果最佳,但大多数电子邮件程序隐藏了此信息。为了确保包含头部,请在您喜欢的搜索引擎中搜索您的电子邮件服务的名称和“完整电子邮件头部”。
向联邦贸易委员会在 FTC.gov/complaint 报告。
访问 Identitytheft.gov。钓鱼受害者可能成为身份盗窃的受害者;有一些措施可以减少您的风险。
您还可以将钓鱼邮件报告给 reportphishing@apwg.org。反钓鱼工作组 —— 包括 ISP、安全厂商、金融机构和执法机构 —— 使用这些报告来打击钓鱼。
联邦贸易委员会(FTC)和全国房地产经纪人协会^® 在 2016 年警告房屋买家有一封电子邮件和电汇诈骗。黑客曾经入侵一些消费者和房地产专业人员的电子邮件账户,以获取有关即将进行的房地产交易的信息。在确定了交易的结束日期后,黑客会发送一封电子邮件给买家,冒充房地产专业人员或地契公司。虚假的电子邮件会说有关汇款说明的最后一分钟更改,并告诉买家将收盘成本汇款至其他账户。但这将是骗子的账户。如果买家上钩,他们的银行账户可能在几分钟内被清空。通常,这将是买家永远看不到的钱。
当时,FTC 重申其建议,不要通过电子邮件发送财务信息,如果用户在网上提供财务信息,请确保网站是安全的。搜索以 https 开头的 URL(“s” 代表安全)。而且,不要点击电子邮件中的链接以访问组织的网站,自己查找真实的 URL 并输入网址。此外,无论发送者是谁,都要小心打开电子邮件中的附件和下载文件。这些文件可能包含可以削弱计算机安全性的恶意软件。⁹
钓鱼攻击也可以试图利用最近的事件,比如健康保险公司安泰的数据泄露影响了超过 8000 万客户。骗子发送了假冒的安泰邮件,假装帮助客户,但实际上是钓鱼获取他们的个人信息。这封假邮件被设计成看起来像是来自安泰,并要求客户点击一个链接以获取免费的信用监控或信用卡账户保护。安泰报告称,将通过邮件联系现有和以前的客户,提供有关如何参加信用监控的具体信息。安泰还表示,不会因数据泄露而致电客户,也不会通过电话索要信用卡信息或社会安全号码。 ¹⁰
1.6 21 世纪的新社会工程水平
俄罗斯以迄今大多数美国人不熟悉的方式部署了信息和网络战的混合形式。通过武器化窃取的信息和传播虚假信息,俄罗斯情报机构努力贬低美国在国内外的形象,破坏其外交政策,并在国内制造分裂。最近最引人注目的例子当然是俄罗斯干预 2016 年美国总统选举,情报界确认这是为了帮助特朗普总统当选并破坏美国人对选举制度的信心。
俄罗斯干预外国选举以推进其利益并非新现象,也不仅限于美国。德国和法国政府已经发出警报,称俄罗斯目前正在进行类似的操作,以在 2019 年全国选举前瞄准被认为对俄罗斯利益不友好的候选人。
俄罗斯还在庞大的宣传网络上投入了大量资源,包括在美国的俄罗斯之声(RT),以传播削弱民主共识、加强政治边缘的虚假信息。据报道,RT 仅在华盛顿分部就花费了 4 亿美元;它拥有比任何其他广播公司都多的 YouTube 订阅者,包括 BBC。俄罗斯与 RT 一起监督数十家其他新闻来源,通过一个网站播种丑闻故事,然后通过其他网站传播和放大。俄罗斯在幕后雇佣了数百名精通英语的年轻人,操作一个庞大的虚假在线身份网络,撰写博客文章和评论。
俄罗斯进行信息战的能力得到了极大的帮助,这主要得益于其在网络空间的大量投资,而美国在对抗或威慑其侵略性探测方面仍然缺乏准备。俄罗斯在这一领域的活动反映了一项更新的国家安全战略,强调利用对手的脆弱性来采取不对称战术,同时削弱他们对抗俄罗斯政策的能力和决心。在最近的公开报告中,美国情报界确定俄罗斯是网络空间中最复杂的国家行为者之一。¹¹
俄罗斯的干预既是隐蔽的,也是公开的,积极措施多样化、规模更大、技术更复杂。他们不断根据技术和环境的变化进行调整和变形。通过同时打击欧洲和美国,这种干预似乎旨在破坏西方联盟的有效性和凝聚力,以及西方作为一个基于普遍规则而不仅仅是权力的全球秩序的合法性。¹²
2007 年,Facebook 平台扩展了更多应用程序,使用户的日历能够显示朋友的生日,地图显示用户的朋友居住地,通讯录显示他们的照片。为了实现这一目标,Facebook 让人们可以登录应用程序并分享他们的朋友是谁以及一些关于他们的信息。然后,在 2013 年,剑桥大学的研究人员亚历山大·科根创建了一个人格测验应用程序。大约有 30 万人安装了这个应用程序,他们同意分享一些他们的 Facebook 信息以及一些来自他们的朋友的信息,这些信息是根据他们的隐私设置允许的。考虑到当时平台的运作方式,科根能够访问数千万朋友的一些信息。2014 年,为了防止滥用应用程序,Facebook 宣布他们正在改变整个平台,大大限制应用程序可以访问的 Facebook 信息。最重要的是,像科根这样的应用程序再也不能要求关于一个人的朋友的信息,除非他们的朋友也授权了该应用程序。Facebook 还要求开发人员在请求用户的公共资料、好友列表和电子邮件地址之外的任何数据之前获得 Facebook 的批准。这些举措将阻止任何像科根这样的应用程序今天能够访问到如此多的 Facebook 数据。
2015 年,Facebook 从《卫报》的记者那里得知,Kogan 向剑桥分析公司分享了他的应用程序的数据,尽管开发者未经人们同意分享数据违反了 Facebook 的政策。Facebook 立即禁止了 Kogan 的应用程序,并要求 Kogan 和其他他提供数据的实体(包括剑桥分析公司)正式证明他们已删除了所有不当获取的数据。后来,Facebook 从《卫报》、《纽约时报》和 Channel 4 得知,剑桥分析公司可能并没有删除他们已经认证的数据。Facebook 立即禁止他们使用任何 Facebook 服务。
Facebook 安全团队多年来一直注意到传统的俄罗斯网络威胁,如黑客攻击和恶意软件。在 2016 年 11 月的选举日前夕,Facebook 发现并处理了几个与俄罗斯有关的威胁。其中包括一个名为 APT28 的组织的活动,美国政府公开将其与俄罗斯军事情报服务联系起来。但在主要关注传统威胁的同时,Facebook 在 2016 年夏天还注意到了一些新的行为,当时 APT28 相关账户在 DC Leaks 的旗帜下创建了虚假身份,用于向记者传播窃取的信息。Facebook 因违反政策而关闭了这些账户。选举结束后,Facebook 继续调查并了解了这些新威胁,并发现恶意行为者利用协调一致的虚假账户网络干扰选举:推广或攻击特定候选人和事业,制造对政治机构的不信任,或者简单地传播混乱。其中一些恶意行为者还使用 Facebook 广告工具作为钓鱼工具,将人们引入信息错误和虚假信息的迷宫。Facebook 还了解到了由俄罗斯互联网研究机构(IRA)发起的一场虚假信息运动,该机构一再采取欺骗手段,试图操纵美国、欧洲和俄罗斯的人民。Facebook 发现大约有 470 个与 IRA 相关的账户和页面,它们在约两年的时间里发布了约 8 万条 Facebook 帖子。据估计,在该期间大约有 1.26 亿人可能曾经在某个时候看到与 IRA 相关的 Facebook 页面的内容。在 Instagram 上,由于关于覆盖率的数据不够完整,发现了约 12 万条内容,估计还有额外的 2,000 万人可能看到了它。在同一时期,IRA 还在 Facebook 和 Instagram 上花费了约 10 万美元发布了 3,000 多则广告,估计在美国有 1,100 万人看到了。Facebook 在 2017 年 8 月关闭了这些 IRA 账户。 ¹³
根据 2018 年美国参议员马克·R·沃纳发布的一份白皮书草案,他认为,在美国国会调查俄罗斯干预 2016 年选举的过程中,许多互联网技术被滥用以及它们的提供者一再出错的程度是不言而喻的。2018 年的揭示不仅揭示了这些技术被恶意操作的能力,还揭示了整个生态系统的阴暗面。这些产品迅速增长并几乎在我们的社交、政治和经济生活的方方面面占据主导地位的速度,在很多方面掩盖了它们的创造者未能预料到其使用的有害影响的缺点。政府未能适应,并且无法或不愿充分解决这些趋势对隐私、竞争和公共话语的影响。
沃纳进一步认为,这些平台的规模和影响力要求我们确保对技术的适当监督、透明度和有效管理,这些技术在很大程度上支撑着我们的社交生活、经济和政治。我们有很多机会与这些公司、其他利益相关者和政策制定者合作,确保我们正在采取适当的保障措施,以确保这个生态系统不再存在“荒野西部”的状态——没有管理,也不向用户或更广泛的社会负责,而是更广泛地为社会、竞争和广泛的创新服务。
这仅仅是发现社交媒体工具如何被用于社会工程活动的开端。这也仅仅是对社交媒体提供商进行监管并要求他们保护公众免受利用这些工具操纵行为和影响选举结果以及社会机构运行的社会工程师的长期努力的开端。 ¹⁴
1.7 本书的组织
本书旨在节省管理者和网络安全步兵研究社会工程方法和缓解方法的时间。因此,本书将更好地为制定目标的规划者提供信息,并介绍针对社会工程攻击采取的可捍卫行动,并使管理者更好地应对可能使他们受害的行为。
为了使本书对研究生或专业级研讨班课程有所帮助,每章都提供了研讨班讨论主题,以及可能需要不超过 30 分钟的研讨小组项目,以便小组呈现他们的成果。这些章节的安排方式旨在分析不同类型的罪犯、合法组织和特殊利益集团对社会工程使用的情况。
第一章 简要介绍了社会工程、钓鱼以及美国执法部门打击电子犯罪的努力。
第二章 探讨了社会工程方法和策略的连续性,这些方法和策略被骗子用来利用或窃取受害者(包括个人和组织)的信息或金钱。这包括假电子邮件和网站的演变,使其在普通调查中更具技术性欺骗性,以及钓鱼的定义已经扩大到涵盖更广泛的电子金融犯罪。
第三章 探讨了近年来由于良好的经济和技术条件而蓬勃发展的钓鱼诈骗的几种方法。本章还概述了打击诈骗、身份盗窃和在线欺诈的政府机构,包括互联网犯罪投诉中心(IC3)、联邦贸易委员会(FTC,致力于防止市场上的欺诈、欺骗和不公平商业行为)、以及证券交易委员会(SEC,保护证券市场免受欺诈)。SEC 处理的许多投诉涉及通过社会工程手段实施的犯罪行为。此外,本章审查了几起利用社会工程手段实施犯罪行为的案例。
第四章 着重于保护组织和个人免受社会工程攻击。组织的安全文化对其信息安全计划的有效性起到贡献作用。管理团队应了解和支持信息安全,并为开发、实施和维护信息安全计划提供适当的资源。这种理解和支持的结果是一个计划,其中管理和员工致力于将该计划整合到业务线、支持功能和第三方管理计划中。
第五章 分析了社会工程攻击在诱饵或手法符合收件人日常或正常情境时更有效。互联网上大量的个人可识别信息(PII)使得社会工程攻击者能够找到与个人私生活或企业员工业务活动相关的话题。因此,公开可获取的个人或组织信息已成为安全问题,因为它可以在系统的社会工程攻击或诈骗或身份窃取尝试中使用。本章审查了围绕 PII 的许多安全问题。
第六章 探讨了关于外国组织利用社交媒体影响近期美国和欧洲选举结果的辩论和猜测。毫无疑问,俄罗斯组织,或许还有其他国家的组织,确实利用社交媒体试图影响选举结果。本章简要介绍了社交媒体执行官在美国国会作证的情况。随后,本章继续审视了外国参与者的活动以及国内组织和个人利用社交工程来影响选举结果的情况。
第七章 探讨了内部人员发动的社交工程攻击,这些内部人员以进入政府机构的方式,最终带走了敏感和机密材料。面临风险的不仅仅是政府——所有组织都面临着来自内部人员的某种程度的威胁,以及内部人员可能会与外部人员合谋,合作,偷窃,破坏或羞辱其员工的可能性。在本章中,我们将注意力转向了内部人员的社交工程攻击的努力。
第八章 探讨了关于社交工程的更大规模教育工作的必要性。在防范社交工程攻击方面,主要的防御手段包括防止垃圾邮件、要求对代码运行系统进行权限控制,以及由各种组织和政府机构提供的一系列提示手册。这些努力确实有助于减少社交工程攻击的数量和效果,但攻击仍在继续,每年造成数十亿美元的损失。教育工作需要得到极大扩展,最重要的是,它需要包含准确的信息,以对抗错误信息、错误信息和假新闻,并且需要能够使用公正和准确的信息来做到这一点。这将需要利用所有的传播工具,向人们提供关于通过已确认的所有媒体传播的不准确或恶意材料的信息。
第九章 从前几章中得出结论,并且着眼于反击社交工程攻击努力的未来。
1.8 结论
对网络犯罪分子来说,没有什么是禁区的,无论他们使用的是钓鱼、勒索软件、冒充还是其他形式的欺骗。社会保障局(SSA)的总检察长特别警告公众,特别是社会保障受益人,要注意以个人信息为目标的欺诈诈骗行为。诈骗分子使用电话、电子邮件和其他方法获取个人信息,然后利用这些信息进行身份盗窃。在最近的骗局中,身份盗窃者冒充政府官员,试图说服人们提供个人和财务信息。他们可能声称自己是 SSA 的员工,或者是(在桑迪飓风之后)联邦紧急管理局(FEMA)的员工,并要求提供社会保障号码和银行信息,以确保人们能够领取福利。诈骗分子还可能声称某人中了彩票或其他奖品,但必须支付费用、税款或其他费用,才能领取奖金。 ¹⁵
税收身份盗窃是指某人使用被盗的社会安全号码(SSN)来获得税款退还或工作的情况。人们可能会在收到美国国内税务局(IRS)的来信时发现这种情况,信中提到他们的 SSN 被用于多次纳税申报,或者 IRS 的记录显示他们从一个陌生的雇主那里获得了收入。或者,IRS 可能会拒绝接受他们的电子纳税申报,因为已经有重复的申报。税务诈骗者还会通过电子邮件和电话尝试说服纳税人提供个人信息。IRS 已多次警告人们注意这些诈骗行为。 ¹⁶
1.9 关键点
本章涵盖的关键点包括:
- 社会工程是一种非常有效的攻击过程,超过 80%的网络攻击和超过 70%的国家级攻击都是通过利用人类而不是计算机或网络安全漏洞发起的。
- 社会工程攻击通常要求人们执行攻击者希望从受害者那里诱导出的所需行为。
- 社会工程学是指任何依赖欺骗人们采取行动或泄露信息的攻击的广义术语。
- 钓鱼计划试图让互联网用户相信他们收到了来自可信来源的电子邮件,而实际情况并非如此。
- 社交网络网站以及一般的公司网站为罪犯提供了大量信息,以发送官方文件,并将它们发送给对特定主题表现出兴趣的个人目标。
- 在恶意软件感染的第一阶段,用户可能会收到一封“钓鱼”电子邮件,该邮件获取了用户的信息或使用用户的凭据进入系统。
- 网络犯罪对个人和商业的影响可能很大,后果从仅仅是不便到财务破产不等。
- 网络犯罪在跨国性质上越来越普遍,世界各地生活在不同国家的个人一起合作进行相同的阴谋。
- 计算机用户应采取几种做法来防止网络钓鱼成功,尽管这些做法被广泛宣传,但每天仍然有社会工程阴谋的受害者。
- 社交媒体平台已成为社会工程师利用其进行犯罪活动的新工具。
- 社交媒体产品的迅速增长并几乎在我们的社会、政治和经济生活的各个方面占主导地位,在很大程度上掩盖了它们的创作者在预见其使用的有害影响方面的缺陷。
1.10 研讨会讨论话题
研究生或专业级别研讨会的讨论话题:
- 研讨会参与者在使用社会工程策略或战术的情况下有何经验?
- 讨论参与者或其亲戚或朋友在网络钓鱼攻击方面的任何经历。
- 讨论参与者、他们的家人或朋友在收到网络钓鱼邮件或电话时所采取的行动。他们为什么会采取这种方式?
- 讨论参与者如何看待执法部门应对网络犯罪的努力。
1.11 研讨会小组项目
将参与者分成多个小组,每个小组花 10 至 15 分钟时间开发社会工程策略的清单及其所适用的各种环境。完成后,让各小组交换他们的社会工程策略清单,然后各小组花 10 至 15 分钟时间制定快速识别社会工程策略及其所涉及任务的清单。作为一个小组讨论所选的策略及其如何被识别。
关键词
- 虚假信息:是为了欺骗而提供的虚假和无关信息。
- 身份盗窃犯罪:身份盗窃和身份欺诈是指以欺诈或欺骗手段获得并使用他人个人数据的所有犯罪行为的术语,通常是为了经济利益。
- 恶意链接:是将用户引导至包含恶意代码(如间谍软件、病毒或特洛伊木马)的网站的超链接,这些代码可能会感染访问这些网站的计算机。
- 恶意软件:包括病毒、间谍软件和未经您同意安装在计算机或移动设备上的其他不受欢迎的软件。这些程序可能导致设备崩溃,并可用于监视和控制您的在线活动。它们还可能使您的计算机容易受到病毒的侵害,并传送不需要或不合适的广告。犯罪分子利用恶意软件窃取个人信息、发送垃圾邮件和进行欺诈活动。
- 个人身份可识别信息(PII):是指可以用于区分或追踪个人身份的信息,无论是单独使用还是与其他个人或识别信息结合使用,这些信息与特定个人相关联或可链接到特定个人。
- 网络钓鱼:网络钓鱼是指骗子使用欺诈性的电子邮件或短信,或者模仿网站,以获取您分享有价值的个人信息,例如帐户号码、社会安全号码或登录 ID 和密码。骗子利用您的信息来窃取您的钱财,或者您的身份,或者两者兼而有之。
- 庞氏骗局:是一种投资欺诈,通过从新投资者那里收集的资金支付现有投资者。庞氏骗局的组织者经常承诺投资你的钱,并以几乎没有风险的方式产生高回报。但在许多庞氏骗局中,骗子并不会投资这笔钱。相反,他们用它来支付先前投资的人,并可能留下一些给自己。
- 勒索软件诈骗:利用一种恶意软件感染计算机并限制用户访问其文件或威胁永久破坏其信息,除非支付赎金,通常要求以比特币支付。
- 鱼叉式网络钓鱼:鱼叉式网络钓鱼攻击不同于常规网络钓鱼尝试,因为它们针对特定收件人并似乎来自可信任的来源。
参考资料
- 1. Netflix 钓鱼骗局:不要上当。美国联邦贸易委员会。Tressler,Colleen。2018 年 12 月 26 日访问于 2019 年 2 月 2 日。www.consumer.ftc.gov/blog/2018/12/netflix-phishing-scam-dont-take-bait
- 2. 主动社会工程防御(ASED)。沈伟。国防高级研究计划局项目信息。2019 年 2 月 1 日访问于。www.darpa.mil/program/active-social-engineering-defense
- 3. 在犯罪、恐怖主义和国土安全众议院司法小组委员会之前的声明。联邦调查局助理局长 Gordon M. Snow。2010 年 7 月 28 日,华盛顿特区。2019 年 2 月 1 日访问于。archives.fbi.gov/archives/news/testimony/the-fbis-efforts-to-combat-cyber-crime-on-social-networking-sites
- 4. 网络钓鱼攻击中的技术趋势。美国网络安全与基础设施安全局(US-CERT)。Milletary,Jason。访问于 2019 年 2 月 2 日。www.us-cert.gov/sites/default/files/publications/phishing_trends0511.pdf
- 5. 桌面和笔记本计算机恶意软件事件预防和处理指南。国家标准与技术研究所,信息技术实验室(ITL),计算机安全部门(CSD),应用网络安全部门(ACD)。Murugiah Souppaya(NIST)和 Karen Scarfone(Scarfone Cybersecurity)。2013 年 7 月访问于 2019 年 2 月 2 日。csrc.nist.gov/publications/detail/sp/800-83/rev-1/final
- 6. 勒索软件横行:FBI 及合作伙伴努力打击这一网络威胁。美国联邦调查局。2015 年 1 月 20 日访问。www.fbi.gov/news/stories/ransomware-on-the-rise
- 7. 钓鱼。美国联邦贸易委员会。2017 年 7 月访问。www.consumer.ftc.gov/articles/0003-phishing
- 8. 安全提示(ST04-014)避免社会工程和钓鱼攻击。美国-证书。原始发布日期:2009 年 10 月 22 日。最后修订日期:2018 年 11 月 21 日。访问日期:2019 年 2 月 2 日。www.us-cert.gov/ncas/tips/ST04-014
- 9. 骗子钓鱼骗取抵押贷款结算费用。美国联邦贸易委员会。Tressler,Colleen。2016 年 3 月 18 日访问。www.consumer.ftc.gov/blog/2016/03/scammers-phish-mortgage-closing-costs
- 10. 安 them 黑客攻击,第 2 部分:钓鱼诈骗。美国联邦贸易委员会。Tressler,Colleen。2015 年 2 月 10 日访问。www.consumer.ftc.gov/blog/2015/02/anthem-hack-attack-part-2-phishing-scams
- 11. 在参议院外交关系委员会作证。朱利安·史密斯,新美国安全中心战略与国家构想项目高级研究员和主任。2017 年 2 月 9 日访问。
- 12. 俄罗斯干预对德国 2017 年选举的影响。康斯坦茨·斯特尔岑穆勒博士和罗伯特·博世,布鲁金斯学会美国和欧洲中心高级研究员。在美国参议院情报特别委员会之前作证。2017 年 6 月 28 日访问。www.intelligence.senate.gov/sites/default/files/documents/sfr-cstelzenmuller-062817b.pdf
- 13. 在美国众议院能源和商业委员会听证会上的 Facebook。马克·扎克伯格,董事长兼首席执行官作证。2018 年 4 月 11 日访问。www.docs.house.gov/meetings/IF/IF00/20180411/108090/HHRG-115-IF00-20180411-SD002.pdf
- 14. 社交媒体和科技公司监管的潜在政策建议(草案)。美国参议员马克·R·沃纳。访问日期:2019 年 2 月 3 日。www.warner.senate.gov/public/_cache/files/d/3/d32c2f17-cc76-4e11-8aa9-897eb3c90d16/65A7C5D983F899DAAE5AA21F57BAD944.social-media-regulation-proposals.pdf
- 15. 欺诈警示:社会工程诈骗瞄准社会保障受益人。社会保障局。2012 年 11 月 21 日访问。oig.ssa.gov/newsroom/news-releases/advisory21
- 16. 反击税务身份盗窃。联邦贸易委员会。格雷辛,西娜。2019 年 1 月 30 日访问。www.consumer.ftc.gov/blog/2019/01/fight-back-against-tax-identity-theft
第二章:社会工程手段的连续性
在过去几年里,许多社会工程手段用来欺骗毫无戒心的用户已经变得越来越流行。这些手段包括邀请用户填写在线银行调查并承诺奖励金,要求用户提供账户信息,以及声称来自酒店奖励俱乐部的电子邮件,要求用户验证客户可能在合法网站上存储的信用卡信息以进行预订。消息中包含一个供受害者使用的统一资源定位器(URL),然后将用户引导至一个网站输入个人信息。该网站被精心设计以紧密模仿合法网站的外观和感觉。然后,这些信息被犯罪企业收集并使用。随着时间的推移,这些虚假电子邮件和网站已经发展成为更具技术欺骗性,难以被轻易调查。
钓鱼的定义已经扩大到包括更广泛的电子金融犯罪。除了广泛使用这些虚假电子邮件和网站来诱使用户泄露个人信息外,还出现了大量专门针对用户账户信息并监视与网站通信以收集账户信息的恶意代码。本章探讨了一系列社会工程策略、战术和动机。
2.1 社会工程攻击者的目的
社会工程攻击者追求各种不同的结果。在过去,他们通常只是破坏者和不良分子。1999 年,被广泛认为是一种拒绝服务攻击的 Melissa 计算机病毒,其意图类似于青少年的破坏行为。然而,2000 年的“爱情虫”病毒在意图上更加阴险,被社会工程化以诱使人们点击电子邮件附件。与 Melissa 一样,它针对的是 Microsoft Outlook 用户。但与 Melissa 不同的是,它传播到受害者的整个通讯录,而不仅仅是前 50 个名字。它还从硬盘中删除图片和声音文件,并显然试图窃取计算机的密码。最令人担忧的或许是专家们一致认为这个病毒是如此简单的程序,以至于即使一个掌握 Visual Basic 脚本知识的六年级学生也可以在几个小时内创建它。事实上,据称犯罪嫌疑人是一所没有太多培训的计算机学校的学生,他们只是简单地从以前的病毒中复制源代码,据称是为了窃取计算机密码。爱情虫强调了识别和有效打击潜在造成严重业务中断、经济灾难和国家安全漏洞的风险的必要性。
尽管许多人对“I LOVE YOU”病毒的语义进行争论:它是病毒、蠕虫还是特洛伊木马?但所有人都认为它符合恶意代码的定义,即,执行了用户不希望它执行的操作。其作法与“Melissa”非常相似,恶意代码通过电子邮件传播,可能来自你认识的某人,附件名为“LOVE-LETTER-FOR-YOU.TXT.VBS”。后缀 VBS 意味着附件是可执行代码,而不仅仅是文本。一旦读者点击了这个文件,I LOVE YOU 就会攻击 Microsoft Outlook,并将自身的副本发送给受害者通讯录中的每个人,而 Melissa 只使用了前 50 个名字。它感染了支持聊天室的软件,以便每当建立聊天室时,I LOVE YOU 就会发送给所有聊天者。它搜索图片、视频和音乐文件,用自己覆盖它们,因为这些文件更容易被执行。然后,它利用其窃取密码的程序感染了 Internet Explorer,在系统重新启动时激活。
“I LOVE YOU”病毒比 Melissa 传播得更有效的主要原因有两个:首先,它将自身发送给通讯录中的每个人;其次,它是在工作日而不是周末传播的。到 2000 年 5 月 4 日下午 6:00,卡内基梅隆大学的计算机应急响应小组(CERT)估计,大约有 42 万台主机感染了病毒。第二天,变种病毒如“母亲节”、“非常有趣”等被发送出去。美国国防部联合任务部队计算机网络防御组已经识别出至少 14 个“I LOVE YOU”的变种之一,名为“病毒警报”,比其他变种更危险,因为它损坏并覆盖了关键的系统文件。“爱情之虫”袭击了大型企业如 AT&T、TWA、福特、《华盛顿邮报》、ABC 新闻、英国议会、国际货币基金组织(IMF),至少 14 个美国政府机构,以及无数学校、信用合作社和个人公民。 ²
“I Love You”病毒显然是恶意的,造成了数十亿美元的损失。自那以后,互联网上出现了许多社会工程陷阱,旨在诱使计算机用户点击链接,进入充斥恶意代码的网站。安娜·库尔尼科娃和其他名人被用作点击诱饵,吸引了天真的互联网用户。然而,互联网恶意破坏者和小偷现在已经被犯罪团伙所掩盖,后者对破坏或违法行为几乎没有兴趣,而是专注于通过他们的犯罪行为赚钱。
一些社会工程师专注于短期的突袭式攻击,而另一些则在长期游戏中。短期的方法类似于一次性的突袭行动,目的是通过勒索或窃取和出售用户凭据、密码、信用卡号码以及各种可以为更严重的攻击铺平道路的个人或企业信息来迅速赚取钱财。无论他们的目标是什么,美国经济顾问委员会估计,2016 年网络犯罪分子的恶意活动给美国经济造成的损失在 570 亿到 1,090 亿美元之间。[³] 根据政府和行业消息来源的说法,恶意网络活动是公共和私人部门越来越关注的问题。根据国家情报总监办公室(DNI)的说法,在 2013 年至 2015 年期间,网络威胁是美国面临的最重要的战略威胁。网络威胁行动者分为六大类(见框 2.1),每个类别都有不同的目标和动机。
框 2.1 网络威胁行动者
- 国家
- 企业竞争对手
- 黑客活动人士
- 有组织的犯罪团伙
- 机会主义者
- 公司内部人员
国家: 根据 2017 年 DNI 的说法,主要行动者是俄罗斯、赛里斯、伊朗和朝鲜。这些组织资金充足,经常进行复杂、有针对性的攻击。国家通常受到政治、经济、技术或军事议程的驱使,他们在不同时间具有各种不同的目标。国家经常进行产业间谍活动。如果他们需要资金,他们可能会进行勒索攻击和电子资金盗窃。国家经常以个人可识别信息(PII)为目标,以便监视某些个人。此外,通过对网络安全专家的访谈,国家可能会参与涉及一家或多家公司的商业破坏活动,这可能是对国际社会采取的制裁或其他行动的报复。
企业竞争对手: 这些是寻求非法获取竞争对手专有知识产权的公司,包括金融、战略和与劳动力有关的信息;许多此类企业行为者都得到了国家支持。
黑客活动人士: 这些通常是全球范围内具有政治议程的个人或团体,他们试图进行高调攻击。这些攻击有助于黑客活动人士传播宣传或因意识形态原因对抗组织造成损害。
有组织的犯罪团伙: 这些是进行有针对性攻击的犯罪团体,动机是谋求利润。他们通过在暗网上出售窃取的 PII 收集利润,并通过对公共和私人实体进行破坏性攻击来收取赎金。
机会主义者:这些通常是被渴望声名所驱动的业余黑客。机会主义者通常使用广泛可用的代码和技术攻击组织,因此通常代表了最不先进的对手形式。
公司内部人员:这些通常是不满的员工或前员工,寻求报复或财务收益。当内部人员与外部行为者一起行动时,内部人员可能尤为危险,使这些外部行为者能够轻松地绕过即使是最强大的防御。
最终,任何组织都是网络威胁行为者的目标,尽管不同时间可能会有不同组织面临较高风险。例如,公司竞争对手通常会针对同行业的公司。所谓的黑客活动分子,出于意识形态的考虑,可能会在不同时间攻击不同的组织,通常是因为这些组织在某种程度上得罪了黑客活动分子。当一个国家面临针对某个行业的制裁时,该国家可能会利用网络能力来针对该行业的公司,而这些公司所在的国家则是制裁的国家。也就是说,每个公司都是潜在的目标,无论其年龄、规模、行业、地点或员工构成如何。 ³
2.2 欺诈的常见类型
社会工程学是一门古老的艺术,这反映在长期以来不断出现的欺诈性方案类型上。通常参与某种类型欺诈方案的是有组织的犯罪团伙或以谋利为动机的犯罪集体。这些方案的宣传或者说犯罪分子如何说服人们陷入方案中,实际上是社会工程学的艺术。更好地理解社会工程学的一种方法是了解由社会工程学驱动的欺诈性方案。本节概述了常见的欺诈性方案。联邦调查局(FBI)对几种类型的欺诈提出了警告。
预付费方案或预付费欺诈是指受害者在预期获得更有价值的东西时向某人支付一笔钱,例如贷款、合同、投资或礼物,然后几乎没有或什么也没得到。预付费方案的种类仅受到提供它们的骗子的想象力的限制,它们都以一个社会工程师可以设计的尽可能吸引人的方式呈现给潜在的受害者。它们可能涉及产品或服务的销售、投资的提供、彩票中奖、找到的钱或许多其他机会。例如,聪明的骗子将提供为他们的客户找到融资安排的服务,并要求客户提前支付一笔介绍费。他们要求他们的客户签署合同,同意在他们被介绍给融资来源后支付费用。受害者通常会在按照合同支付介绍费后才发现自己无资格获得融资。除非能够证明介绍者从未有过意愿或能力为受害者提供融资,否则这样的协议可能是合法的。
商业欺诈包括个人或公司为了给那些个人或机构带来有利的财务结果而实施的不诚实和非法活动。这些计划经常以合法的商业实践的名义出现,也被称为公司欺诈。商业欺诈涵盖了广泛的犯罪行为,包括以下几种:
- 慈善欺诈:利用欺骗手段从相信他们正在向合法慈善组织捐款的个人那里获取钱财,特别是在灾难发生后不久(灾难欺诈)。
- 互联网拍卖欺诈:在在线拍卖网站的背景下发生的欺诈交易或交换。
- 商品未交付:当付款已发送但未收到订购的商品和服务时发生的欺诈。
- 资金未支付:当货物和服务已发运或提供但未收到对它们的付款时发生的欺诈。
- 过付款计划:一个人收到的支付金额远远高于应付金额,并被指示将多余的资金存入其银行账户,并将多余的资金汇款回发送方的银行或公司。发送方的银行通常位于海外,例如东欧,并且经常在汇款发生后发现初始付款是欺诈的。
- 转运方案:一个人被招募在其居住地接收商品,然后重新包装这些商品以便运输,通常是向国外运输。他们不知道的是,商品是用欺诈信用卡购买的,通常是以他们的名义开设的。
- 信用卡诈骗是未经授权使用信用卡、借记卡或类似支付工具(自动清算中心(ACH)、电子资金转账(EFT)、循环收费等)欺诈性地获取金钱或财产。 信用卡和借记卡号码可以从不安全的网站中窃取,也可以在身份盗窃方案中获得。
- 投资诈骗涉及非法销售或假称销售金融工具。 典型的投资诈骗方案的特征是提供低风险或无风险投资、保证回报、过于一致的回报、复杂的策略或未注册证券。 投资诈骗的示例包括预付费诈骗、庞氏骗局、传销和市场操纵诈骗。 投资诈骗的更复杂的方法将在下一节讨论。
- 合法的信用证从不作为投资出售或提供。 它们由银行发行,以确保与国际贸易相关的货物付款。 信用证的付款通常要求付款银行收到证明已发货且正在运送至目的地的文件。 信用证欺诈经常通过提供虚假文件以示已发货,而实际上未发货或发货次品来试图欺骗银行。 其他信用证欺诈发生在骗子以信用证或银行担保作为投资提供时,投资者被承诺高达每年 100-300%的巨额利率。 这样的投资机会根本不存在。
- 市场操纵诈骗,通常称为泵浦与倾销,为目标证券创造人为的买入压力,通常是在由欺诈者大部分控制的场外证券市场中的低交易量发行者。 这种人为增加的交易量的效果是人为地增加目标证券的价格(即泵浦),然后由欺诈者(即倾销)迅速在该证券的膨胀市场中出售。 这给欺诈者带来非法收益,给无辜的第三方投资者带来损失。 通常,增加的交易量是通过诱使不知情的投资者通过虚假或欺骗性的销售做法和/或公开信息发布购买目标证券的股份而产生的。 这种计划的现代变种涉及主要基于外国的计算机犯罪分子未经授权地访问美国无辜受害者的在线经纪账户。 然后,利用这些受害者账户来进行协调的在线购买目标证券,以影响操纵的泵浦部分,同时欺诈者将他们在目标证券的预先持有份额卖出到膨胀的市场来完成倾销。
- 犯罪分子发布欺诈性的在线分类广告,提供从未拥有过的车辆出售。假广告通常包括与车辆描述匹配的照片,以及一个电话号码或电子邮件地址,以联系所谓的卖家。一旦建立联系,犯罪分子会向有意的买家发送额外的照片,以及对折扣价格和交易紧急性的解释。常见的理由包括:卖家搬家或被军队部署、卖家将车辆作为离婚协议的一部分收到、或者车辆曾属于已故的亲戚。 犯罪分子通过欺骗性地声称与声誉良好的公司(如 eBay)合作,并确保交易将通过第三方的买家保护计划进行,使欺诈看起来合法。他们甚至可能发送一个冒充第三方的虚假免费电话号码。买方被告知购买预付礼品卡以支付销售金额,并与犯罪分子共享卡号,然后通知买方,他们将在几天内收到车辆。交易完成后,犯罪分子通常会忽视买方的所有后续电话、短信或电子邮件,或者可能要求额外支付。最终,车辆未交付,买方通常无法收回损失。
其他欺诈行为包括非法的假药,可能对您的健康有害。它们是未按照它们声称的药物的药理学规范生产的假药。这些伪造的处方药可能被污染或含有错误的成分或无活性成分。它们也可能含有正确的活性成分,但剂量错误。许多人被伪装成合法药品的假处方药愚弄,使用它们可能会恶化他们的健康状况。
欺诈性化妆品和抗衰老产品诈骗增加了进入美国的假冒化妆品的数量。互联网使消费者普遍获得了带有抗衰老特性标签的健康和美容产品,其中一些是赝品。个人护理产品的伪造者越来越把从事这些假货交易视为一种低风险犯罪,因为其中许多人位于美国之外。政府和行业的研究和测试发现,伪造的抗衰老产品中含有危险成分。欺诈性化妆品可能含有砷、铍和镉(均为已知的致癌物质),以及高水平的铝和来自尿液等来源的危险水平的细菌。其中一些产品导致了痤疮、牛皮癣、皮疹和眼部感染等情况。
葬礼和墓地欺诈越来越受欢迎。数百万美国人签订合同提前安排他们的葬礼并预付部分或全部费用,以减轻家人的经济和情感负担。各州的法律规范该行业,各州都有法律以确保这些预付款在需要时可用。然而,各州的保护措施差异很大,有时为不道德的经营者提供了机会,他们可以高价收费并将自己列为经济受益人。
与医疗保健相关的计划试图欺诈私人或政府医疗保健计划,通常涉及医疗保健提供者、公司或个人。这些计划可能包括提供(假的)保险卡;健康保险市场援助;被盗的健康信息;药物、补充剂、减肥产品;或药丸工厂的做法。医疗设备欺诈发生在保险公司被收取不需要的产品和/或可能未交付的情况下。滚动实验室计划涉及对健身俱乐部、退休院或购物中心的个人进行不必要且有时是假的测试,并向保险公司或医疗保险收费。
医疗保险欺诈可以采取上述任何一种健康保险欺诈的形式。老年人经常成为医疗保险计划的目标,特别是那些向老年人提供免费医疗产品以换取他们的医疗保险号码的医疗设备制造商。由于在医疗保险支付之前,医生必须签署一份证明需要设备或检测的表格,骗子们伪造签名或贿赂腐败的医生签署表格。一旦签名就位,制造商就会向医疗保险收费,而这些商品或服务是不需要的或未经订购的。
尼日利亚来函欺诈结合了冒充欺诈的威胁和一种预付费方案的变体,其中一封从尼日利亚寄出或通过电子邮件发送的信件向收件人提供了分享数百万美元的机会,作者通常是一个自称政府官员的人,试图非法将资金转移出尼日利亚。鼓励收件人向作者发送信息,如空白抬头纸、银行名称和账号以及其他身份信息,使用信件中提供的传真号码或消息中提供的回复电子邮件地址。该计划依赖于说服一个愿意的受害者,通过回应邀请表现出偷窃倾向,以多次分期向尼日利亚的信件作者发送金额逐渐增加的钱款,出于各种原因。
税款支付,向政府官员行贿以及法律费用通常会详细描述,并承诺只要资金被转移出尼日利亚,所有费用都将得到偿还。实际上,数百万美元并不存在,受害者最终什么也得不到。一旦受害者停止汇款,行骗者已知会使用他们收到的个人信息和支票来冒充受害者,清空银行账户和信用卡余额。尽管这样的邀请给大多数守法公民留下了一个可笑的骗局印象,但是每年由于这些计划造成了数百万美元的损失。一些受害者被诱骗到尼日利亚,他们被迫被拘留,同时失去了大笔资金。尼日利亚政府对这些计划的受害者并不表示同情,因为受害者实际上是在与尼日利亚法律相抵触的方式中共谋移除资金。这些计划本身违反了尼日利亚刑法第 419 条,因此被称为 419 诈骗。
赎回/稻草人/债券欺诈是常见的,支持这一方案的人声称美国政府或财政部控制着银行账户,通常被称为美国财政部直接账户,所有美国公民都可以通过向州和联邦当局提交文件来访问这些账户。宣传此诈骗方案的个人经常引用各种被证明是错误的法律理论,并可能将该方案称为赎回,稻草人或接受价值。培训师和网站通常会收取大量费用,教授个人如何实施这一方案。他们经常暗示其他人已经成功地清偿债务并购买汽车和房屋等商品。未能成功实施该方案通常被归因于个人未按照特定顺序遵循说明或未在正确时间提交文件。
该方案主要使用看似合法的欺诈性金融文件。这些文件通常被称为汇票,兑换债券,保证债券,抵销债券,即期汇票或会计长的权令。此外,其他官方文件也被用于超出其预期用途,如 IRS 表格 1099、1099-OID 和 8300。该方案经常混合使用法律和伪法律术语以显示合法性。公证员可能会被用来试图使欺诈行为看起来合法。
联邦调查局(FBI)和美国住房和城市发展部办公室的监察长办公室(HUD-OIG)敦促消费者,特别是老年人,在寻找反向抵押产品时要保持警惕。反向抵押,也称为家庭净值转换抵押贷款(HECM),在 1999 年至 2008 年间增长了 1300%以上,为欺诈行为者创造了重大机会。
反向抵押贷款诈骗是由许多房地产、金融服务和相关公司的不道德专业人士策划的,目的是从毫不知情的老年人的房产中窃取资产,或者利用这些老年人无意中帮助诈骗者从翻转的房产中窃取资产。在许多被报道的诈骗案中,老年受害者被提供免费住房、投资机会以及避免房产被拍卖或者重新融资的援助。他们还被用作房地产炒作诈骗的替罪羊买家。老年人经常是通过当地教堂和投资研讨会,以及电视、广播、广告牌和邮件广告来成为目标。然而,合法的 HECM 贷款产品由联邦住房管理局保险。它使符合条件的房主可以在不产生月供的情况下提取他们房屋的资产。符合条件的借款人必须年满 62 岁,将其房产作为主要住所,并拥有自己的房产或者有较小的抵押贷款余额。
电话销售员不断地打来电话,尤其是在纳税或者处理健康保险文件的时候,他们会更频繁地打电话。他们还开始使用电子邮件,其中一些会把受害者更深地陷入陷阱,而其他一些则只是在计算机中植入间谍软件或勒索软件。当个人向他们不认识的人发送钱或向未知的来电者提供个人或财务信息时,他们增加了成为电话销售诈骗受害者的几率。以下是电话销售诈骗的一些警告信号——一个来电者可能会说的话:
- 你必须立即行动,否则这个优惠将不再有效。
- 你赢得了一个免费礼物、假期或奖品。但你必须支付邮费和处理费或其他费用。
- 你必须汇款、提供信用卡或银行账号,或者让快递员取走支票。你可能在仔细考虑该优惠之前就听到了这样的话。
- 你不需要与任何人核实该公司。(来电者称你根本不需要与任何人交谈,包括你的家人、律师、会计师、当地的商业局或消费者保护机构)。
- 你不需要任何有关公司或他们的参考资料的书面信息。
- 你不能错过这个高利润、零风险的优惠。⁴
2.3 社会工程化的大规模投资诈骗
投资欺诈有许多形式。无论您是初次投资者还是已经投资多年,您都应该了解有关不同类型欺诈的一些基本事实⁵。证券交易委员会(SEC)专注于社会工程师专门针对投资者的欺诈行为。 Box 2.2 显示了 SEC 警告投资者的欺诈类型。商品期货交易委员会(CFTC)致力于保护市场用户及其资金、消费者和公众免受与商品交易法(CEA)所规定的衍生品和其他产品相关的欺诈、操纵和滥用行为的伤害。
上述讨论了许多类型的投资欺诈,但许多类型需要进一步解释,并在以下段落中加以涵盖。在本节中,提供了更多信息,以帮助识别欺诈者向潜在受害者提供的社会工程信息。这提供了更深入的了解社会工程进程,当社会工程攻击者在进行长期计划并计划尽可能长时间地保持受害者的参与,以增加成功欺诈的可能性时。
Box 2.2 投资欺诈类型
- 亲和群体欺诈
- 预付费欺诈
- 二元期权欺诈
- 高收益投资项目
- 互联网和社交媒体欺诈
- 小市值股票欺诈
- 庞氏骗局
- IPO 前投资诈骗
- 金字塔式骗局
- 高级银行投资
- 本票
- 炒作和倾销计划
亲和群体欺诈几乎总是涉及虚假投资或欺诈者对重要细节的谎言(例如投资风险、投资的历史记录或计划推广者的背景)。许多亲和群体欺诈都是庞氏或金字塔式骗局,新投资者给推广者的钱被用来支付给早期投资者,以营造所谓的投资成功的假象。这迷惑了新投资者投资于该计划,并让现有投资者相信他们的投资是安全的。实际上,即使真的存在实际投资,该投资通常也几乎没有利润。欺诈者只是将新投资者的钱用于自己的个人用途,通常将其中一部分用于支付那些可能怀疑的现有投资者。最终,当投资者的资金供应枯竭并且当前投资者要求支付时,该计划崩溃,投资者发现他们的大部分或全部资金都已经消失。
实施亲和力骗局的欺诈分子经常是(或假装是)他们试图欺骗的群体的成员。该群体可以是宗教团体,如特定教派或教会。它可以是一个民族团体或移民社区。它可以是一个种族少数群体。它可以是特定工作力量的成员——甚至军队成员也曾是这些欺诈的目标。欺诈分子瞄准任何他们认为能够说服他们信任他们管理群体成员的辛苦积蓄的群体。这是这种社会工程学的关键。
在本质上,亲和力欺诈利用了具有共同点的人群中存在的信任和友谊。欺诈分子使用多种方法获取该群体的接触。一个常见的方法是邀请群体内受尊敬的领导人传播该计划的消息。这些公民社会领导者可能没有意识到投资实际上是一个骗局,他们可能会成为欺诈的无辜受害者。
由于许多群体的紧密结构,监管机构或执法人员可能难以发现亲和力骗局。受害者通常不会通知当局或寻求法律救济。相反,他们试图在群体内解决问题。在欺诈分子利用受尊敬的社区或宗教领袖说服其他人加入投资的情况下,情况尤为如此。
证券交易委员会(SEC)的投资者教育与倡导办公室发布了一份投资者警报,警告投资者说,欺诈分子可能会通过所谓的在线二元期权交易平台进行社会工程学投资计划。虽然一些二元期权被列在注册交易所上或在美国监管机构(如 SEC 或商品期货交易委员会)监管的指定合同市场上交易,但这只是二元期权市场的一部分。许多二元期权市场是通过不一定符合适用美国监管要求的基于互联网的交易平台运作的。
二元期权是一种期权合约,其支付完全取决于是/否(二元)命题的结果。当二元期权到期时,期权持有人将收到预定金额的现金或根本没有任何东西。鉴于全额或无任何回报的支付结构,二元期权有时被称为全额或无回报的期权或固定回报的期权。
通常,二元期权网站的代表会要求客户将资金存入一个账户,客户可以在该账户购买二元期权合约。例如,客户可能会被要求支付50 购买一份二元期权合约,如果 XYZ 公司的股价在二元期权到期时高于每股5,则可获得 50%的回报。
二元期权网站的代表可能使用虚假姓名,并吹嘘社会工程学的资历、资格和经验。他们可能会误导你,声称他们来自某个地方(例如,假装他们在美国)。据称对二元期权网站进行审查或排名的看似公正的来源可能已经被支付来推广或批评特定网站。诈骗者可能会警告你,你正在使用的二元期权网站是一个骗局,以获得你的信任,并让你在他们也经营的另一个网站上存入更多的钱。考虑向二元期权网站投资的人应该注意以下红旗:
- 未经请求的提议:未经请求的提议(你没有要求,也不认识发件人)以获得看似太好以至于不真实的投资回报可能是欺诈性投资计划的一部分。
- 高压销售策略或威胁:二元期权网站的代表可能使用高压销售策略甚至威胁(例如,威胁要对你的财产提出留置权)来欺诈你。
- 身份盗窃:二元期权网站的代表可能虚假声称政府要求你提供信用卡、护照、驾驶执照、水电费账单或其他个人数据的复印件。保护自己,保护个人信息。
- 代表不断更换:如果你在二元期权网站交易的人员姓名似乎经常变化,或者被告知你的前经纪人已被解雇,要保持怀疑态度。
- 取款问题:二元期权网站的代表可能使用拖延战术来延迟你的取款请求,直到你无法向信用卡公司争议这些费用。《公平信用账单法案》(FCBA)为消费者提供保护,如果你被收取了你没有接受或未按约定交付的商品和服务的费用,但你必须在第一份带有错误的账单寄给你后的 60 天内发送一封争议费用的信件给债权人。此外,如果有人试图说服你支付更多的钱以获得更少取款限制的高级账户,要保持怀疑态度。
- 信用卡滥用:如果你使用信用卡为你的账户提供资金,请注意你的信用卡账单上是否有未经授权的费用。即使你签署了一份据称放弃争议任何信用卡费用的表格,也要立即向你的信用卡公司报告所有未经授权的费用。
- 冒充政府人员:如果有人声称与证券交易委员会(SEC)有关联,要求你支付钱来帮助你恢复与二元期权投资相关的损失,请向 SEC 的监察长办公室(OIG)提交投诉,网址为www.sec.gov/oig,或致电 OIG 的免费热线电话(833) SEC-OIG1 (732-6441)。所有投资者都应该知道,SEC 从不要求人们支付来取回他们的钱。⁷
除了实施社会工程欺诈投资计划外,二元期权网站的运营商可能通过其他非法行为违反联邦证券法,包括:
- 提供或销售未向证监会注册的证券(且无可用的注册豁免);
- 作为未注册的经纪商;
- 作为未注册的证券交易所;以及
- 向投资者作出实质性虚假陈述(例如,夸大投资回报率,夸大在多次交易中投资二元期权的长期盈利能力,或低估二元期权交易的风险)。
此外,如果二元期权交易网站提供的任何产品是基于证券的互换,将适用额外要求。
微型股票(有时称为便士股票)这个术语适用于市值低或微小的公司。市值低于 2.5 亿或 3 亿美元的公司通常被称为微型股票,尽管许多公司的市值远低于这些金额。市值低于 5000 万美元的最小上市公司有时被称为纳米股票。
许多微型股票在场外交易(OTC)市场交易。微型股票的报价可能直接从经纪商处获取,或者从 OTC 系统(如 OTC 公告板(OTCBB)、OTC Link LLC(OTC Link)或全球 OTC)获取。
微型股票在几个方面与其他股票不同。通常,微型股票与其他股票之间最大的区别在于关于公司的可靠公开信息的数量。大多数大型上市公司向证监会提交报告,任何投资者都可以从证监会的网站免费获取。专业股票分析师经常研究和撰写关于较大上市公司的报告,很容易在互联网上或报纸和其他出版物中找到它们的股价。相比之下,关于微型公司的同样信息可能极难找到,使它们更容易受到社会工程投资欺诈计划的影响,并且更不可能基于公司的完整和准确信息报价。
在交易所上市的公司必须符合最低上市标准。例如,它们必须拥有最低数量的净资产和最低数量的股东。相比之下,在 OTCBB、OTC Link 或 Global OTC 上报价的公司通常不需要符合任何最低上市标准,但通常需要遵守一些初期和持续的要求。投资者可以在www.finra.org/industry/faq-otcbb-frequently-asked-questions上找到 OTCBB 股票的资格要求,有关 OTC Link 和 Global OTC 的其他信息可以在www.otcmarkets.com和www.globalotc.com上找到。
所有投资都存在风险,但是微型股票属于风险最高的一类。许多微型公司是新成立的,没有经过验证的历史记录。其中一些公司没有资产、业务或收入。另一些公司的产品和服务还在开发中,或者尚未在市场上测试。与微型股票相关的另一个风险涉及交易量较低,这可能会使投资者在想要出售股票时难以做到。由于许多微型股票的交易量较低,任何规模的交易都可能对股票价格产生较大的影响。微型股票也可能容易受到欺诈和操纵的影响。 ⁸
考虑投资于这一类股票的人需要注意有关该公司的错误信息。潜在买家可以向他们的投资专业人士询问公司是否向美国证券交易委员会提交报告,并提供有关公司及其业务、财务和管理的书面信息。潜在投资者还应记住,他们永远不应仅仅基于未经请求的电子邮件、留言板帖子和公司新闻发布来做出投资决定。不幸的是,人们收到的一些信息可能是错误或误导性的,或者是由未透露利益的人分发的,这些人有意引导投资者以高于其真实价值的价格购买股票。仅仅因为一个公司似乎提供了随时可用的公司信息或向监管机构提交了报告,并不意味着投资于该公司是安全的。 ⁹
通常,小市值股票和其他股票之间最大的区别是关于公司的可靠公开信息的数量。大多数大型上市公司向 SEC 提交报告,任何投资者都可以免费从 SEC 的网站获取。专业股票分析师定期研究和撰写关于大型上市公司的报告,很容易在互联网上或报纸和其他出版物中找到他们的股票价格。相比之下,关于小市值公司的同样信息可能非常难以找到,使得它们更容易受到投资欺诈计划的攻击,并且使得报价价格不太可能基于对公司的完整和准确信息。
在 OTCBB、OTC Link 或全球 OTC 上报价的公司无需满足任何最低上市标准,但通常受到一些初始和持续要求的约束。从历史上看,小市值股票的流动性比大公司的股票要低。在投资小市值公司之前,购买者应该仔细考虑到,他们可能很难以后出售股票,或者出售将对股票的出售价格产生明显影响。
尽管所有股票都有一定程度的波动性,但小市值股票的历史波动性通常比大公司的股票更大。在投资小市值股票之前,人们应该认真考虑到这些股票可能容易发生突然的大幅价格变动;特别是考虑到投资者可能在出售这些股票时遇到的困难。
关于小市值股票的可靠、公开的信息通常有限。此外,小市值公司的股票历史上比大公司的股票更不流动,交易量更少。这些因素使得欺诈者更容易操纵小市值股票的股价或交易量。
在权衡对小市值公司的潜在投资合法性时,应该考虑几个因素。这些包括任何 SEC 的交易暂停,如果涉及到公司及其股票的当前和准确信息的缺乏;公司的股票是否似乎比其产品或服务更受推广;股价或交易量的不明原因增加或减少;业务成功的历史;内部人员持有大量股票;几乎没有资产,微不足道的收入,或者不切实际的新闻稿可能表明没有真正的业务运营。
潜在投资者应该超越公开可获取的社交媒体和新闻稿,以获取有关公司管理层及其董事的独立信息,绝不能与拒绝提供有关其推广的投资的书面信息的经纪人打交道。所有提供给潜在投资者的材料都应仔细审查和验证,特别是财务报表,尤其是如果它们没有由注册会计师(CPA)审计。如果经纪人招揽您购买此股票并且无法为您提供有关公司的基本信息(例如,公司的财务统计数据),请仔细考虑是否这是一个适当的投资。 ¹⁰
美国证券交易委员会投资者教育和倡导办公室发布了一份更新的投资者警报,警告投资者提防声称能够购买公司的前初步公开发行(pre-IPO)股票的投资诈骗,包括社交媒体和技术公司,如 Facebook 和 Twitter。SEC 工作人员意识到有关这些类型欺诈的投诉和询问,并可能在社交媒体和互联网站,电话,电子邮件,面对面或其他方式进行推广。在 2010 年 9 月,根据一项判决令,SEC 以欺诈性提供虚假的公司前 IPO 股票而对一个骗子的指控为由,向四个州的 45 名投资者取得了胜利,涉及金额超过 370 万美元,包括 AOL/时代华纳,谷歌公司和 Rosetta Stone 公司在内的公司。投资者应谨记购买公司前 IPO 股票的风险。记住,推广欺诈性前 IPO 提供的人和公司经常使用社会工程学,令人印象深刻的网站,公告栏张贴和电子邮件垃圾邮件等手段来利用通过互联网寻找可投资的电子业务的投资者。为了诱使投资者进入,他们对他们的公司与其他已建立的成功的互联网公司进行了毫无根据的比较。但这些乍一听起来如此可信的说法往往是虚假或误导性的。在考虑通过互联网推广的任何 pre-IPO 提供时,始终保持怀疑态度。 ¹¹
商品池欺诈是一种涉及个人和公司的欺诈行为,通常是未注册的,它们提供商品池投资。在这些欺诈计划中,投资者的资金被滥用(通常用于不当费用)。池运营商基于社会工程学的虚假高利润和低风险的声称进行广告宣传。可能存在欺诈性销售话术的迹象包括:
- 让人相信他们可以从已为公众所知的当前新闻中获利。例如,“由于那场飓风,油期货的价格将大幅上涨。”
- 通过口口相传或来自朋友、亲戚、教堂成员或社交团体的电子邮件联系,甚至有一位欺诈性的投资者甚至向他的癌症支持团体推销。
- 声称了解独特的市场趋势或拥有高利润交易记录。
- 承诺快速、大额和保证回报。
- 要求个人信息,如全名、电话号码和电子邮件或家庭地址。
- 立即要求现金。
经常使用社会工程策略包括:
- 以财富的前景诱惑人们,提供他们想要但无法得到的东西。例如,“这次黄金购买保证三个月内翻倍!”
- 试图通过声称与知名公司合作或拥有特殊资质或经验来建立信誉。例如,“相信我,作为 EZY Money Inc.的高级副总裁,我绝不会出售不能产生投资的产品。”
- 让人们相信其他精明的投资者已经投资了。例如,“这就是鲍勃开始的方式。我知道这是一大笔钱,但我参与了,我妈妈和她的一半俱乐部也参与了,每一分钱都是值得的。”
- 提供为人们做小恩惠以换取大恩惠。例如,“如果你现在购买,我会给你打折,半价。”
- 通过声称供应有限来制造虚假的紧迫感。例如,“只剩下两个单位了,所以如果我是你,我会立即注册。”
外汇(Forex)市场波动较大,存在重大风险。这不是投入任何不能承受损失的资金的地方,比如退休基金,因为你可能会很快失去���部分或全部资金。近年来,CFTC 目睹了外汇交易诈骗案件的急剧增加,并建议投资者如何识别潜在的欺诈行为。可能存在欺诈性销售宣传的迹象包括大多数在商品池欺诈中采用的社会工程宣传和说服策略。
CFTC 发布的有关“反恐战争”利润的欺诈警示敦促投资者警惕基于 2001 年 9 月 11 日事件以及其他恐怖袭击以及与反恐战争相关的公共信息的商品期货和期权交易的利润承诺。公司通常使用电话推销、电子邮件、互联网广告、网站、互联网聊天室讨论或广播和电视广告以及信息广告来推广商品期货和期权交易。招揽可能承诺快速致富,例如在几个月内将 5000 美元变成 20000 美元,并附有预定风险。我们知道有人声称购买原油期货或期权将是有利可图的,因为原油生产国的动荡将推高这种商品的价格。
这些销售陈词是经过社会工程设计的,是虚假的,由于世界事件导致的对商品的需求增加不一定会导致期权或期货合同价值的增加。市场已经将这种需求因素考虑进期货和期权的价格中。市场对新信息的反应是立即的,在几分钟或几小时内。商品期权和期货合同的价格已经考虑了所有已知或可预测的市场条件。声称购买商品期货和期权的风险可以预先确定或固定是误导的。购买商品期权合同的人可能会损失每一分钱,因为期货合同是杠杆或保证金的,客户可能会因为超过他们的初始存款而承担损失。 ¹⁴
贵金属诈骗通常以对黄金、白银、钯和铂等贵金属价格上涨的轻松利润做出社会工程学上的承诺开始。商品池诈骗和外汇市场诈骗中常常采用的社会工程学陈词和说服策略通常也被用于贵金属诈骗计划中。有一些不同的变化,比如:“自从那次矿难以来,你肯定会在你的存款上获得丰厚的回报,”或者声称贵金属交易不受美国商品期货交易委员会或国家期货协会的监管。 ¹⁵
2.4 社会工程攻击者的工作方式
在社会工程攻击中,攻击者利用基本的人际互动(社交技巧)来让信息、帖子或广告的接收者执行所需的操作。这可能只是打开一个文件或点击一个链接,就像“我爱你”攻击一样简单。它也可能涉及获取有关组织、其运营或计算机系统的妥协信息,这些信息有助于渗透和攻击网络和系统。在更复杂的攻击中,内容可以被社会工程设计成将读者带入一个更复杂的情况,从而导致欺诈或盗窃。无论攻击者的期望结果是什么,社会工程学的消息已被证明是支持犯罪企业或推动社会或政治议程的有效方法。
一个优秀的攻击者会显得不引人注目和可信,可能声称自己是新员工、维修人员、研究人员或支持者,甚至提供证书来支持这种身份。然而,通过提问,他们通常能够拼凑出足够的信息来进一步渗透组织的运营、网络、系统或数据。如果攻击者从一个来源没有收集到足够的信息,他们通常会联系同一组织内的其他来源,利用第一个来源的信息来增加可信度和合法性的外观。攻击者会努力建立达到其目标所需的任何关系水平。
钓鱼是一种社交工程,通常使用电子邮件,社交媒体或恶意网站来假冒合法、可信赖的组织以索取个人信息。一个经常使用的策略是,攻击者可能发送一封电子邮件,看似来自声誉良好的信用卡公司或金融机构,要求账户信息,通常暗示存在问题。当用户以所请求的信息回复时,攻击者可以使用它来进一步访问账户或系统。
钓鱼攻击也可能假装来自其他类型的组织,如慈善机构或政府机构。攻击者通常会利用当前事件或一年中的某些时段,例如像卡特里娜飓风这样的自然灾害,或像流行病和健康恐慌,经济问题,重大政治选举,甚至节假日中的人类苦难。然而,钓鱼攻击也可能由组织内的员工或员工的亲属执行,他们可以获得用于收集额外信息或增加其访问权限的组织资源。 ¹⁶
在电话社交工程攻击中,黑客联系受害者,假装成其他人,如服务技术员或同事,并试图收集对受害者而言可能看似无害的信息。社交工程师可能会在与受害者的工作、个人兴趣或爱好相关的贸易展览会或会议上收集关于他们受害者的信息。社交工程师利用各种各样的情感和人类特征,从想要帮助到想要友谊,或者最常见的是在金融欺诈案件中的纯粹贪婪的受害者。
在社交工程师可以与潜在受害者进行实际互动的情况下,比如在贸易展览会或市集上,他们会在场地里四处走动,与潜在受害者交谈。这样的活动给了他们一个共同的兴趣点,可以用来打破冰。他们也可能会设立展台或摊位,以提供与活动相关的解决方案或产品的名义收集信息。 ¹⁷
2.5 结论
社交工程师利用的技术将在后续章节中介绍,同时还会介绍额外的现实世界社交工程攻击。然而,重要的是要注意,社交工程攻击者使用的技术将不断变化,对于非技术人员来说往往难以理解和识别。本章涵盖的材料展示了一系列社交工程攻击者的目标,如果计算机用户怀疑任何可能存在的点击诱饵方法或讨论的诡计,都应该引起警惕。
2.6 关键点
本章涵盖的重点包括:
- 假电子邮件和网站已经发展成为更具技术欺骗性的形式,使得许多非技术用户难以识别恶意内容。
- 钓鱼的定义已经扩展到包括更广泛的电子金融犯罪,超越了假电子邮件和网站,考虑到专门针对用户账户信息和监听与网站通信以收集账户信息的恶意代码的增加。
- 爱情虫强调了识别和有效打击可能造成严重业务中断、经济灾难和国家安全漏洞的风险的必要性。
- 一些社会工程师专注于短期的闪电式攻击,而其他人则在玩着长期的游戏。
- 国家社会工程师经常资金充足,并经常参与复杂、有针对性的攻击。国家通常受政治、经济、技术或军事议程的驱使,他们在不同时间有各种目标。
- 公司竞争对手试图非法获取对手的专有知识产权,包括财务、战略和与劳动力相关的信息;许多此类公司行为背后都有国家支持。
- 黑客活动分子通常是全球各地具有政治议程的私人个体或团体,他们试图执行备受关注的攻击。
- 组织犯罪集团经常进行有针对性的攻击,动机是追求利润。他们通过在黑暗网络上出售窃取的个人身份信息和通过破坏性攻击向公共和私人实体收取赎金来收集利润。
- 机会主义者通常是由对声名追求的业余黑客,通常使用广泛可用的代码和技术攻击组织,因此通常代表了对手最不先进的形式。
- 公司内部人员经常利用社会工程攻击来寻求报复或经济利益。
- 更好地理解社会工程的一种方法是理解由社会工程驱动的欺诈计划。
- 投资诈骗有许多形式。无论你是第一次投资者还是已经投资多年,你都应该了解一些关于不同类型诈骗的基本事实。
- 经常被社会工程的说服策略包括挂着财富的诱饵,诱使人们向着他们想要但得不到的东西前进。
- 在社会工程攻击中,攻击者利用基本的人际交往(社交技巧)来诱使消息、帖子或广告的接收者执行所需的操作。
- 一个优秀的攻击者会显得毫不起眼和可敬,可能声称自己是一名新员工、维修人员、研究人员或支持者,甚至提供凭证来支持那个身份。
- 在电话社会工程攻击中,黑客联系受害者假装成别人,例如服务技术人员或同事,并试图收集对受害者似乎无害的信息。
2.7 研讨会讨论主题
研究生或专业级别研讨会的讨论主题包括:
- 研讨会参与者在自己或认识的人成为互联网诈骗方案的受害者的情况下有何经验?
- 诈骗计划的受害者是如何解决自己的情况并恢复任何遗失资金的?
- 参与者对个人互联网用户能否迅速识别社会工程攻击或欺诈计划的能力持有何种看法?
2.8 研讨会小组项目
研讨会参与者将采访遭遇过互联网诈骗或其他形式社会工程攻击的三到五个人,并撰写一份对采访内容的一页摘要。参与者应准备在讨论小组环境中讨论他们的发现。
主要术语
- 预付费欺诈:是要求受害者预付相对较小金额的费用,以期望获得更大收益的费用方案。并非所有预付费方案都是投资欺诈。然而,在那些是的情况下,受害者被告知为了有机会成为投资者(在有前途的证券、投资或商品等的首次发行中),受害者必须首先发送资金以支付税费或处理费等。
- 归属欺诈:归属欺诈的作案者利用人们倾向于信任与自己有相似之处的人,例如宗教或种族认同,来获取他们的信任和金钱。
- 公民社会领袖:是担任政府、企业或宗教职位的个人,使他们能够影响他们的社会、社区和个人。
- 犯罪团体:由组织起来以谋取经济利益、政治影响力或在特定地理区域内主导地位而进行犯罪活动的人组成。
- 犯罪企业:FBI 将犯罪企业定义为一群有明确定级别或类似结构的个人,从事重大犯罪活动。
- 灾难欺诈:通常由试图通过虚假索赔获利的个人所犯,也有许多与保险无关的灾难欺诈,因为许多组织和个人为灾难受害者募集捐款。欺诈受害者可能会收到不请自来的电子邮件,要求捐款给一个听起来很正式的组织。骗子会指示受害者通过汇款方式捐款。
- 个人可识别信息(PII):是指可以单独或与其他个人或识别信息结合使用以区分或追踪个人身份的信息,无论是单独使用还是与特定个人相关联或可链接的其他个人或识别信息结合使用。
- 公开可用社交媒体:涵盖可由一般公众无限制地访问和查看的社交媒体应用程序和内容。
参考资料
- 1. 钓鱼攻击的技术趋势。美国计算机紧急响应小组(US-CERT)。米勒特里,杰森。访问日期:2019 年 2 月 2 日。www.us-cert.gov/sites/default/files/publications/phishing_trends0511.pdf
- 2. 爱情虫病毒:保护心病电脑免受恶意攻击。2000 年 5 月 10 日星期三。众议院,科学委员会,技术小组,华盛顿特区。访问日期:2019 年 2 月 4 日。commdocs.house.gov/committees/science/hsy131170.000/hsy131170_1.HTM
- 3. 恶意网络活动对美国经济的成本。美国经济顾问委员会。2018 年 2 月。访问日期:2019 年 2 月 4 日。www.whitehouse.gov/wp-content/uploads/2018/03/The-Cost-of-Malicious-Cyber-Activity-to-the-U.S.-Economy.pdf
- 4. 欺诈和安全:常见欺诈方案。美国联邦调查局。访问日期:2019 年 2 月 4 日。www.fbi.gov/scams-and-safety/common-fraud-schemes
- 5. 欺诈类型。美国证券交易委员会。访问日期:2019 年 2 月 5 日。www.investor.gov/protect-your-investments/fraud/types-fraud
- 6. 投资者公告:亲和力欺诈。美国证券交易委员会。访问日期:2019 年 2 月 5 日。www.investor.gov/additional-resources/news-alerts/alerts-bulletins/investor-bulletin-affinity-fraud
- 7. 投资者警报:二元期权网站可能用于欺诈方案。美国证券交易委员会。访问日期:2019 年 2 月 5 日。www.investor.gov/investing-basics/avoiding-fraud/types-fraud/binary-options-fraud
- 8. 投资者公告:微型股票基础知识(第 1 部分:一般信息)。美国证券交易委员会。访问日期:2019 年 2 月 5 日。www.investor.gov/additional-resources/news-alerts/alerts-bulletins/investor-bulletin-microcap-stock-basics-part-1-3
- 9. 投资者公告:微型股票基础知识(第 2 部分:研究)。美国证券交易委员会。访问日期:2019 年 2 月 5 日。www.investor.gov/additional-resources/news-alerts/alerts-bulletins/investor-bulletin-microcap-stock-basics-part-2-3
- 10. 投资者公告:小市值股票基础知识(第 3 部分:风险)。美国证券交易委员会。访问日期:2019 年 2 月 5 日。www.investor.gov/additional-resources/news-alerts/alerts-bulletins/investor-bulletin-microcap-stock-basics-part-3-3
- 11. 投资者警报:IPO 前投资诈骗(更新)。美国证券交易委员会。访问日期:2019 年 2 月 5 日。www.investor.gov/additional-resources/news-alerts/alerts-bulletins/investor-alert-pre-ipo-investment-scams-updated
- 12. 商品池欺诈。美国商品期货交易委员会(CFTC)。访问日期:2019 年 2 月 5 日。www.cftc.gov/About/MissionResponsibilities/index.htm
- 13. 外汇交易欺诈。美国商品期货交易委员会(CFTC)。访问日期:2019 年 2 月 5 日。www.cftc.gov/ConsumerProtection/FraudAwarenessPrevention/CFTCFraudAdvisories/fraudadv_forex.html
- 14. CFTC 的欺诈警报:来自恐怖主义战争的利润。美国商品期货交易委员会(CFTC)。访问日期:2019 年 2 月 5 日。www.cftc.gov/ConsumerProtection/FraudAwarenessPrevention/CFTCFraudAdvisories/fraudadv_wtcattack.html
- 15. 贵金属欺诈。美国商品期货交易委员会(CFTC)。访问日期:2019 年 2 月 5 日。www.cftc.gov/ConsumerProtection/FraudAwarenessPrevention/CFTCFraudAdvisories/fraudadv_preciousmetals.html
- 16. 安全提示(ST04-014),避免社会工程和网络钓鱼攻击。国家网络安全与通信集成中心(NCCIC)。最初发布日期:2009 年 10 月 22 日。最后修订日期:2018 年 11 月 21 日。访问日期:2019 年 2 月 1 日。www.us-cert.gov/ncas/tips/ST04-014
- 17. 社会工程学的类型。联邦紧急管理署(FEMA)。访问日期:2019 年 2 月 1 日。emilms.fema.gov/is906/WSA0101610text.htm
第三章:犯罪社会工程活动
由于有利的经济和技术条件,网络钓鱼诈骗近年来蓬勃发展。执行网络钓鱼攻击所需的技术资源可以通过公共和私人来源轻松获取。一些技术资源已经简化和自动化,使得非技术犯罪分子可以使用。这使得网络钓鱼对更大规模、技术水平较低的犯罪人口在经济上和技术上都可行。^(1)
互联网犯罪投诉中心(IC3)的使命是为公众提供可靠便捷的报告机制,以提交关于涉嫌互联网犯罪活动的信息给联邦调查局(FBI),并与执法部门和行业合作伙伴建立有效联盟。自 2000 年以来,IC3 已经收到了各种网络犯罪投诉,包括在线欺诈等多种形式。显然,无论给网络犯罪投诉贴上何种标签,它与其他相关事项重叠的潜力都很大。此外,许多这些犯罪是通过社会工程实施的。
联邦贸易委员会(FTC)致力于防止市场上的欺诈、欺骗和不公平商业行为,并提供信息,帮助消费者识别、制止和避免这些行为。FTC 收到的许多投诉涉及通过社会工程进行的商业行为。证券交易委员会(SEC)监督证券世界的主要参与者,包括证券交易所、证券经纪商和交易商、投资顾问和共同基金。SEC 主要关注促进重要市场相关信息的披露、维护公平交易和防止欺诈。SEC 处理的许多投诉涉及通过使用社会工程实施的犯罪行为。本章回顾了几个使用社会工程进行犯罪行为的实例,这些行为违反了上述机构负责执行的法律。
3.1 技术支持诈骗
这种社会工程攻击仍在继续,2017 年 IC3 收到了约 11000 起与技术支持诈骗有关的投诉。声称的损失金额近 1500 万美元,比 2016 年增加了 86%。尽管大多数技术支持诈骗涉及美国受害者,但 IC3 已收到来自 85 个不同国家受害者的计算机诈骗投诉。
罪犯可能冒充安全、客户或技术支持代表,提供解决被破坏的电子邮件或银行账户、计算机上的病毒或协助软件许可证续订等问题的服务。最近一些投诉涉及罪犯冒充 GPS、打印机或有线电视公司的技术支持代表,或者是虚拟货币交易所的支持。随着这种类型的欺诈越来越普遍,罪犯已经开始冒充政府特工,甚至提供恢复与技术支持欺诈计划相关的所谓损失或请求财政援助以逮捕罪犯。通常,罪犯与受害者的初始联系是通过 Box 3.1 中显示的方法进行的。
Box 3.1 技术支持欺诈初始受害者联系方法
电话:受害者接到一通未经请求的电话,来电者声称受害者的设备或计算机感染了病毒或正在向来电者发送错误消息。通常报告称来电者口音浓重,有外国口音。
搜索引擎广告:需要技术支持的个人可能会使用在线搜索引擎查找技术支持公司。罪犯支付费用,使其欺诈技术支持公司的链接在搜索结果中排名更高,希望受害者会选择搜索结果中的顶部链接之一。
弹出消息:受害者收到一个屏幕弹出消息,声称在他们的计算机上发现了病毒。为了获得帮助,消息要求受害者拨打与欺诈技术支持公司相关联的电话号码。
设备上的锁定屏幕:受害者的设备显示一个冻结的、锁定的屏幕,上面有一个电话号码和联系欺诈技术支持公司的指示。一些受害者报告称,在出现锁定屏幕之前被重定向到其他网站。
弹出窗口和锁定屏幕通常伴随着录制的语音消息,要求拨打电话联系获得帮助。在其他情况下,广告或社交媒体上流行主题的链接中会编程一个统一资源定位器(URL),这些链接伪装成流行网站(如社交媒体或金融网站)的网址,如果受害者错误地输入了预期的网站地址,则会弹出窗口或锁定屏幕。
另一种方法是受害者收到钓鱼邮件,警告可能对其计算机进行入侵,或者警告银行账户或信用卡存在欺诈性账单。该邮件提供了一个电话号码,供收件人联系欺诈技术支持。一旦欺诈技术支持公司代表与受害者取得口头联系,罪犯试图说服受害者提供对受害者设备的远程访问。如果设备是平板电脑或智能手机,罪犯通常指示受害者将设备连接到计算机上。一旦远程连接,罪犯声称发现了过期许可证、病毒、恶意软件或恐吓软件。罪犯会告诉受害者,可以收取一定费用来解决问题。罪犯通常通过个人/电子支票、银行/电汇、借记/信用卡、预付卡或虚拟货币要求付款。
另一个普遍存在的问题是虚假退款。在这种方案中,罪犯联系受害者,提供之前提供的技术支持服务的退款。罪犯要求访问受害者的设备,并指示受害者登录其在线银行账户以处理退款。结果,罪犯控制了受害者的设备和银行账户。通过这种访问,罪犯让受害者的账户看起来好像退款金额过多,并要求受害者通过电汇或预付卡将差额退还给罪犯的公司。实际上,根本没有退款。相反,罪犯将资金转移至受害者自己的账户(支票、储蓄、退休等),以使其看起来好像已存入资金。受害者将自己的钱退还给罪犯。退款和返还过程可能发生多次,导致受害者可能损失数千美元。
技术支持欺诈最初是犯罪分子试图获取设备访问权限,以勒索欺诈服务费用。然而,犯罪分子正在创造新的技巧和方案版本以推进和延续欺诈行为。这些包括重新定位之前的受害者和罪犯冒充政府官员或执法人员与受害者联系。罪犯提供帮助以从以前的技术支持欺诈事件中恢复损失。罪犯要求受害者提供资金以协助调查或支付与返还丢失资金相关的费用。罪犯还冒充收款服务声称受害者未支付以前的技术支持服务费用。如果受害者不支付结算费用,通常会受到法律诉讼的威胁。
虚拟货币越来越成为技术支持犯罪分子的目标,个人受害者的损失往往数以千美元计。犯罪分子冒充虚拟货币支持人员。受害者通常通过开源搜索找到欺诈性虚拟货币支持号码。欺诈性支持要求访问受害者的虚拟货币钱包,并将受害者的虚拟货币转移到另一个钱包进行临时保管,以进行维护。虚拟货币永远不会退还给受害者,并且犯罪分子停止所有交流。有权访问受害者电子设备的犯罪分子使用受害者的个人信息和信用卡购买并转移虚拟货币到犯罪分子控制的账户。
还越来越频繁地使用受害者的个人信息和账户进行其他欺诈活动。犯罪分子使用受害者的个人信息请求银行转账或开设新账户以接受和处理未经授权的支付。他们还从受害者的电脑向受害者的个人联系人发送钓鱼邮件,并下载包含金融账户、密码和个人数据(健康记录、社保号、税务信息等)的个人文件。此外,IC3 的投诉报告:
- 控制受害者设备和/或账户并且不释放控制,除非支付赎金的犯罪分子。
- 在受害者设备上安装了病毒、键盘记录软件和恶意软件。
- 如果受害者挑战犯罪分子,犯罪分子会变得更加咄咄逼人、敌对和滥用。
计算机用户应该始终记住,合法的客户、安全或技术支持公司不会主动与个人联系,他们应该谨慎对待通过开源搜索获得的客户支持号码。在赞助结果部分列出的电话号码很可能是由于搜索引擎广告而增加的。明智的做法是学会识别欺诈企图,并与犯罪分子停止所有交流。⁵
3.2 商业电子邮件欺诈
商业电子邮件欺诈(BEC)/电子邮件账户欺诈(EAC)是一种针对进行电汇支付的企业和个人的复杂诈骗。该诈骗经常是在施行者通过社会工程或计算机入侵技术侵入合法的业务电子邮件账户来进行未经授权的资金转移时进行的。该诈骗不一定总是与资金转移请求相关联。该诈骗的一种变体涉及到入侵合法的企业电子邮件账户并要求员工的个人可识别信息(PII)或工资和税收报表(W-2)表格。
BEC/EAC 骗局继续增长和演变,瞄准小型、中型和大型企业以及个人交易。从 2016 年 12 月到 2018 年 5 月,全球确定的暴露损失增加了 136%。该骗局已在美国的所有 50 个州和 150 个国家报告过。提交给 IC3 和金融来源的受害者投诉表明,欺诈转账已发送至 115 个国家。
根据财务数据,位于赛里斯和香港的亚洲银行仍然是欺诈资金的主要去向;然而,最近也发现英国、墨西哥和土耳其的金融机构成为突出的目的地。从 2013 年 10 月到 2018 年 5 月,国内和国际来源报告了 78,617 起事件,损失额惊人。统计数据见表 3.1。
表 3.1 BEC/EAC 骗局统计数据(2013 年 10 月至 2018 年 5 月)
全球事件 | 78,617 |
|---|---|
全球损失 | $12,536,948,299 |
美国受害者 | 41,058 |
美国损失 | $2,935,161,457 |
非美国受害者 | 2,565 |
非美国损失 | $671,915,009 |
近年来,BEC/EAC 行为者大量瞄准了房地产行业。参与房地产交易的各个层面的受害者向 IC3 报告了这种活动。这包括产权公司、律师事务所、房地产经纪人、买家和卖家。受害者最常报告的是代表这些房地产交易参与者之一发送或接收的虚假电子邮件,其中指示收件人将付款类型和/或付款位置更改为欺诈账户。资金通常被指示转至欺诈的国内账户,然后通过现金或支票提取迅速分散。资金也可能转移到次要的欺诈国内或国际账户。发送到国内账户的资金通常迅速耗尽,使回收难以实现。
国内的货币犯罪分子经常与 BEC/EAC 房地产趋势联系在一起。BEC/EAC 行为者经常通过信心/浪漫骗局招募货币犯罪分子。BEC/EAC 行为者可能会培养一名受害者,然后指示其以 BEC/EAC 行为者的指示发送或接收资金,并以此为借口开设账户。为促成这一活动而开设的账户通常只使用很短的时间。一旦金融机构标记了该账户,它可能会被关闭,BEC/EAC 行为者将指示骗局受害者开设新账户,或者转向培养新受害者。值得注意的是,一些受害者报告称他们无法区分欺诈电话对话和合法对话。抵制这种欺诈活动的一种方法是建立只有两个合法方才知道的代码短语。
根据受害者投诉数据,针对房地产行业的 BEC/EAC 欺诈案件正在增加。2015 年至 2017 年期间,报告了采取房地产交易角度的 BEC/EAC 受害者数量增长超过 1100%,报告的货币损失金额增长了近 2200%,达到了 180 亿美元以上。
3.3 教育欺诈的社会工程
美国联邦贸易委员会(FTC)指控了三名个人和九家企业,他们使用名为 MOBE(我的在线商业教育)的欺诈性商业教育计划欺骗了数千名消费者,涉及金额超过 1.25 亿美元。根据 FTC 的要求,一家联邦法院停止了这项计划,并冻结了被告的资产。根据 FTC 的说法,这个国际行动的幕后人员通过在线广告、社交媒体、直邮和在全国各地举办的现场活动,针对美国消费者,包括服务成员、退伍军人和老年人。此举是继该机构最近采取行动阻止了数字高度有限责任公司之后,该公司也是一个竞争对手商业机会计划,该计划也被法院停止了。
FTC 声称,被告虚假地声称他们的商业教育计划将使人们能够开始自己的在线业务并赚取可观的收入。被告声称他们有一个经过验证的 21 步系统,可以让人们通过互联网营销快速轻松地赚取大量资金,并承诺向加入其计划的人提供该系统。根据投诉,为了继续进行这 21 步,那些支付了首次 49 美元入门费用的消费者随后被大量销售成千上万美元的会员套餐所困扰,被告迫使他们购买这些套餐。被告最终透露,他们用于赚钱的经过验证的系统是让消费者向他人销售相同的会员套餐,以期在这些销售中赚取佣金。FTC 声称,大多数购买该计划并支付昂贵会员费的人无法收回成本,许多人经历了严重的损失或债务增加,其中一些人损失超过 2 万美元。FTC 还声称,被告提供退款和退款保证,进一步误导人们相信该计划是无风险的,但他们经常拒绝承认退款请求,或者只在买家坚持要求或威胁要向美国商业局或执法机构投诉后才提供退款。
在类似情况下,为卖家 Playbook 提供的在线广告和线下研讨会声称能够揭示在亚马逊上赚大钱的秘密。但是,就像很多名人效应一样,事实并不符合炒作。这就是联邦贸易委员会(FTC)和明尼苏达州总检察长(AG)在他们提起的诉讼中所指控的。根据投诉,卖家 Playbook 通过承诺如“潜在净利润:1,287,463.38”和“从1000 起步… 1 年后超过
FTC 和明尼苏达州总检察长指控卖家 Playbook 发表误导性收入声明。FTC 还表示被告违反了商机规则,这是一项消费者保护规定,要求赚钱项目的销售商在人们考虑注册时提前披露某些事实。此外,诉讼指控被告违反了消费者评论公平法,这是一项新法律,禁止试图让消费者对公司的产品或客户服务发表诚实意见的合同条款。⁸
3.4 雪崩行动
2016 年 12 月,司法部(DOJ)宣布了一项跨国行动,涉及在四个国家进行逮捕和搜查,以拆除一个名为 Avalanche 的复杂和精密的计算机服务器网络。据称,Avalanche 网络托管了全球二十多种最恶毒的恶意软件和几个洗钱活动。然而,Avalanche 被认为只是一个致力于在全球范围内促进侵犯隐私和金融犯罪的犯罪基础设施的一个例子。
Avalanche 网络为网络犯罪分子提供了一个安全的基础设施,旨在阻止执法部门和网络安全专家的检测,通过该基础设施,犯罪分子进行恶意软件活动以及被称为货币勾结计划的洗钱计划。从受恶意软件感染的计算机中窃取的在线银行密码和其他敏感信息被重定向通过 Avalanche 服务器的复杂网络,最终到达由网络犯罪分子控制的后端服务器。对 Avalanche 网络的访问是通过在独家的地下网络犯罪论坛上发布的帖子向网络犯罪分子提供的。
此次行动还涉及前所未有的努力,即扣押、封锁和沉陷——即将感染受害者计算机的流量重定向到执法机构控制的服务器上,而不是由网络犯罪分子控制的服务器上——与 Avalanche 网络相关的 80 多万个恶意域名。这些域名是必需的,以从受害者的恶意软件感染计算机中传输信息,例如敏感的银行凭据,通过 Avalanche 服务器的各个层次,最终返回给网络犯罪分子。在一定程度上,这是通过美国在宾夕法尼亚西区获得的临时限制令实现的。
在 Avalanche 网络上运行的恶意软件和金钱驴计划的类型各不相同。例如,勒索软件 Nymain 会加密受害者的计算机文件,直到受害者向网络犯罪分子支付赎金(通常以电子货币形式)。其他恶意软件,如 GozNym,则旨在窃取受害者的敏感银行凭据,并使用这些凭据发起欺诈性电汇。在 Avalanche 上运行的金钱驴计划涉及高度组织化的驴网络,这些驴用窃取的资金购买商品,使网络犯罪分子能够通过恶意软件攻击或其他非法手段洗钱。
自 2010 年以来运营的 Avalanche 网络据估计每天为全球多达 50 万受感染计算机提供服务。由 Avalanche 网络发动的恶意软件攻击所造成的货币损失估计在数亿美元,尽管由于网络上存在大量恶意软件家族,准确的计算非常困难。
美国宾夕法尼亚西区检察官办公室、联邦调查局以及刑事部门的计算机犯罪和知识产权部门(CCIPS)与德国 Verden 公诉机关、德国卢讷堡警察、欧洲警察局(Europol)、位于荷兰海牙的欧洲司法协助机构(Eurojust)以及来自印度、新加坡、台湾和乌克兰等 40 多个司法管辖区的调查员和检察官密切合作进行了此次行动。参与此项努力的其他机构和组织还包括美国国土安全部的美国计算机紧急应变团队(US-CERT)、Shadowserver 基金会、弗劳恩霍夫通信研究所、最后的注册处、ICANN 以及来自世界各地的域名注册机构。刑事部门的国际事务办公室也提供了重要的帮助。⁹ 该行动的目标是解散该行动,同时也实现有效起诉。
3.5 Gameover Zeus 和 Cryptolocker 行动的撤销
Evgeniy Bogachev 及其犯罪网络成员设计并实施了那种你如果在科幻电影中看到可能不会相信的网络犯罪。通过在全球各地秘密植入病毒,他们建立了一个被感染的机器网络,或者说僵尸网络,他们可以渗透、监视甚至控制,无论他们希望在何处。在自己的计算机屏幕上静静坐着,网络犯罪分子可以看到 GameOver Zeus 恶意软件拦截美国计算机和网络中无意中输入的银行账号和密码。然后,犯罪分子通过清空受害者的银行账户并将资金转移给自己将这些信息变现。通常情况下,受害者发现自己感染了 GameOver Zeus 时,已经为时已晚。
与之相比,Cryptolocker 计划对获取受害者的钱财非常直接。与其观望不同,网络犯罪分子简单地将受害者的计算机劫持,直到计算机所有者同意直接向他们支付赎金为止。他们使用复杂的加密工具,最初设计用于保护数据免受盗窃,使受害者无法访问存储在计算机上的任何数据。犯罪分子实际上以赎金的形式扣押了每封私人电子邮件、商业计划、孩子的科学项目或家庭照片——受害者计算机上存储的每一个重要和个人文件。为了取回他们的数据,计算机所有者不得不交出现金。与 GameOver Zeus 一样,一旦计算机用户发现自己感染了 Cryptolocker 恶意软件,就为时已晚。
2014 年 5 月 7 日,与 FBI、乌克兰当局和司法部协调,乌克兰当局在基辅和顿涅茨克扣押并复制了关键的 GameOver Zeus 指挥服务器。然后,在 2014 年 5 月 19 日星期一,他们在匹兹堡获得了针对博加切夫的密封刑事指控,指控他非法入侵、欺诈和洗钱。在 2014 年 5 月 28 日星期三,他们根据禁止持续欺诈和非法拦截通信的联邦法律获得了针对博加切夫及其共谋者的民事法庭命令。这些命令允许司法部使感染 GameOver Zeus 的计算机停止与犯罪分子控制的计算机服务器通信,而是与法庭命令建立的服务器联系。法庭还授权收集必要信息以识别受害者计算机,以便司法部将该信息提供给能够帮助受害者清除感染的公共和私营部门实体。与此同时,外国执法合作伙伴扣押了用于操作 Cryptolocker 的关键计算机服务器,导致 Cryptolocker 无法加密受害者文件。
从 5 月 30 日星期五凌晨开始,持续到周末,FBI 和全球各地的执法部门开始协调查封 Gameover Zeus 和 Cryptolocker 的主干计算机服务器。这些查封行动发生在加拿大、法国、德国、卢森堡、荷兰、乌克兰和英国。认识到仅仅查封是不够的,因为网络犯罪分子可以迅速在其他地点建立新的服务器,团队开始了一系列精心安排的技术措施,剥夺犯罪分子发送命令给数十万受感染计算机的能力,并指导这些计算机联系法院授权美国司法部建立的服务器。在美国和荷兰海牙的欧洲网络犯罪中心的指挥所,FBI 及其外国合作伙伴,在众多私营部门合作伙伴的协助下,日以继夜地努力完成这一重定向,并击败恶意软件内置的各种防御措施,以及网络犯罪分子在周末实时尝试的对抗措施,试图保留对他们网络的控制权。
这些行动导致了 Gameover Zeus 僵尸网络的重大瓦解。在周末期间,超过 30 万受害者计算机已经从僵尸网络中解放出来。到周六,Cryptolocker 已经停止运作,其基础设施已经被有效拆除。在接下来的几天和几周里,调查人员和检察官与私营部门合作伙伴一起通知受感染的受害者,并提供链接到安全可信的工具,帮助他们摆脱 Gameover Zeus 和 Cryptolocker,然后关闭他们的计算机被感染的漏洞。 ¹⁰
3.6 社会工程师在多个方面发动攻击
犯罪社会工程师正在他们认为可以成功的任何地方发动攻击。以下社会工程师攻击似乎不像技术支持攻击那样普遍,也不像商业电子邮件攻击对单个实体造成那么大的破坏,但它们针对的是非常脆弱的人群。这些攻击包括:
- 网络犯罪分子利用社会工程技术获取员工凭证,进行工资转移攻击。IC3 收到的投诉报告显示,网络犯罪分子正在针对各行各业的员工在线工资账户进行攻击。受影响最严重的机构包括教育、医疗保健和商业航空运输。
- 网络犯罪分子通过钓鱼邮件针对员工,设计以获取员工的登录凭据。一旦网络犯罪分子获得了员工的凭据,这些凭据就会被用来访问员工的工资账户,以更改他们的银行账户信息。网络犯罪分子在员工账户中添加规则,阻止员工接收有关直接存款更改的警报。然后,直接存款被更改并重定向到由网络犯罪分子控制的账户,这通常是一张预付卡。 ¹¹
FTC 已经听说有一种社会工程攻击针对在网上销售汽车的人。卖家接到来自自称对购买汽车感兴趣的人的电话或短信,但是他们首先想要看到汽车历史报告。他们要求卖家从特定网站获取报告,在那里卖家需要输入一些信息,并通过信用卡支付约 20 美元的报告费。然后,卖家将其发送给所谓的买家,但再也没有收到回音。当汽车卖家去这些网站之一时,它们会自动重定向到以.vin 结尾的站点,这似乎可能与汽车的车辆识别号(VIN)有关。骗子希望他们会这样认为,但不是。在这种情况下,.vin 是一个相对较新的网站域,就像.com 或.org 一样,团体可以申请使用。这个域名原本是用于与葡萄酒有关的网站,因为 vin 是法语中的葡萄酒一词,但其他人也可以使用它。是的,这是对于汽车的.vin 的巧妙利用。然而,卖家如果有人要求他们在以.vin 结尾的网站上进行与汽车相关的业务,可能仍然要三思而后行。卖家可能无法知道谁经营这个网站,特别是如果这是他们从未听说过的网站。这可能是一个骗局,以获取个人信息,包括信用卡账号。这也可能是公司所谓的潜在客户生成器获取信息的一种方式,他们将其出售给广告和营销目的的第三方。 ¹²
在 2019 年 2 月,美国特勤局宣布起诉了 20 人,其中包括 16 名外国人,因其参与在线拍卖欺诈计划,旨在诈骗通过互联网购买商品的用户。据称,这个跨国有组织的欺诈团伙在美国各地从毫无防备的受害者那里窃取了数百万美元,其复杂的欺诈计划依赖于电子商务市场的日益普及,如 Craigslist^™和 eBay^™。利用这些网站,欺诈者发布不存在的商品的虚假广告。然后,利用多种社会工程和令人信服的方法,这些网络犯罪分子说服受害者为不存在的商品付款。
控告指控,被告参与了主要位于罗马尼亚亚历山德里亚的犯罪阴谋,从事了一项大规模的在线拍卖欺诈计划。具体来说,该阴谋的罗马尼亚成员及其同伙在受欺诈的在线拍卖和销售网站(如 Craigslist^™和 eBay^™)上发布了虚假广告,宣传价格昂贵的商品(通常是车辆),但这些商品实际上并不存在。据控诉书称,这些成员通过编造有说服力的故事,例如冒充需要在出征前出售所宣传物品的军人,说服美国受害者为宣传的商品寄钱。据称,这些阴谋成员创建了虚假的在线账户来发布这些广告并与受害者沟通,通常使用被盗的美国身份来这样做。 ¹³
美国专利商标局(USPTO)和联邦贸易委员会(FTC)已经公开宣布,有一些公司假装是美国专利商标局或美国专利商标局的合作伙伴。这些公司欺骗专利和商标持有人支付给他们的服务费,但他们并不是美国专利商标局。他们经常发送看起来很正式的征求意见,提供像续订商标注册、为商标监测服务签约、将商标记录在政府机构、或将其列入私人注册表等服务。几乎总是,提供的服务要么价格过高,要么是不必要的,要么就是彻头彻尾的欺骗。
根据美国专利商标局提供的信息,这些冒名顶替者在他们的表格上使用的名称和徽章让他们看起来像是与美国专利商标局有联系,抄袭了官方政府表格的外观。一些专利或商标持有人错误地支付了数百甚至数千美元给冒名顶替者,误以为他们是在向美国专利商标局支付费用,或者支付美国专利商标局要求的费用,以维护和保护他们的专利和商标。因此,潜在的买家必须非常仔细地阅读关于专利或商标的任何通知。来自美国专利商标局的官方邮件将来自于位于弗吉尼亚州亚历山德里亚的美国专利商标局。如果通过电子邮件发送,域名将是@uspto.gov。 ¹⁴
证券交易委员会发布了一份调查报告,涉及某些与网络有关的欺诈行为和上市公司发行人内部会计控制要求。该报告讨论了一种称为业务电子邮件欺诈的网络欺诈类型,即欺诈者在电子邮件中假装是高级公司执行官或供应商,然后说服公司人员向被欺诈者控制的账户汇款。 ¹⁵ 最近发生的其他一些社会工程攻击导致了欺诈,详见盒子 3.2。
盒子 3.2 其他最近的社会工程攻击
- 分时共有权转售计划针对老年人展开
- 谷歌商家名单将被移除
- 发行商清零屋的冒名顶替者
- FTC 要求访问您的计算机
- 学生贷款豁免
- 国务卿给您发电子邮件
- 爱情对象要求借钱
- 美国司法部为了陪审团职责而给您打电话
- Equifax 打电话给您
- 幽灵债务收取者冒充律师事务所 ¹⁶
3.7 朝鲜联系
2018 年 9 月,一项刑事控诉被公开,指控朝鲜公民朴镇赫(박진혁; 又名 Jin Hyok Park 和 Pak Jin Hek)参与了一项全球多次破坏性网络攻击的阴谋,导致大量计算机硬件受损,数据、资金和其他资源严重损失。
控诉声称,朴是一个由政府赞助的黑客团队“拉扎勒斯小组”(Lazarus Group)的成员,并在一个朝鲜政府前台公司 Chosun Expo Joint Venture(又名 Korea Expo Joint Venture 或 KEJV)工作,以支持民主人民共和国(DPRK)政府的恶意网络行动。该阴谋的恶意活动包括 2017 年 WannaCry 2.0 全球勒索软件攻击中使用的恶意软件的创建;2016 年从孟加拉国银行窃取 8100 万美元;2014 年对索尼影视娱乐公司(SPE)的攻击;以及对娱乐、金融服务、国防、技术、虚拟货币行业、学术界和电力公用事业的众多其他攻击或侵入。
控诉声称,朝鲜政府通过一个国家支持的组织抢劫了一家中央银行和其他国家的公民,以打击世界各地的言论自由为报复,并制造了破坏性的恶意软件,对 150 多个其他国家的受害者造成了影响,导致数以亿计甚至十亿美元的损失。该控诉指控该以朝鲜为基础的阴谋成员对造成前所未有的经济损失和对美国及全球企业的干扰负有责任。FBI 追踪了这些攻击的源头并绘制了它们的共同点,包括在全球感染网络的各种程序之间的相似之处。朴被指控一项串谋进行计算机欺诈和滥用,最高可判五年监禁,以及一项串谋进行电线欺诈,最高可判 20 年监禁。
独立调查这些活动的安全研究人员称这个黑客团队为拉萨鲁斯小组。该阴谋集团的方法包括钓鱼邮件攻击、破坏性恶意软件攻击、数据外泄、从银行账户中窃取资金、勒索软件勒索和传播蠕虫病毒以创建僵尸网络。投诉书描述了该阴谋集团在美国和其他地方的广泛的、涉嫌的恶意网络活动,无论是成功的还是不成功的,特别关注了四个具体的例子:
- 2014 年 11 月,阴谋者以报复《访谈》一部荒诞喜剧电影为由,对索尼影视娱乐公司(SPE)发动了破坏性攻击,该电影描绘了朝鲜领导人的暗杀。阴谋者通过向 SPE 员工发送恶意软件获得了对 SPE 网络的访问权限,然后窃取了机密数据,威胁了 SPE 高管和员工,并损坏了成千上万台计算机。与此同时,该组织向其他娱乐行业成员发送了钓鱼邮件,包括一家电影院连锁企业和一家英国公司,该公司正在制作一部涉及被朝鲜拘留的英国核科学家的虚构系列剧。
- 2016 年 2 月,阴谋集团从孟加拉国银行盗取了 8100 万美元。作为网络劫案的一部分,阴谋集团通过钓鱼邮件入侵了银行的计算机网络,访问了与国际银行间金融电信协会(SWIFT)通信系统接口的银行计算机终端。然后,它发送了伪造认证的 SWIFT 消息,指示纽约联邦储备银行将资金从孟加拉国转移到其他亚洲国家的账户。该阴谋集团试图并成功于 2015 年至 2018 年使用类似的方法和诱饵攻击,从多个国家的多家银行获得访问权限,试图通过此类操作窃取至少 10 亿美元。
- 2016 年和 2017 年,阴谋集团以钓鱼邮件为手段,针对包括洛克希德·马丁在内的多家美国国防承包商发动了攻击。投诉书称,这些恶意邮件使用了在 SPE 攻击中看到的部分相同的别名和账户,有时是从朝鲜 IP 地址访问的,并且包含了与用于对 SPE 和某些银行使用的恶意软件中相同的数据表格。针对国防承包商的钓鱼邮件通常是从假冒其他竞争对手国防承包商的招聘人员的电子邮件账户发送的,其中一些恶意消息提到了在韩国部署的末段高空防御系统(THAAD)导弹防御系统。对洛克希德·马丁的计算机系统进行渗透的尝试并未成功。
- 2017 年 5 月,一种被称为 WannaCry 2.0 的勒索软件攻击感染了全球数十万台计算机,造成了广泛的损害,包括对英国国家医疗服务系统的重大影响。这种阴谋与 WannaCry 2.0 的开发以及之前两个版本的勒索软件有关,通过与黑客开发的其他恶意软件在形式和功能上的相似之处以及通过在其他网络攻击中使用的相同基础设施上传播勒索软件的版本来进行连接。
通过对与这些攻击、入侵和其他恶意网络攻击活动有关的彻底调查,发现并追踪了:连接在一起并用于发送钓鱼邮件的电子邮件和社交媒体帐户;化名;用于存储窃取的凭据的恶意软件收集器帐户;常见的恶意软件代码库;用于掩盖位置的代理服务;以及朝鲜、赛里斯和其他 IP 地址。这些恶意基础设施中的一些被用于描述的多个恶意活动实例。总之,这些连接和签名,这些签名显示在附加到刑事投诉书的图表中,表明了这些攻击和入侵是由同一行动者所实施的。
随着刑事投诉书的解封,FBI 和检察官向网络安全提供商和其他私营部门合作伙伴提供了有关该阴谋使用的帐户的详细信息,以协助这些合作伙伴进行他们自己独立的调查活动和干扰工作。¹⁷
3.8 结论
曾经发生过无数社会工程攻击,其中一些仅仅是不端行为,而另一些则对全球金融和商业产生了影响。像技术支持诈骗和企业邮件欺诈这样的活动影响了成千上万的企业和个人计算机用户。一些社会工程努力,如朝鲜和阿瓦兰仍然是更大犯罪阴谋的一部分。本章回顾了涉及社会工程的真实世界攻击和犯罪行为。
3.9 要点
本章介绍的要点如下:
- 执行钓鱼攻击所需的技术资源可以通过公共和私人来源轻松获得。
- 技术支持诈骗最初是犯罪分子试图获取设备的访问权限,以诈骗欺诈服务费用。然而,犯罪分子正在创建新的技术和计划的版本,以推进和延续诈骗行为。
- 尽管技术支持诈骗的大部分受害者位于美国,但 IC3 收到了来自 85 个不同国家的受害者的投诉。
- 商业电子邮件诈骗(BEC)/电子邮件账户诈骗(EAC)是一种针对企业和个人进行电汇支付的复杂骗局,经常在肇事者通过社会工程或计算机入侵篡改合法业务电子邮件账户时实施。
- 据称,Avalanche 网络托管了全球两打以上最具恶意软件以及数个洗钱活动。然而,Avalanche 只被认为是一个致力于全球范围内促成侵犯隐私和金融犯罪的犯罪基础设施的例子。
- 一些犯罪网络设计并实施了你可能不会相信的那种电脑犯罪,就好像是从科幻电影中看到的一样。通过在全球各地秘密植入病毒,他们建立了一个感染的机器或机器人网络,可以随意渗透、监视甚至控制任何他们希望的地方。
- 犯罪社会工程师正在攻击他们认为可能成功的地方,许多攻击都针对已经非常脆弱的人群。
- 网上拍卖诈骗是一种复杂的欺诈方案,依赖于像 Craigslist^™和 eBay^™等电子商务市场的日益普及。
- 朝鲜被指控的恶意活动包括 2017 年 WannaCry 2.0 全球勒索软件攻击中使用的恶意软件的创建;2016 年从孟加拉国银行窃取的 8100 万美元;2014 年对索尼影视娱乐公司(SPE)的攻击;以及对娱乐、金融服务、国防、技术和虚拟货币行业、学术界和电力公用事业的许多其他攻击或入侵。
3.10 研讨会讨论主题
研究生或专业级研讨会的讨论主题包括:
- 研讨会参与者对本章涵盖的任何社会工程攻击有何经验?
- 讨论参与者对朝鲜被指控的指控的看法。参与者是否认为朝鲜是所有被指控的事情的肇事者?
- 参与者为什么认为人们每年都会陷入相同类型的社会工程陷阱?
3.11 研讨会小组项目
将参与者分成多个小组,每个小组花 10 到 15 分钟制定计算机用户如何接受培训或教育以不响应社会工程点击诱饵的方法列表。作为一个小组讨论各小组列出的培训或教育计算机用户不响应社会工程点击诱饵的方法。
关键术语
- 计算机欺诈:是指故意篡改、修改或披露数据以获取价值(通常是金钱利益)的犯罪行为。
- 有效起诉:是成功起诉知识产权犯罪者的同时,保护受害组织的商业秘密和其他知识产权。
- 假退款:是一种社会工程学方案,罪犯联系受害者,提供先前声称提供的技术支持服务的退款。犯罪分子要求访问受害者的设备,并指示受害者登录他们的在线银行账户以处理退款。此举使罪犯控制了受害者的设备,并访问了他们的银行账户。
- 键盘记录软件:捕获并记录键盘上击键的软件,通常秘密进行,以便使用键盘的人不知道他们的行为正在被监视。该信息可以由操作或安装记录程序的人检索。
- 代笔人:被定义为代表他人非法转移资金的人。
- 重新定位:是指试图或成功利用用户过去的骗局的骗子再次试图利用该用户获得财务收益或访问其他信息或系统。
- 惊吓软件:是社会工程恶意软件,旨在引起恐慌或威胁感,以操纵用户购买恶意软件。这是一种恶意攻击类型,可能包括伪安全软件、勒索软件和其他诈骗,使计算机用户担心他们的计算机感染了恶意代码,并经常建议他们支付费用以修复他们的计算机。
- 打字错误(typosquatting):也称为 URL 劫持,是针对因特网用户的网络诈骗(在别人的品牌或版权下拥有网站)的 cybersquatting,目标是那些将网站地址错误键入其网络浏览器的用户。当用户犯常见的拼写错误时,他们可能会被发送到黑客拥有的网站,该网站通常设计用于犯罪目的。
- 饮水洞攻击:是一种恶意软件攻击,攻击者确定受害者或特定受害者群体经常访问的网站,并使用恶意软件感染这些网站,进而感染访问网站用户的计算机,从而可以感染目标受害者群体的成员。
参考资料
- 1.网络钓鱼攻击的技术趋势。美国计算机应急响应小组(US-CERT)。Milletary, Jason.访问日期:2019 年 2 月 2 日。www.us-cert.gov/sites/default/files/publications/phishing_trends0511.pdf
- 2. IC3 任务声明/关于我们。美国联邦调查局网络犯罪投诉中心(IC3)。访问日期:2019 年 2 月 7 日。www.ic3.gov/about/default.aspx
- 3. 关于我们。美国联邦贸易委员会消费者信息。访问日期:2019 年 2 月 7 日。www.consumer.ftc.gov/about-us
- 4. 我们的工作。证券交易委员会。访问日期 2019 年 2 月 7 日。www.sec.gov/Article/whatwedo.html
- 5. 技术支持欺诈。联邦调查局。2018 年 3 月 28 日。访问日期 2019 年 2 月 7 日。www.ic3.gov/media/2018/180328.aspx
- 6. 商业电子邮件欺诈 120 亿美元的骗局。联邦调查局。2018 年 3 月 28 日。访问日期 2019 年 2 月 7 日。www.ic3.gov/media/2018/180712.aspx
- 7. 联邦贸易委员会行动阻止 MOBE,一个庞大的互联网业务培训计划。Puig, Alvaro。2018 年 6 月 11 日。访问日期 2019 年 2 月 8 日。www.ftc.gov/news-events/press-releases/2018/06/ftc-action-halts-mobe-massive-internet-business-coaching-scheme
- 8. 推销员在亚马逊上推销赚大钱的秘诀。联邦贸易委员会。Lesley Fair。2018 年 8 月 6 日。访问日期 2019 年 2 月 8 日。www.consumer.ftc.gov/blog/2018/08/promoter-pitches-secrets-big-bucks-amazon
- 9. 美国司法部宾夕法尼亚西部地区检察官办公室解散的国际网络行动。2016 年 12 月 5 日。访问日期 2019 年 2 月 8 日。www.justice.gov/usao-wdpa/pr/avalanche-network-dismantled-international-cyber-operation
- 10. 助理总检察长莱斯利·R·考德威尔(Leslie R. Caldwell)就 GameOver Zeus 和 Cryptolocker 行动及相关刑事指控发表讲话。华盛顿特区。2014 年 6 月 2 日。访问日期 2019 年 2 月 8 日。www.justice.gov/opa/speech/assistant-attorney-general-leslie-r-caldwell-delivers-remarks-gameover-zeus-and
- 11. 网络犯罪分子利用社交工程技术获取员工凭据进行工资转移。联邦调查局。2018 年 9 月 18 日。访问日期 2019 年 2 月 7 日。www.ic3.gov/media/2018/180918.aspx
- 12. 避免车辆历史报告欺诈。联邦贸易委员会。Colleen Tressler。2018 年 10 月 19 日。访问日期 2019 年 2 月 7 日。www.consumer.ftc.gov/blog/2018/10/steering-clear-vehicle-history-report-scams
- 13. 特勤局调查导致对瞄准美国消费者的有组织跨国网络犯罪团伙的起诉。美国特勤局。2019 年 2 月 7 日。访问日期 2019 年 2 月 8 日。www.secretservice.gov/data/press/releases/2019/19-FEB/Secret_Service_Press_Release-Transnational_Online_Auction_Fraud_Ring.pdf
- 14. 骗子可以很有创意。联邦贸易委员会。Lake, Lisa。2017 年 7 月 10 日访问。www.consumer.ftc.gov/blog/2017/07/scammers-can-be-inventive
- 15. 根据 1934 年证券交易法第 21(a)条的调查报告:针对上市公司的某些网络欺诈行为及相关内部会计控制要求。美国证券交易委员会。2018 年 10 月 16 日访问。www.sec.gov/spotlight/cybersecurity-enforcement-actions
- 16. 最新诈骗警报。联邦贸易委员会。2019 年 2 月 8 日访问。www.consumer.ftc.gov/features/scam-alerts
- 17. 朝鲜政权支持的程序员被控串谋进行多次网络攻击和入侵。司法部公共事务办公室。2018 年 9 月 6 日访问。www.justice.gov/opa/pr/north-korean-regime-backed-programmer-charged-conspiracy-conduct-multiple-cyber-attacks-and
第四章:保护组织免受社会工程学攻击
组织的安全文化对其信息安全计划的有效性有所贡献。当安全流程深入融入机构文化并且具有较高的安全意识时,信息安全计划会更加有效。管理团队应该理解和支持信息安全,并为开发、实施和维护信息安全计划提供适当的资源。这种理解和支持的结果是一个计划,其中管理和员工都致力于将该计划整合到业务线、支持功能和第三方管理计划中。¹
4.1 社会工程学攻击安全基础
对于所有组织来说,保护免受社会工程学攻击和其他安全威胁至关重要。攻击者使用恶意软件获取对组织网络和计算机环境的访问,并在环境中执行攻击。恶意软件可能通过公共或私有网络进入,并来自连接到网络的设备。虽然保护机制可能在造成任何损害之前阻止大多数恶意软件,但即使是一个恶意的可执行文件也可能造成重大潜在损失。
实施深度防御程序来保护、检测和响应恶意软件是一个重要的基本步骤。企业可以使用许多工具在恶意软件进入网络之前阻止它,并在没有被阻止时检测并做出响应。管理层应考虑的方法或系统包括以下内容:
- 基于硬件的信任根,使用加密手段验证软件的完整性。
- 服务器在网关运行活动内容,并根据策略禁止内容。
- 根据代码片段、互联网位置和与恶意代码相关的其他因素不允许代码执行的黑名单。
- 允许程序的白名单。
- 端口监视以识别未经授权的网络连接。
- 网络隔离。
- 计算机配置以允许执行用户工作所需的最少权限。
- 应用程序沙箱。
- 监控未经授权的软件,并禁止安装未经授权的软件的能力。
- 监控异常活动以检测恶意软件和多态代码。
- 网络流量的监控。
- 用户教育意识、安全警觉、安全计算实践、恶意代码指标和响应行动。²
培训对于防范社会工程和恶意代码攻击至关重要,但许多组织却忽视了这一点。培训确保人员具备执行工作职能所需的知识和技能。培训应支持安全意识,并加强对安全和可接受使用政策的遵守。最终,管理层的行为和优先事项会严重影响员工的意识和政策遵守,因此培训和对安全的承诺应该从管理层开始。组织应教育用户了解其安全角色和责任,并通过可接受使用政策进行沟通。管理层应要求所有员工、官员和承包商遵守安全和可接受使用政策,并确保机构的信息和其他资产受到保护。管理层还应有权对违规行为进行制裁。
大多数用户的培训材料侧重于诸如端点安全、登录要求和密码管理准则等问题。培训计划应包括捕捉引起重大和不断增长关注的领域的情景,例如钓鱼和社会工程尝试、通过电子邮件或可移动介质丢失数据,或者在社交媒体上无意发布机密或专有信息。随着风险环境的变化,培训也应相应调整。管理层应在年度培训计划的一部分收集员工对可接受使用政策的签署确认。³
可接受使用政策应强调组织的计算机和网络不得用于个人活动。这是一个非常重要的原则。员工的个人使用会扩大网络和域的配置文件,并可能使环境面临更多社会工程攻击和恶意软件感染。员工可能认为这很苛刻,但安全计划和安全政策的目标是保护网络和电子资产,以确保业务不受干扰。
4.2 应用网络安全框架是一个持续的过程
意识到美国的国家和经济安全取决于关键基础设施的可靠运行,总统于 2013 年 2 月发布了《行政命令》(EO)13636 号,改善关键基础设施网络安全。该命令指示国家标准与技术研究所(NIST)与利益相关者合作制定一个减少关键基础设施网络风险的自愿框架。2014 年《网络安全增强法案》强化了 NIST 在 EO 13636 中的角色。
通过行业和政府之间的合作创建,自愿框架包括标准、指南和实践,以促进关键基础设施的保护。框架的优先级、灵活性、可重复性和经济效益的方法有助于关键基础设施的所有者和运营商管理与网络安全相关的风险。网络安全框架由三个主要组成部分组成:核心、实施级别和配置文件。
框架核心提供一组期望的网络安全活动和结果,使用易于理解的通用语言。核心指导组织以一种有助于管理和降低网络安全风险的方式,以补充组织现有的网络安全和风险管理流程。
框架实施级别通过为组织提供网络安全风险管理的背景提供上下文。实施级别指导组织考虑其网络安全计划的适当严谨程度,并且经常被用作讨论风险偏好、任务优先级和预算的沟通工具。
框架配置文件是组织将其组织要求和目标、风险偏好以及资源与框架核心的期望结果相结合的独特方式。配置文件主要用于识别和优先考虑组织中改进网络安全的机会。⁴
框架将帮助组织更好地了解、管理和降低其网络安全风险。它将协助确定哪些活动对于保证关键运营和服务交付最重要。反过来,这将有助于优先考虑投资,并最大程度地发挥在网络安全上每一美元的影响。通过提供一种共同语言来解决网络安全风险管理,它在组织内外的沟通中尤其有用。这包括改善信息技术(IT)、规划和运营单位之间以及组织的高级执行人员之间的沟通、认识和理解。组织还可以方便地使用框架在买方和供应商之间沟通当前或期望的网络安全状况。
框架是指导性的。它应该由不同的部门和个别组织进行定制,以最适合其风险、情况和需求。随着组织面临不同的威胁,拥有不同的漏洞和风险容忍度,它们将继续拥有独特的风险,并且它们如何实施框架中的实践以实现积极结果将有所不同。框架不应该以一刀切的方式应用于关键基础设施组织,也不应该作为未经定制的检查表实施。
组织正在以各种方式使用该框架。许多人发现它有助于提高意识并与其组织内的利益相关者,包括高管层进行沟通。该框架还改善了组织之间的沟通,使得网络安全期望能够与商业伙伴、供应商以及各个部门之间共享。通过将框架映射到当前的网络安全管理方法,组织正在学习并展示他们如何与框架的标准、指南和最佳实践相匹配。一些团体正在使用该框架来协调和解决内部政策与立法、法规和行业最佳实践之间的冲突。该框架还被用作战略规划工具,以评估风险和当前实践。
该框架可被已经拥有广泛网络安全计划的组织使用,也可被刚开始考虑制定网络安全管理计划的组织使用。相同的一般方法适用于任何组织,尽管他们如何利用该框架将取决于他们当前的状态和优先事项。支持框架所需的实践、标准和技术的高优先级领域如框 4.1 所示。⁵
框 4.1 网络安全框架发展的高优先级领域
- 认证
- 自动指标共享
- 一致性评估
- 网络安全人才
- 数据分析
- 联邦机构网络安全对齐
- 国际方面、影响和对齐
- 供应链风险管理
- 技术隐私标准
4.3 框架组件
框架核心是一组网络安全活动、期望结果和适用参考,这些在关键基础设施部门中是共同的。框架结果语言的一个示例是组织内的物理设备和系统已被清点。
核心以一种方式呈现行业标准、指南和实践,使得可以从高管层到实施/运营层在整个组织内进行网络安全活动和结果的沟通。框架核心由五个并行和连续的功能组成,如框 4.2 所示。当这些功能一起考虑时,它们提供了一个组织管理网络安全风险生命周期的高层战略视图。然后,框架核心确定了每个功能的基本关键类别和子类别,并将它们与示例信息参考进行匹配,例如每个子类别的现有标准、指南和实践。
框 4.2 框架核心:并行和连续功能
- 识别
- 保护
- 检测
- 响应
- 恢复
框架配置文件代表了基于组织从框架类别和子类别中选择的业务需求而选择的网络安全结果。配置文件可以被描述为将标准、指南和实践与特定实施场景中的框架核心对齐。配置文件可用于通过将现有安全状态与期望的安全状态进行比较,识别改进网络安全姿态的机会。为了开发配置文件,组织可以审查所有的类别和子类别,并根据业务驱动因素和风险评估确定哪些对他们最重要。他们还可以根据需要添加类别和子类别来解决组织的风险。然后,可以使用当前配置文件来支持优先级确定和朝向目标配置文件的进度测量,同时考虑到其他业务需求,包括成本效益和创新。配置文件可用于进行自我评估并在组织内部或组织之间进行沟通。
框架实施层级提供了组织如何看待网络安全风险以及管理该风险的流程的背景。层级描述了组织的网络安全风险管理实践在框架中定义的特征(例如,风险和威胁意识,可重复性和适应性)中表现的程度。层级将组织的实践划分为从部分(第一层)到适应性(第四层)的范围。这些层级反映了从非正式、被动响应到敏捷和风险感知方法的进展。在选择层级的过程中,组织应考虑其当前的风险管理实践、威胁环境、法律和监管要求、业务/任务目标和组织约束。
框架实施层级并不打算成为成熟度水平。这些层级旨在为组织提供有关网络安全风险管理与运营风险管理之间的互动和协调的指导。这些层级的关键原则是允许组织从组织范围的角度审视其当前活动,并确定当前网络安全风险管理实践的整合是否足够,考虑到其使命、法规要求和风险偏好。当这样的变化会降低网络安全风险并且具有成本效益时,鼓励向更高层级发展。
伴随着框架版本 1.0 的发布,同伴路线图最初于 2014 年 2 月发布。路线图讨论了 NIST 在框架方面的下一步工作,并确定了开发、对齐和协作的关键领域。这些计划是基于利益相关者通过框架开发过程提供的意见和反馈的。这份高优先级领域列表并不意味着详尽无遗,但这些是由 NIST 和利益相关者确定的重要领域,应该指导未来版本的框架。因此,路线图将随着最具影响力的利益相关者网络安全活动和框架本身的变化而定期更新。
每个组织的网络安全资源、能力和需求都是不同的。因此,实施框架的时间将因组织而异,从几周到几年不等。框架核心的分层设计使组织能够根据其资源、能力和需求在当前状态和期望状态之间分配步骤。这使得组织能够制定一个实现框架结果的现实行动计划,并在合理的时间范围内建立在此成功之上,然后在后续活动中继续发展。
该框架提供了与整个组织相关的指导。如果只有 IT 部门使用它,那么框架的全部好处将无法实现。该框架平衡了全面的风险管理,同时使用了一种适应特定观众的语言。更具体地说,框架的功能、类别和子类别级别与组织、任务/业务以及 IT 和运营技术(OT)/工业控制系统(ICS)专业人员在系统级别上相对应。这使得从高管到个体运营单位以及与供应链伙伴的准确和有意义的交流成为可能。它可以帮助改善 IT 专家、OT/ICS 运营商和组织的高级管理人员之间的沟通和理解。完整的网络安全框架可在nist.gov/cyberframework找到。
4.4 开发安全政策
虽然政策本身不能解决问题,实际上,除非它们被明确编写和遵守,否则它们实际上可能会使事情变得更加复杂,但它们确实定义了所有组织努力应该指向的理想目标。根据定义,安全政策是指明确、全面和明确定义的计划、规则和实践,调节对组织系统和其中包含的信息的访问。一个好的政策不仅保护信息和系统,还保护个人员工和整个组织。它也作为对外界的一个明显声明,表明组织对安全的承诺。
可行的安全政策必须基于风险评估的结果。风险评估的结果为决策者提供了关于其组织特定安全需求的准确图片。风险评估还有助于揭示安全漏洞,这对于正确的政策制定至关重要,这需要决策者采取几个步骤,如盒子 4.3 所示。
盒子 4.3 决策者必须采取的步骤来制定安全政策
- 确定敏感信息和关键系统
- 结合当地、州和联邦法律,以及相关的道德标准
- 确定机构安全目标和目标
- 制定实现这些目标和目标的计划
- 确保实现目标和目标的必要机制已经就位
尽管最终确定组织政策通常是高层决策者的任务,但对政策的发展应该是全组织范围内的活动。虽然并非每个员工都需要参加每次安全政策规划会议,但高层管理人员应该在信息收集阶段包括来自各个职位级别和类型的代表(就像在风险评估期间进行头脑风暴一样)。非行政人员有一种特别独特的视角可以与决策者分享,这是通过其他方式无法获得的。定期与员工会面,了解影响他们工作的重要问题,是确保组织各个层面都能获得支持的重要一步。
在前几章中指出,所有组织都容易受到社会工程攻击的影响,事实上,来自各个行业的组织都受到了这种攻击的影响。尽管组织的风险评估告知管理人员其系统特定的安全需求,在社会工程攻击的情况下,所有类型和规模的组织都需要采取措施来减轻这种攻击。无论风险评估的任何发现,以下一般问题都应该在任何安全政策中清晰简洁地得到解决:
- 政策的原因是什么?
- 谁制定了政策?
- 谁批准了政策?
- 谁的权威支持政策?
- 政策基于哪些法律或法规?
- 谁将执行政策?
- 政策将如何执行?
- 政策影响谁?
- 必须保护哪些资产?
- 用户实际上需要做什么?
- 安全漏洞和违规应该如何报告?
- 政策的生效日期和到期日期是什么?
政策应以简明易懂的语言撰写,并且应该让目标受众能够理解。它们应该简洁明了,关注期望和后果,但解释政策实施的原因也是有帮助的。此外,任何可能让读者困惑的术语都需要被定义。通过尽可能简单化,员工参与变得成为一个现实的愿望。但请记住,除非组织对其用户进行教育,否则很难指望安全程序能够得到正确实施。
应该实施专门针对安全政策要求的员工培训。政策制定者应该意识到许多计算机用户可能没有接受过正确使用技术的培训,而且他们所接受的少量培训可能是为了克服他们的恐惧并教他们如何打开自己的机器。最多,他们可能已经学会了如何使用特定软件进行特定应用。因此,大多数组织的员工对安全问题几乎一无所知,除非组织尽其所能纠正这种情况并提供适当的培训,否则不应指望这种情况会改变。组织不愿意充分准备员工使安全政策成为工作环境的一部分,那么其他努力就只是一种理论上的练习—而理论无法保护系统免受那些实实在在的威胁。
期望每个员工都成为安全专家是完全不现实的。相反,推荐的安全实践应该被分解成适合个人工作职责的可管理的部分。每周发送一条简短而重点突出的信息要比每月发送过于雄心勃勃的信息更容易被接受。
如果没有证据表明员工同意遵守安全规定,有时必要的惩戒、解雇,甚至起诉安全违规者的任务可能会变得难以追究。成功的安全政策的一个目标是应该限制对系统的信任需求。虽然这可能看起来像是一种极端愤世嫉俗的哲学,但实际上它有助于保护组织的员工和组织本身。但在安全的好处能够实现之前,员工必须得到适当的告知,包括他们的角色、责任和组织期望。员工必须书面告知使用设备的什么是可以接受的,什么是不可以接受的,并且安全将成为绩效评估的一部分。
每当安全受到威胁时,无论是磁盘崩溃、外部入侵攻击还是自然灾害,都很重要提前计划潜在的不利事件。确保您提前计划了这些麻烦的唯一方法就是现在制定计划,因为您永远无法准确预测安全漏洞将何时发生。它可能在一年、一个月或今天下午发生。提前规划紧急情况不仅仅是良好的政策。没有安全漏洞响应计划和其他全面的应急计划可以替代。
4.5 保护小型企业免受社会工程攻击
小型企业有许多填补行业或商业服务领域所需空白的机会。宽带和信息技术是小型企业开拓新市场、提高生产率和效率的强大因素。然而,许多小型企业可能没有他们需要的所有资源来建立强大的网络安全姿态,但他们仍然需要一个网络安全策略来保护自己的业务、客户和数据免受不断增加的网络安全威胁。联邦通信委员会(FCC)、国土安全部(DHS)和小型企业管理局都为小型企业提供了建议。
美国有 3000 万家小型企业,每年创造的每三个新工作中就有两个是由美国的小型企业创造的,而且超过一半的美国人要么拥有自己的小型企业,要么在小型企业工作。小型企业在经济和国家供应链中发挥着关键作用,它们越来越依赖信息技术来存储、处理和传递信息。保护这些信息免受不断增加的网络威胁是至关重要的。
由于规模较小或认为自己没有值得窃取的东西,小型雇主通常不认为自己是网络攻击的目标。然而,小型企业拥有网络罪犯寻求的有价值的信息,包括员工和客户数据、银行账户信息和对企业财务的访问权限,以及知识产权。小型雇主还为诸如供应链之类的更大网络提供了访问权限。
虽然一些小型雇主已经制定了健全的网络安全实践,但许多小型企业缺乏足够的资源或人员来致力于网络安全。考虑到它们在国家供应链和经济中的作用,以及相对于较大对手而言缺乏足够的资源来保护它们的信息、系统和网络,小型雇主是网络罪犯的一个有吸引力的目标。
国家网络安全与通信整合中心(NCCIC)收到了关于 WannaCry 勒索软件在全球范围内的多起感染报告。勒索软件是一种恶意软件,它感染并限制对计算机的访问,直到支付赎金为止。尽管还有其他交付方法,但勒索软件通常通过社会工程攻击和网络钓鱼邮件传播,并利用软件中未打补丁的漏洞。网络钓鱼邮件被设计成看起来像是由合法组织或已知个人发送的。这些邮件经常诱使用户点击链接或打开包含恶意代码的附件。在代码运行后,计算机可能会感染恶意软件。
对网络卫生和最佳实践的承诺对保护组织和用户免受网络威胁,包括恶意软件,至关重要。在针对最近的社会工程攻击和 WannaCry 勒索软件威胁的特定建议中,用户应该:
- 即使发件人看起来是已知的,点击电子邮件中的链接时也要小心谨慎;尝试独立验证网址(例如,联系组织的帮助台或搜索与电子邮件中提到的组织或主题相关的主要网站)。
- 在打开电子邮件附件时要小心谨慎。特别要警惕压缩文件或 ZIP 文件附件。
- 对于询问员工或其他内部信息的个人的未经请求的电话、访问或电子邮件消息要保持警惕。如果一个未知的个人声称来自合法组织,请直接与该公司验证他/她的身份。
- 在确保一个人有权获得信息之前,避免提供个人信息或有关组织的信息,包括其结构或网络。
- 避免在电子邮件中透露个人或财务信息,并且不要回复要求此信息的电子邮件。这包括跟随电子邮件中发送的链接。
- 在检查网站安全性之前,在互联网上发送敏感信息要小心谨慎。⁹
如果您不确定电子邮件请求是否合法,请尝试通过直接联系公司来验证。不要使用与请求连接的网站上提供的联系信息;而是查看以前的声明以获取联系信息。小型企业还应该采取以下措施:
- 对员工进行安全原则的培训,并为员工建立基本的安全实践和政策,例如要求使用强密码,并制定适当的互联网使用准则,详细说明违反公司网络安全政策的处罚。
- 通过保持干净的机器来保护信息、计算机和网络免受网络攻击的威胁:拥有最新的安全软件、网络浏览器和操作系统是防止病毒、恶意软件和其他在线威胁的最佳防御措施。设置防病毒软件在每次更新后运行扫描。尽快安装其他关键软件更新。
- 为互联网连接提供防火墙安全,并确保操作系统的防火墙已启用,或安装可在网上获取的免费防火墙软件。如果员工在家工作,请确保他们的家庭系统由防火墙保护。
- 移动设备可能会带来重大的安全和管理挑战,特别是如果它们存有机密信息或可以访问企业网络的话。要求用户对其设备进行密码保护,加密其数据,并安装安全应用程序,以防止犯罪分子在手机连接公共网络时窃取信息。确保为丢失或被盗设备设定报告程序。
- 定期备份所有计算机上的数据。关键数据包括文字处理文件、电子表格、数据库、财务文件、人力资源文件和应收/应付款文件。如果可能的话自动备份数据,或者至少每周备份一次,并将副本存储在离线或云中。
- 防止未经授权的个人访问或使用企业计算机。笔记本电脑尤其容易成为盗窃的目标或丢失,因此当无人看管时要将其锁起来。确保为每个员工创建单独的用户帐户,并要求使用强密码。管理员权限应仅授予受信任的 IT 人员和关键人员。
- 确保工作场所的 Wi-Fi 网络是安全的、加密的和隐藏的。为了隐藏 Wi-Fi 网络,无线接入点或路由器应设置为不广播网络名称,即服务集标识符(SSID)。此外,路由器的访问应该受到密码保护。
- 与银行或处理器合作,确保使用最可靠和经过验证的工具和反欺诈服务。公司还可能根据与其银行或处理器的协议有额外的安全义务。他们应确保支付系统与其他较不安全的程序隔离,并且同一台计算机不用于处理付款和浏览互联网。
- 确保没有一个员工被授予对所有数据系统的访问权限。员工只应被授予他们工作所需的特定数据系统的访问权限,并且不应能够未经许可安装任何软件。
- 要求员工使用唯一密码,并每三个月更改一次密码。考虑实施多因素身份验证,需要除密码外的其他信息才能进入。与处理敏感数据的供应商(尤其是金融机构)联系,看看他们是否为您的账户提供多因素身份验证。¹⁰
- 确保业务中的每台计算机都配备了防病毒软件和防间谍软件,并定期更新。这些软件可以从各种供应商的在线渠道轻松获得。所有软件供应商定期提供补丁和更新,以纠正安全问题并改进功能。配置所有软件以自动安装更新。
- 向员工介绍在线威胁以及如何保护企业数据,包括安全使用社交网络网站。根据业务性质,员工可能通过社交网络网站向竞争对手泄露公司内部业务的敏感细节。员工应该知道如何在网上发布内容,以便不向公众或竞争企业透露任何商业机密。
- 保护公开面向的网站的所有页面,而不仅仅是结账和注册页面。¹¹
4.6 建立安全文化
在管理网络、开发应用程序,甚至整理纸质文件时,良好的安全性并非偶然。从一开始就考虑安全性的公司会评估其选择,并根据其业务性质和涉及的信息的敏感性做出合理的选择。数据面临的威胁可能随时间而变化,但良好安全性的基本原则始终保持不变。
从雇佣申请中的个人数据到具有客户信用卡号码的网络文件,敏感信息渗透到许多公司的每个部分。企业高管经常询问如何管理机密信息。关键的第一步是从安全性开始。将其纳入组织的每个部门的决策制定中,包括人事、销售、会计、信息技术等。仅仅因为可以收集信息而收集信息已不再是一个合理的商业策略。精明的公司会深思熟虑其数据决策的影响。对于要收集的信息类型、保留时间以及谁可以访问它做出有意识的选择,可以降低未来数据泄露的风险。当然,所有这些决定都将取决于业务的性质。
有时作为交易的一部分需要收集个人数据是必要的。但一旦交易完成,保留这些数据可能是不明智的。在联邦贸易委员会(FTC)对 BJ’s 批发俱乐部的案件中,该公司收集了客户的信用卡和借记卡信息以处理其零售店的交易。但根据投诉,它继续存储该数据长达 30 天,远远超过交易完成的时间。这不仅违反了银行规定,而且,FTC 表示 BJ’s 批发俱乐部在没有合法业务需求的情况下保留信息,造成了不合理的风险。通过利用公司安全实践中的其他弱点,黑客窃取了帐户数据,并用它制作了伪造的信用卡和借记卡。该公司本可以通过在不再有合法需要时安全处置财务信息来限制其风险。
如果员工在工作中不需要使用个人信息,那么他们就没有必要访问它。例如,在 Goal Financial 案中,FTC 声称该公司未限制员工访问存储在纸质文件和网络上的个人信息。结果,一群员工未经授权就将超过 7,000 个包含敏感信息的消费者文件转移到了第三方手中。该公司本可以通过实施适当的控制措施,并确保只有有合法业务需要的授权员工才能访问人们的个人信息来防止这种错误。
像 121212 或 qwerty 这样的密码与无密码几乎没有区别。这就是为什么明智地考虑您实施的密码标准是明智的。例如,在 Twitter 案中,该公司允许员工将常见的词典词作为管理员密码,以及他们已经在其他帐户上使用的密码。根据 FTC 的说法,这些松散的做法使 Twitter 的系统容易受到黑客的攻击,后者使用密码猜测工具或尝试从其他服务中窃取的密码,希望 Twitter 员工使用相同的密码访问公司的系统。Twitter 本可以通过实施更安全的密码系统来限制这些风险,例如,要求员工选择复杂的密码,并培训他们不要在商业和个人帐户中使用相同或相似的密码。
在 Guidance Software 案件中,FTC 指控该公司将网络用户凭据以清晰、可读的文本存储,这帮助黑客获取了网络上客户信用卡信息的访问权限。类似地,在 Reed Elsevier 案件中,FTC 指控该公司允许客户以易受攻击的格式将用户凭据存储在其计算机上的 Cookie 中。在 Twitter 中,FTC 也表示该公司未建立禁止员工将管理密码以明文形式存储在个人电子邮件帐户中的政策。在这些案件中,如果公司制定了存储凭据的安全政策和程序,风险本可以降低。
在 Lookout Services 案件中,FTC 指控该公司未充分测试其 Web 应用程序以查找广为人知的安全漏洞,包括一种称为可预测资源位置的漏洞。因此,黑客可以轻易预测模式并操纵 URL 以绕过 Web 应用程序的身份验证屏幕并未经授权地访问公司的数据库。该公司可以通过测试常见漏洞来改进其身份验证机制的安全性。
数据不会停留在一个地方。这就是为什么在传输信息是您业务的必要性时,考虑安全性在所有阶段都很重要的原因。例如,在 Superior Mortgage Corporation 案件中,FTC 指控该公司使用安全套接字层(SSL)加密来确保客户的网络浏览器和业务网站服务器之间敏感个人信息的传输安全。但是一旦信息到达服务器,公司的服务提供商就会解密它,并以清晰、可读的文本形式将其发送到公司的总部和分公司。通过确保数据在其整个生命周期中安全,并不仅仅在初始传输期间,这种风险本可以被预防。
FTC 对 Fandango 和 Credit Karma 的行动指控称,这些公司在其移动应用中使用了 SSL 加密,但在不实施其他补偿性安全措施的情况下关闭了一个关键进程,即 SSL 证书验证。这使得应用程序容易受到中间人攻击,这可能允许黑客解密应用程序传输的敏感信息。如果公司的 SSL 实施被正确配置,这些风险本可以被防止。
在 Dave & Buster’s 案例中,FTC 指控该公司未使用入侵检测系统,并且未监视系统日志以寻找可疑活动。FTC 表示类似的情况也发生在 Cardsystem Solutions 案例中。该企业未采取足够的措施来检测对其网络的未经授权访问。黑客利用弱点,在公司的网络上安装程序,收集存储的敏感数据,并每四天将其发送到网络外部。在这些案例中,企业可以通过使用工具监视其网络上的活动来减少数据泄露的风险,或者减少泄露的广度。
在 MTS、HTC America 和 TRENDnet 这类案例中,FTC 指控这些公司未对其员工进行安全编码实践的培训。其结果是:设计决策存疑,包括在软件中引入漏洞。例如,在 HTC America 的投诉中,该公司未在其预装在移动设备上的日志应用程序中实现可用的安全通信机制。因此,恶意的第三方应用程序可以与日志应用程序通信,使消费者的短信、位置数据和其他敏感信息处于风险之中。该公司本可以通过充分培训其工程师的安全编码实践来降低像这样的漏洞风险。
安全不可以只是凭我们的话。在与服务提供商签订合同时包括安全期望是重要的第一步,但同样重要的是在流程中建立监督。FTC 的 Upromise 案例说明了这一点。在那里,该公司聘请了一个服务提供商来开发一个浏览器工具栏。Upromise 声称该工具栏,它收集消费者的浏览信息以提供个性化的优惠,将使用一个过滤器在传输前移除任何可识别的个人信息。但是,根据 FTC 的说法,Upromise 未验证服务提供商是否按照 Upromise 的隐私和安全政策以及旨在保护消费者信息的合同条款的规定来实施信息收集程序。因此,该工具栏收集了敏感的个人信息,包括从安全网页上的金融账号和安全码,并以明文形式传输。该公司如何才能降低这种风险?通过在开发过程中询问并跟进服务提供商。
针对计算能力的巨大变化、互联网的使用以及网络系统的发展,经济合作与发展组织(OECD)制定了一套原则,以帮助确保当代互联通信系统和网络的安全。这些原则适用于所有人,从制造、拥有和运营信息系统的人到通过家用个人计算机连接的个人用户。重要的是,这些原则呼吁在使用信息系统时采取新的思维和行为方式。它们鼓励发展安全文化作为一种心态,以应对通信网络的威胁和漏洞。这九项原则包括:意识、责任、响应、道德、民主、风险评估、安全设计与实施、安全管理和重新评估。这些指南是在 OECD 的商业工业咨询委员会(BIAC)和公民社会代表的全面合作下制定的。
2001 年 10 月,经济合作与发展组织信息、计算机和通信政策委员会(ICCP)积极回应了美国提出的对安全指南进行加速审查的提议。OECD 成员国、企业、公民社会和 OECD 秘书处都感到紧迫,并作出了充分的合作和支持。指南的文本可在www.oecd.org上获得。
完成指南仅是第一步。美国政府机构在其对私营部门、公众和其他政府的宣传活动中使用了这些指南,并鼓励商界、工业界和消费者团体加入使用这些指南,因为他们制定了自己的信息系统和网络安全方法,并在信息系统和网络的安全文化发展中发挥了作用。 ¹³
4.7 结论
防范社会工程攻击对于所有类型和规模的组织都是必需的。当安全流程深入嵌入到机构的文化中时,信息安全计划会更加有效。有效的安全必须成为组织文化的实质性部分,并且培训必须持续进行。
4.8 要点
本章介绍的重要要点如下:
- 培训对于防范社会工程和恶意代码攻击绝对至关重要,但是远远有太多组织忽视了这一点。
- 网络安全框架包括三个主要组成部分:核心、实施层级和配置文件。配置文件主要用于确定和优先考虑组织中改进网络安全的机会。
- 框架是指导。它应该由不同部门和个体组织定制,以最适应其风险、情况和需求。组织将继续面临独特的风险,面对不同的威胁,并具有不同的脆弱性和风险容忍度。他们如何实施框架中的实践以实现积极结果将有所不同。
- 术语安全政策指的是明确、全面且明确定义的计划、规则和实践,规范对组织系统及其中包含的信息的访问。
- 政策应简明扼要,关注期望和后果,但解释为何要制定政策会有所帮助。
- 许多小型企业可能没有所需的所有资源来拥有强大的网络安全姿态。然而,企业需要一项网络安全战略,以保护自己的组织、客户和数据免受不断增长的网络安全威胁。
- 从一开始考虑安全性的公司会评估他们的选择,并根据业务性质和涉及信息的敏感性做出合理的选择。
- 对于要收集的信息类型、保存多长时间以及谁可以访问的有意识选择,可以降低未来数据泄露的风险。
- 经济合作与发展组织(OECD)的准则鼓励将安全文化作为一种应对通信网络威胁和漏洞的心态。
4.9 研讨会讨论主题
研究生或专业级别研讨会的讨论主题包括:
- 研讨会参与者在评估组织安全状态方面有什么经验?那些评估的结果是什么?
- 研讨会参与者在为组织制定安全政策方面有何经验?他们制定了什么类型的政策?
- 研讨会参与者在组织发生安全漏洞后重新评估安全实践和政策方面有何经验?重新评估的结果是什么?
4.10 研讨会小组项目
参与者应该访问来自五个不同组织的人员,以确定受访者对其组织中的网络安全的理解。然后,他们应该撰写每次访谈的一页摘要,并在研讨会的讨论组中分享它们。
关键术语
- 可接受使用政策:是一份文件,建立了用户和企业之间的协议,并为所有方定义了在用户可以访问网络或互联网之前批准的使用范围。
- 最佳实践:是通过经验和研究,可靠地导致期望或最佳结果的技术或方法。
- 安全文化:是一种组织文化,其中安全渗透到日常生活的方方面面以及所有运营情况中。
- 安全漏洞:是指安全措施或缓解方法不足以保护资产或未能彻底保护其部署以保护的资产。
- 个人使用:指的是为个人原因和目标使用服务或物品,与雇用个人使用该物品或服务的组织没有任何关系。
- 沙箱:是使用受限制的、受控的执行环境,防止潜在恶意软件(如移动代码)访问除了软件被授权访问的系统资源之外的任何系统资源,以限制执行代码的访问和功能。
- 安全意识:是对安全的基本理解和对安全重要性的认识。
- 安全威胁:是可能危及一个国家、组织、设施或受威胁实体的任何资产安全的条件、人员或事件。
- 安全警惕:是在日常运营中对安全的持续关注;通过鼓励报告安全违规行为,提出改进安全的建议来促进安全。
参考资料
- 1. 安全文化。联邦金融机构审查委员会。2019 年 2 月 10 日访问。ithandbook.ffiec.gov/it-booklets/information-security/i-governance-of-the-information-security-program/ia-security-culture.aspx
- 2. 恶意软件缓解。联邦金融机构审查委员会。2019 年 2 月 10 日访问。ithandbook.ffiec.gov/it-booklets/information-security/ii-information-security-program-management/iic-risk-mitigation/iic12-malware-mitigation.aspx
- 3. 培训。联邦金融机构审查委员会。2019 年 2 月 10 日访问。ithandbook.ffiec.gov/it-booklets/information-security/ii-information-security-program-management/iic-risk-mitigation/iic7-user-security-controls/iic7(e)-training.aspx
- 4. 新框架。NIST。2018 年 12 月 11 日访问。2019 年 2 月 10 日访问。www.nist.gov/cyberframework/new-framework#background
- 5. 框架基础。NIST。2018 年 12 月 11 日访问。2019 年 2 月 10 日访问。www.nist.gov/cyberframework/questions-and-answers#framework
- 6. 框架组件。NIST。2018 年 12 月 11 日访问。2019 年 2 月 10 日访问。www.nist.gov/cyberframework/questions-and-answers#framework
- 7. 安全政策:开发与实施。美国教育部,教育科学研究所(IES)。2019 年 2 月 10 日访问。nces.ed.gov/pubs98/safetech/chapter3.asp
- 8. 网络安全简介。美国小型企业管理局。访问日期:2019 年 2 月 10 日。www.sba.gov/managing-business/cybersecurity/introduction-cybersecurity
- 9. 防范勒索软件。美国小型企业管理局。访问日期:2019 年 2 月 10 日。www.sba.gov/managing-business/cybersecurity/protect-against-ransomware
- 10. 小型企业网络安全。美国联邦通信委员会。访问日期:2019 年 2 月 10 日。www.fcc.gov/general/cybersecurity-small-business
- 11. 十大网络安全提示。美国小型企业管理局。访问日期:2019 年 2 月 10 日。www.sba.gov/managing-business/cybersecurity/top-ten-cybersecurity-tips
- 12. 从安全开始:企业指南。联邦贸易委员会(FTC)。2005 年 6 月。访问日期:2019 年 2 月 11 日。www.ftc.gov/tips-advice/business-center/guidance/start-security-guide-business#start
- 13. 经济合作与发展组织呼吁建立信息系统安全文化。经济合作与发展组织(OECD)。2002 年 8 月。访问日期:2019 年 2 月 11 日。2001-2009.state.gov/r/pa/prs/ps/2002/12518.htm
第五章:利用 PII 的社会工程攻击
社会工程攻击在诱饵或诡计符合消息接收者视为例行或正常的情境时更有效。 该消息可能是关于足球或棒球,使其对体育迷感兴趣。 以往诱饵消息承诺提供名人裸照也取得了良好效果。 互联网上大量可获取的个人可识别信息(PII)使得社会工程攻击者可以轻松找到与个人私生活或企业员工在开展业务活动中相关的主题。 因此,关于个人或组织的公开信息已成为安全问题,因为它可以用于针对系统的社会工程攻击或企图欺诈或窃取身份。 本章审查了围绕 PII 的安全问题。
5.1 定义个人可识别信息(PII)
个人可识别信息(PII)的一个视角是指可以用来区分或追踪个人身份的信息,无论是单独使用还是与其他个人或标识信息结合使用,这些信息与特定个人相关联或可关联。 PII 的定义并不一定与任何单一信息类别或技术相关联。相反,它需要对能够从信息中识别个体的具体风险进行逐案评估。 在进行此评估时,对于机构来说,重要的是要认识到,只要在任何媒介和任何来源公开提供的附加信息与其他可用信息结合时可以用于识别个人,那么非 PII 就可以变成 PII。 ¹
PII 的另一个视角认为,它是任何信息的表达,使得适用于信息的个人的身份可以通过直接或间接手段合理地推断出来。 此外,PII 被定义为直接标识个体的信息(姓名,地址,社会安全号码(SSN)或其他标识号码或代码,电话号码,电子邮件地址等),或者机构打算与其他数据元素一起识别特定个体的信息,即间接识别。 (这些数据元素可能包括性别,种族,出生日期,地理指示符和其他描述符的组合。)另外,允许与特定个人进行物理或在线联系的信息与个人可识别信息相同。 此信息可以保存在纸张或电子或其他媒体中。 ²
根据美国政府问责局(GAO)的说法,PII 是机构维护的有关个人的任何信息,包括任何可用于区分或追踪个人身份的信息,例如姓名、社会保障号码、出生日期和地点、母亲的婚前姓名或生物识别记录;以及与个人相关联或可关联的任何其他信息,例如医疗、教育、财务和就业信息。PII 的例子包括但不限于:
- 姓名,如全名、婚前姓名、母亲的婚前姓名或别名。
- 个人身份证号码,如社会保障号码、护照号码、驾驶证号码、纳税人识别号码或金融账户或信用卡号码。
- 地址信息,如街道地址或电子邮件地址。
- 个人特征,包括照片图像(特别是面部或其他识别特征)、指纹、手写或其他生物识别数据(例如,视网膜扫描、声纹签名、面部几何)。
- 与上述任一项相关联或可关联的个人信息(例如,出生日期、出生地点、种族、宗教、体重、活动、地理指标、就业信息、医疗信息、教育信息、财务信息)。
- 资产信息,例如互联网协议(IP)或媒体访问控制(MAC)地址,或其他与主机相关的、持久的、静态的标识符,这些标识符持续地与特定人员或小型、明确定义的人群联系在一起。
- 识别个人拥有财产的信息,例如车辆注册号或所有权证号及相关信息。
关联信息是与个人相关的信息,逻辑上与个人的其他信息相关联。相比之下,可关联信息是指与个人相关的信息,存在与其他与个人相关的信息逻辑关联的可能性。例如,如果两个数据库包含不同的个人识别信息元素,那么访问这两个数据库的人可能能够将两个数据库中的信息联系起来,并识别出个人,以及访问与个人相关的其他信息。如果次要信息源存在于同一系统或密切相关的系统上,并且没有有效地将信息源隔离的安全控制,则数据被认为是关联的。如果次要信息源维护在更远的地方,例如组织内的不相关系统中、公共记录中,或者以其他方式容易获得(例如,互联网搜索引擎),则数据被认为是可关联的。³
5.2 为什么 PII 是一个问题
未经授权的 PII 访问、使用或披露可能严重损害个人,包括促成网络跟踪、身份盗窃、勒索或尴尬,以及损害持有 PII 的组织,减少公众对组织的信任或产生法律责任。伤害指的是个人的任何不利影响,其 PII 是保密丧失的主题,以及维护 PII 的组织所经历的任何不利影响。对个人的伤害包括任何负面或不受欢迎的影响(即可能在社会上、身体上或经济上造成损害)。对个人造成伤害的类型的示例包括但不限于可能导致勒索、身份盗窃、身体伤害、歧视或情感困扰。因此,越来越多的人正在使用身份监控服务或购买身份盗窃保险。
PII 也可能被用于网络钓鱼攻击,正如据称在 2019 年 2 月揭示的那样,伊朗情报人员使用美国情报人员的 PII 进行社会工程攻击,导致美国员工遭受损失并导致伊朗获得对美国情报信息的访问权限。
组织可能还会因为对组织维护的 PII 的保密性丧失而遭受损害,包括但不限于行政负担、财务损失、公众声誉和信心的损失以及法律责任。以下描述了三个影响级别,即低、中和高,这些级别基于涉及特定系统的安全漏洞的潜在影响。影响级别总结在 Box 5.1 中。
Box 5.1 PII 泄露的影响级别
- 如果可以预期保密性、完整性或可用性的丧失会产生有限的不利影响,则影响程度为低。
- 如果可以预期保密性、完整性或可用性的丧失会产生严重不利影响,则影响程度为中等。
- 如果可以预期保密性、完整性或可用性的丧失会产生严重或灾难性的不利影响,则影响程度为高。
如果可以预期保密性、完整性或可用性的丧失对组织运营、组织资产或个人产生有限的不利影响,则潜在影响较低。有限不利影响意味着保密性、完整性或可用性的丧失可能会导致任务能力的下降,但组织仍能执行其主要职能,但职能的效果明显降低;可能导致对组织资产的轻微损害;可能导致轻微的财务损失;或者可能对个人造成轻微伤害。
如果机密性、完整性或可用性的丧失可能对组织运营、组织资产或个人造成严重不利影响,则潜在影响程度为中等。严重不利影响意味着机密性、完整性或可用性的丧失可能导致任务能力严重下降,使组织能够执行其主要功能,但功能的有效性显著降低;导致组织资产严重损坏;导致严重财务损失;或导致不涉及生命丧失或严重威胁生命的个人受到严重伤害的可能性。
如果机密性、完整性或可用性的丧失可能对组织运营、组织资产或个人造成严重或灾难性的不利影响,则潜在影响程度为高。严重或灾难性的不利影响意味着机密性、完整性或可用性的丧失可能导致任务能力严重下降或丧失,使组织无法执行其一项或多项主要功能;导致组织资产重大损坏;导致重大财务损失;或导致涉及生命丧失或严重威胁生命的严重或灾难性伤害。
这些影响级别描述的对个人的伤害更容易通过示例理解。在低影响级别上,个人可识别信息(PII)的机密性泄露不会造成更大的伤害,只会带来不便,比如更换电话号码。在中等影响级别上,涉及 PII 的泄露可能造成的伤害类型包括因身份盗窃或丧失权益而导致的财务损失、公开羞辱、歧视以及可能导致敲诈勒索的潜在风险。高影响级别的伤害涉及严重的身体、社会或经济伤害,可能导致生命丧失、生计丧失或不当的身体拘留。
任何有义务保护 PII 的组织在确定 PII 机密性影响级别时应考虑这些义务。许多组织受到法律、法规或其他规定的约束,规定了保护个人信息的义务,如 1974 年的《隐私法》、OMB 备忘录和 1996 年的《健康保险可移植性与责任法案》(HIPAA)。此外,一些联邦机构,如人口普查局和国内税收局(IRS),受到保护某些类型 PII 的额外具体法律义务的约束。一些组织也受其角色的具体法律要求的约束。例如,从事金融活动的金融机构受到《格兰姆-利奇-布莱利法案》(GLBA)的约束。此外,一些为统计目的收集 PII 的机构受到《保护机密信息和统计效率法》(CIPSEA)的严格保密要求的约束。违反这些法律可能会导致民事或刑事处罚。组织还可能根据其自身的政策、标准或管理指令有义务保护 PII。
关于特定法律、法规或规定的适用性的决定应与组织的法律顾问和隐私官员协商,因为相关法律、法规和规定通常复杂且随时间变化。³
5.3 PII 使身份盗窃变得轻松
身份盗窃和身份欺诈是指以欺诈或欺骗手段非法获取和使用他人个人数据的各种犯罪行为。通常涉及经济利益。以下是几种可能影响个人的常见身份盗窃类型:
盒子 5.2 常见的身份盗窃类型
- 税务身份盗窃—有人使用你的社会安全号码向国税局或你所在州的税务部门虚假申报纳税。
- 医疗身份盗窃—有人窃取你的 Medicare ID 或医疗保险会员号码。盗贼使用此信息获取医疗服务或向你的健康保险公司发送虚假账单。
- 社交身份盗窃—有人使用你的姓名和照片在社交媒体上创建假账户。⁴
一些最常见的身份盗窃或欺诈方式包括:
- 在公共场所,例如,犯罪分子可能会进行肩部冲浪,从附近的位置观察人们输入电话卡号码或信用卡号码,或者如果他们在电话中提供信用卡号码,听他们的谈话。
- 如果人们收到了预先批准的信用卡申请,并且没有撕毁随附的材料而将其丢弃,犯罪分子可能会取回这些申请并尝试激活卡片以在您不知情的情况下使用。此外,如果邮件送到其他人容易接触的地方,犯罪分子可能会简单地拦截并将邮件重定向到另一个地点。
- 许多人会对垃圾邮件(社会工程攻击)做出回应,承诺给予他们某些好处,但请求识别数据,却没有意识到在许多情况下,请求者并不打算遵守承诺。在某些情况下,据报道,犯罪分子利用计算机技术窃取了大量个人数据。
美国司法部(DOJ)根据各种联邦法规起诉身份盗窃和欺诈案件。例如,在 1998 年秋天,国会通过了身份盗窃和假冒遏制法。这项立法创造了一项新罪行,即禁止“在没有合法授权的情况下,故意转让或使用他人的身份识别手段,以达到犯罪活动或协助、教唆任何违反联邦法律的活动,或构成适用的任何州或地方法律的重罪”。在大多数情况下,此罪行最高可处以 15 年监禁、罚款和对用于或意图用于犯罪行为的任何个人财产的刑事没收。
身份盗窃或欺诈的计划也可能涉及违反其他法规,如 Box 5.3 所示。每一项联邦罪行都是一项重罪,其处罚相当严厉,在某些情况下,最高可达 30 年监禁、罚款和刑事财产没收。⁵
Box 5.3 违反联邦法的身份盗窃行为
- 身份识别欺诈(18 USC § 1028)
- 信用卡欺诈(18 USC § 1029)
- 计算机欺诈(18 USC § 1030)
- 邮件欺诈(18 USC § 1341)
- 电信欺诈(18 USC § 1343)
- 金融机构欺诈(18 USC § 1344)
联邦检察官与联邦调查机构合作,如联邦调查局(FBI)、美国特勤局和美国邮政检查服务,以起诉身份盗窃和欺诈案件。此外,还有几家私营公司提供身份盗窃保护和身份恢复服务。
2015 年 3 月,美国国内税务局召集了一个公私合作伙伴关系来应对不断增长的税收身份盗窃和被盗身份退税欺诈的威胁。这个名为“IRS 安全峰会”的团体由 IRS 官员、领先的税收准备公司的 CEO、软件开发人员、工资和税收金融产品处理器、金融机构、税务专业人员和州税务管理员组成。
峰会改进了纳税申报管道的保障措施,阻止了虚假申报进入系统,改进了内部欺诈过滤器,并防止了支付欺诈性退款。在 2015 年至 2017 年期间,报告的税收身份盗窃受害者数量减少了近 65%,2016 年至 2017 年间确认身份盗窃的税收申报减少了约 30%。
身份盗窃税款退款欺诈信息共享与分析中心(IDTTRF-ISAC,也称为 ISAC),是由美国国税局、各州和私营部门共同合作建立的,旨在通过整合思想、解决法律障碍和开启沟通渠道形成新的防线,保护税收生态系统和纳税人。IDTTRF-ISAC 充当着所有合作减少欺诈性税收申报实体之间的可信第三方(TTP)。
截至 2018 年,所有州和几乎所有主要私营行业利益相关者都参与了 ISAC。成员们认为,观察其他人的做法将帮助他们形成更全面的认识,并识别更多的欺诈实例。通过 ISAC 门户连接的能力是前所未有的,因为它使成员能够建立网络,并通过利用他人的知识和专长学习新的策略和战术。合作伙伴们指出了 ISAC 门户的实用性,这是一个开放但安全的(符合 NIST 800-53 和 IRS 出版物 4812 的两因素认证要求)环境,允许各州、美国国税局和行业迅速、轻松、保密地分享最佳实践和技术。尤其是对于一些资源有限的小型实体的合作伙伴来说,ISAC 使他们能够与更成熟、更有经验的合作伙伴联系和学习。
5.4 个人身份信息(PII)的自我披露也是一个问题
互联网自 20 世纪 90 年代初就已经普及并对公众开放。许多人无法回忆起没有互联网时社会是如何运作的。与互联网的寿命相比,社交媒体始于 2003 年的进化,仍处于青少年阶段。用户可以将自己的内容添加到任何允许的社交媒体网站上。诸如 Facebook 和维基百科之类的网站并非静态的;个人不断通过添加评论、照片和视频来修改它们。网络不再是被动观察的固定对象。它已经成为积极而常常充满激情互动的动态场所。社交媒体的增长、力量和影响力已经被证明是惊人的,这可以从传统报纸的衰落和最近选举的结果中得到证明。
多年来,从公共记录(例如出生、死亡和房地产记录)获得的信息一直都可以在网上获取。通过增加个人信息的曝光,社交媒体提高了身份盗窃和其他形式犯罪活动的威胁水平。这种新实体具有独特的性质,使其强大而不可预测。几个特征结合在一起,使其对某些类型的人尤其具有威胁性,包括军事人员和执法人员:
- 社交媒体的结构鼓励自我推广。
- 它提供了轻松接触潜在朋友的无限可能。
- 渴望验证的个人可以获得一种在现实生活中无法获得的连接感。
- 有渴望获得注意、名声或名望的人会被吸引过去。为了引人注目,他们经常发布有趣或挑衅性的信息。
社交媒体不存在约束。任何人都可以在线发布任何东西,几乎不用担心后果。匿名的在线环境可能会鼓励引人注目和令人震惊的行为。个人有时会创建屏幕名称或新身份,使他们可以超出正常的约束,并有时参与可能会避免的腐蚀性和不道德的活动。匿名性阻碍了控制这些行为的努力。过去,简单的事情,如邮政信箱和车牌保密性,提供了一些身份保护。 ⁷
社交媒体和专业社交网站,以及那些为业余爱好者和爱好者提供在线社区的网站,通常要求或提供参与者发布个人资料。这些个人资料包括姓名、电子邮件地址、位置、教育背景、婚姻状况、父母状况等个人身份信息,并且还包括一长串信息项目,可以帮助社交工程犯罪分子窃取身份和对个人进行其他侵入性行为。许多这些网站的隐私设置和安全性仍有待提高。过去十年中已经出现了许多警告,告诉人们在自愿在互联网上发布信息时需要注意什么,但人们仍然继续发布信息,继续使自己暴露于潜在的犯罪行为或社交骚扰之中。
5.5 Doxxing 的骚扰
Doxxing 指的是收集个人的 PII 并公开或发布,通常是出于恶意目的,如公开羞辱、跟踪、身份盗窃或针对个人进行骚扰。Doxxers 可能针对政府雇员进行此类操作,例如识别执法或安全人员,展示他们的黑客能力,或试图羞辱政府。
曝光者可能使用黑客技术、社会工程学或其他恶意网络活动来获取个人信息。一个常见的做法是获取受害者的电子邮件帐户。曝光者可以冒充来自 IT 帮助台或互联网服务提供商的代表,通过社会工程学来获取密码。一旦曝光者访问了电子邮件帐户,他或她将尝试从该帐户中获取更多个人信息,或者通过使用基于电子邮件的密码重置或收集信息来回答网站安全问题,来攻击其他基于网络的帐户(例如社交媒体、在线存储和财务记录)。曝光者还可能尝试在其他网站上使用相同的电子邮件地址和密码组合来获取其他帐户的访问权限。
曝光者可能会从互联网来源收集有关个人的信息,例如房产记录、社交媒体帖子、讣告、婚礼公告、通讯、公共会议和网络论坛。大多数,如果不是全部,这些信息都是公开可用的。曝光者从多个公开面向的来源收集信息,以揭示受害者的敏感信息,例如受害者的家庭住址、家庭成员、照片、工作地点,以及有关个人习惯、爱好或兴趣的信息。在这种镶嵌效应中,似乎无害的信息在网上发布或分享后可以被组合起来制作出详细的档案。
曝光者还可能使用数据经纪人或人员搜索网站,这些网站从公共和商业来源汇编信息,然后将此信息出售给公司或公众。这些经纪人可能从零售商、目录公司、杂志和网站(例如新闻、旅行)获取商业数据。
在某些情况下,曝光者可能是个人在某种程度上熟悉的人,或者是在同一组织内工作的人员。当同事或员工犯下身份盗用或不当使用专有信息时,被视为内部不端行为,通常由雇主处理。
为了减轻曝光的威胁,国土安全部建议人们限制在线分享的内容。一些公开可用的信息(例如公共记录)可能不在个人的控制范围之内,但人们应该记住,他们在互联网上发布的任何内容都可能被滥用,包括照片。一旦上网了,他们可能就无法收回。
还建议避免发布可能增加成为曝光目标几率的信息。并非所有信息的敏感程度都相同。例如,不要在社交媒体上发布有关就业的信息,尤其是有关工作职责或物理位置的敏感细节。还要避免发布可能用于回答网站安全问题的信息,例如宠物的名字或出生地。人们还应该:
- 打开社交媒体、移动应用程序和其他网站的隐私设置,并注意这些网站可能有的联系人或好友。
- 限制他们在社交媒体上使用第三方应用程序的次数,并避免使用社交媒体账户登录其他网站。当他们使用应用程序时,这些第三方应用程序会从用户配置文件中接收个人身份信息(PII)。
- 考虑从数据经纪人那里撤销自己的信息。不幸的是,这可能是一个耗时的过程,当数据经纪人接收到新的或更新的数据来源时,他们的信息可能会重新出现,因此每个人都必须权衡可能的好处和所需的努力。
- 注重良好的网络卫生习惯。设置两步验证,使用复杂密码,并避免在多个账户中使用相同的密码,以帮助防止账户被黑客攻击或劫持。
- 如果揭发者在社交媒体上发布 PII,请立即举报并要求将其删除。
- 记录任何威胁,如果他们认为自己处于危险之中,应该拨打警察电话。如果他们认为自己是身份盗窃的受害者,应该向当地警察局报案。即使警方不采取任何行动,也最好能有一份报告记录在案。要求与专门负责网络犯罪的警官交谈。
执法人员、军人和公职人员可能面临更高的网络攻击风险。这些攻击可能是由于有人扫描网络或打开包含恶意附件或链接的受感染电子邮件而引发的。黑客集团擅长利用公开可获得的开源信息,以确定执法人员、他们的雇主和家人。因此,执法人员和公职人员应注意他们的在线存在和曝光。例如,在社交媒体网站上发布穿着显示姓名标签的制服图片或列出他们的警察局或军事单位的信息可能会增加被针对或攻击的风险。
许多合法的在线帖子直接链接到个人社交媒体账户。执法人员和公职人员需要提高对他们发布内容的意识,以及这些内容如何反映他们自己、家人和雇主,或者如何在法庭上或在线攻击中被利用。最近的活动表明,执法人员、军人和公职人员的家庭成员也面临网络攻击和揭发行为的风险。针对性信息可能包括 PII、公开信息和社交媒体网站上的图片。
犯罪分子经常使用的另一种危险攻击称为 “swatting”。这涉及到向执法部门报告人质事件或其他重大事件,而事实上并没有紧急情况。尽管在当前数字时代消除曝光几乎是不可能的,但执法部门和公职人员可以采取措施来尽量减少他们被攻击的风险。联邦调查局建议社交媒体用户:
- 在社交媒体网站上打开所有隐私设置,并避免发布显示与执法相关的任何关联的照片。
- 注意家庭计算机和无线网络的安全设置。
- 在媒体网站上限制个人帖子,并仔细考虑评论。
- 限制驾驶执照和车辆注册信息与车辆管理部门。
- 请求将房地产和个人财产记录限制在该人所在县的在线搜索中。
- 定期更新硬件和软件应用程序,包括防病毒软件。
- 密切关注所有工作和个人电子邮件,尤其是那些包含附件或链接到其他网站的电子邮件。这些可疑或钓鱼的电子邮件可能包含感染的附件或链接。
- 定期搜索自己的名字以确定已经公开的信息。
- 启用额外的电子邮件安全措施,包括在个人电子邮件账户上启用两步验证。这是许多电子邮件提供商提供的安全功能。该功能将在访问您的电子邮件账户之前向您的移动设备发送短信。
- 密切监控信用和银行活动,防止欺诈活动。
- 密码应定期更改。建议使用 15 个字符或更多的密码短语。密码短语示例:这是第三个月的$七月,二〇一四年。
- 注意来自试图获取信息或假装认识他们的人的可疑电话或电子邮件。社会工程是一种经常用来欺骗人们透露机密信息的技能,对于犯罪分子来说仍然是一种极其有效的方法。
- 建议家庭成员在所有社交媒体账户上打开安全设置。家庭成员的关联是公开信息,家庭成员可能成为在线攻击的目标机会。⁹
5.6 有关披露个人信息的待议国会立法
2017 年 6 月 27 日,由马萨诸塞州的克拉克女士(由她自己、印第安纳州的布鲁克斯女士和密西西比州的米汉先生提出)提出的第 115 届国会第 1 届会议的第 3067 号众议院议案,旨在修正美国法典第十八章,以确立使用跨州电信系统进行骚扰的各个方面的某些刑事违规行为,并针对其他目的提交给司法委员会审议。第三标题—跨州披露个人信息防范旨在修改第 301 节:出于造成伤害的目的披露个人信息,意图修改美国法典第十八章第四十一章,在最后增加以下内容:
- § 881. 具有造成伤害意图的个人可识别信息的发布
- (a) 刑事违规.— 谁使用邮件或任何跨州或外国通信工具或手段,故意发布一个人的个人可识别信息—
- (1) 有意威胁、恐吓或骚扰任何人,煽动或促成针对任何人的暴力犯罪,或使任何人合理担心死亡或严重身体伤害;或
- (2) 以信息被用于威胁、恐吓或骚扰任何人,煽动或促成针对任何人的暴力犯罪,或使任何人合理担心死亡或严重身体伤害,而被判处根据本标题罚款或监禁不超过 5 年,或者两者兼施。
- (b) 民事诉讼.—
- (1) 总体上.—根据本节受到侵害的个人可以在美国适当地区法院对加害者提起民事诉讼,并可以获得损害赔偿和其他适当的救济措施,包括合理的律师费。
- (2) 共同和分别责任.—在本款下被判有责任的个人应与在本款下被判有责任的任何其他人一起对同一违反本节的行为所导致的损害承担连带责任。
- (3) 刑事诉讼中的暂停—(A) 根据本款提起的任何民事诉讼,在原告是受害者的同一事件的刑事诉讼未决期间暂停。
- © 定义.—本节中的定义为:
- (1) 发布.—发布一词意味着向另一个人传播、递送、分发、传播、传输或以其他方式提供。
- (2) 暴力犯罪.—术语暴力犯罪的含义如第 16 节所定义。
- (3) 个人可识别信息.—“个人可识别信息”一词的含义为—
- (A) 任何可以用来区分或追踪个人身份的信息,如姓名、先前的法定名称、别名、母亲的婚前姓氏、社会安全号码、出生日期或地点、地址、电话号码或生物特征数据;
- (B) 任何与个人相关联或可关联的信息,如医疗、财务、教育、消费或就业信息、数据或记录;或
- © 任何其他可链接或可与特定可识别个人关联的敏感私人信息,如性别认同、性取向或任何性行为密切的视觉描绘。¹⁰
- (a) 刑事违规.— 谁使用邮件或任何跨州或外国通信工具或手段,故意发布一个人的个人可识别信息—
5.7 骚扰和网络欺凌的真实案例
过去几年中,doxxing 导致了在线和现实生活中的骚扰,给许多人带来了伤害。在不通过姓名或其他 PII 识别个人的情况下,有几个主要的例子显示,doxxing 导致了骚扰:
- 那些公开主张加强枪支管制的人遭受的骚扰。
- 那些反对政治或司法职位推荐人的个人遭受的骚扰,如布雷特·卡瓦诺和唐纳德·特朗普的指控者所遭受的。
- 那些来自非白人基督徒背景并投身政治的人遭受的骚扰。
- 对在堕胎诊所工作、进行堕胎或支持选择性生育自由的个人的骚扰。
在发生大规模枪击事件后,枪支控制倡导者通常会变得更加活跃,参与抗议并在社交媒体上发布和评论。持枪派别也变得更加活跃,持枪派别对反枪支派别进行的网络恶作剧变得普遍。在许多情况下,这导致了网络暴力的威胁,但也导致了身体骚扰、恐吓和身体攻击。
在被骚扰者的情况下,社交媒体上有非常有组织的持续攻击,以及身体恐吓和更激烈的身体暴力的威胁。在某些情况下,指控者及其家人不得不搬离家园,并为了自己的人身安全而躲藏起来。这种骚扰很大程度上是对所认为的威胁的部落反应,但也有迹象表明,一些骚扰是针对和攻击个人的组织良好的网络恶作剧。
随着种族主义和仇外情绪在美国的重新兴起,许多非白人和非基督徒参与了地方或国家政治活动,面临的暴力威胁和网络欺凌的频率越来越高。针对种族、种族和宗教少数群体的物理暴力和企图的物理暴力也增加了。
长期以来,那些在堕胎诊所工作的人一直是身体暴力和恐吓以及在线骚扰的目标。一些人甚至被杀害。有许多个案件中对这些个人进行了揭露私人信息,并且这种行为仍然在执法部门的监管下发生且无人制止。
暴露私隐信息(Doxxing)往往导致网络欺凌,即在手机、电脑和平板等数字设备上进行的欺凌行为。网络欺凌可以通过短信、文本和应用程序进行,也可以在线上社交媒体、论坛或游戏中进行,人们可以查看、参与或分享内容。网络欺凌包括发送、发布或分享有关他人的负面、有害、虚假或刻薄内容。它可能包括分享有关他人的个人或私人信息,从而导致尴尬或羞辱。一些网络欺凌行为可能涉及非法或犯罪行为。网络欺凌最常发生的地方包括:
- 社交媒体,如 Facebook™、Instagram™、Snapchat^™和 Twitter^™。
- 短信,也称为通过设备发送的短信。
- 即时消息(通过设备、电子邮件提供商服务、应用程序和社交媒体消息功能)。
- 电子邮件。
随着社交媒体和数字论坛的普及,个人发布的评论、照片、帖子和内容常常会被陌生人以及熟人看到。一个人在线上分享的内容,无论是他们的个人内容还是任何负面、刻薄或伤人的内容,都会构成一种永久的公开记录,记录了他们的观点、活动和行为。这个公开记录可以被视为在线声誉,可能会被学校、雇主、大学、俱乐部和其他可能正在或将来可能研究个人的人所访问。网络欺凌可能会损害所有参与者的在线声誉,不仅是被欺凌的人,还有那些施加欺凌或参与活动的人。¹¹ 网络欺凌引起了许多独特的关注点,这些关注点显示在第 5.4 节的方框中。
Box 5.4 关于网络欺凌的独特关注点
- 持久性:数字设备提供了一种立即且持续通信的能力,因此对于遭受网络欺凌的孩子来说,很难找到缓解的途径。
- 永久性:大多数通过电子方式传达的信息是永久和公开的,如果不进行举报和删除的话。负面的在线声誉,包括那些施加欺凌的人,可能会影响大学录取、就业和生活的其他方面。
- 难以察觉:它很难被察觉,因为老师和家长可能无法听到或看到正在发生的网络欺凌。
2014 年,美国疾病控制与预防中心和美国教育部发布了用于研究和监测的首个联邦统一的欺凌定义。该定义的核心要素包括不受欢迎的攻击性行为、被观察或被感知的权力失衡以及行为的重复或高度可能的重复。然而,欺凌有许多不同的方式和类型。
大多数关于欺凌的研究侧重于未成年人,并未涉及对成年人的影响。目前的定义承认了青少年可以被欺凌或可以欺凌他人的两种模式和四种类型。欺凌的两种模式包括直接(例如,在被针对的青少年面前发生的欺凌)和间接(例如,不直接向被针对的青少年传达的欺凌,如散布谣言)。除了这两种模式外,欺凌的四种类型还包括肢体、口头、关系(例如,试图伤害被针对的青少年的声誉或关系)以及对财产的损害的广泛类别。
电子欺凌或网络欺凌主要涉及口头攻击(例如,威胁或骚扰的电子沟通)和关系攻击(例如,通过电子手段散布谣言)。电子欺凌或网络欺凌也可能涉及由电子攻击导致的财产损害,从而修改、传播、损坏或破坏青少年的私人存储的电子信息。然而,一些欺凌行为可能属于刑事类别,如骚扰、欺凌或袭击。
记者和其他内容创作者可以使用这个定义来确定他们正在报道的事件是否真正是欺凌行为。媒体常常错误地使用欺凌一词来描述一次性的肢体冲突、网络争执或成人之间的事件。
防止欺凌是一个不断发展的研究领域,在回答重要问题方面取得了巨大进展。我们现在对欺凌的复杂性以及它对青少年以及成年人的影响了解更多。然而,仍有许多问题有待解答。记者和其他内容创作者可以通过尽可能透明地代表科学研究的现状来服务公众。¹²
5.8 结论
社会工程在消息与诱使受害者执行攻击者期望的操作之间的匹配时最有效。互联网上的大量个人身份信息使得社会工程攻击者能够设计一种诈骗,以适应在社交媒体或其他网站上发布了该信息的个人。
5.9 关键点
本章涵盖的要点包括:
- 个人身份信息的定义不一定与任何单一类别的信息或技术相关。相反,它需要对个人可以被识别的具体风险进行案例评估。
- 个人身份信息的不当使用可能导致身份盗窃、勒索或尴尬,也可能通过降低公众对组织的信任或产生法律责任来损害持有个人身份信息的组织。
- 许多组织受到法律、法规或其他法令的约束,要求其保护个人信息。
- Doxxing 指的是收集个人可识别信息并公开或发布,通常出于恶意目的,如公开羞辱、跟踪、身份盗窃或针对个人进行骚扰。
- 人们应该避免发布可能增加被曝光风险的信息。
- Doxxing 经常导致网络欺凌,即在手机、电脑和平板电脑等数字设备上进行的欺凌行为。
5.10 研讨会讨论主题
研究生或专业水平研讨会的讨论主题包括:
- 研讨会参与者或他们认识的人在个人可识别信息被不当获取方面有什么经历?
- 参与者如何处理在社交媒体或社交网站上发布或不发布个人可识别信息?
- 参与者如何尝试保护他们在互联网上发现的个人可识别信息?
5.11 研讨会小组项目
参与者应该采访五个人,了解他们对个人可识别信息(PII)的看法和经验,然后对访谈结果写简要总结并在小组讨论中分享。
关键术语
- 网络跟踪(Cyber-stalking):是利用互联网、电子邮件、社交媒体或其他电子通讯设备跟踪他人。
- 曝光个人可识别信息(Doxxing):是收集个人可识别信息并公开或发布的过程,通常出于恶意目的,如公开羞辱、跟踪、身份盗窃或针对个人进行骚扰。
- 身份监控:在个人信息(如银行账户信息、社会安全号码、驾照、护照或医疗 ID 号码)被使用时提供警报,这些信息通常不会出现在信用报告中。
- 身份恢复服务:旨在帮助在身份盗窃发生后重新掌控姓名和财务。
- 身份盗窃保险:由大多数主要身份盗窃保护服务提供,通常涵盖与重新夺回身份直接相关的费用。
- 身份盗窃保护:提供监控和恢复服务,监视身份盗贼可能正在使用个人信息的迹象,并帮助处理身份盗窃发生后的影响。
- 内部不端行为:员工违反组织政策或程序,或以其他方式损害雇主组织的行为。
- 自我推广:在社交媒体的情况下,这意味着提供信息或提出旨在为使用社交媒体账户的个人带来个人或经济收益的主张。
- Swatting:是指人们向执法机构报告受害者住所发生人质事件或其他紧急情况,而实际上并没有紧急情况。警察到场时,可能会导致潜在危险的情况。
参考文献
- 1. 规则和政策—保护个人身份信息—隐私法。总务管理局。访问于 2019 年 2 月 12 日。www.gsa.gov/reference/gsa-privacy-program/rules-and-policies-protecting-pii-privacy-act
- 2. 关于个人身份信息保护的指导。劳工部。访问于 2019 年 2 月 12 日。www.dol.gov/general/ppii
- 3. 保护个人身份信息(PII)机密性指南。特别出版物 800-122.NIST。访问于 2019 年 2 月 12 日。csrc.nist.gov/publications/detail/sp/800-122/final
- 4. 身份盗窃。访问于 2019 年 2 月 12 日。www.usa.gov/identity-theft#item-206115
- 5. 什么是身份盗窃和身份欺诈?美国司法部。2017 年 2 月。访问于 2019 年 2 月 12 日。www.justice.gov/criminal-fraud/identity-theft/identity-theft-and-identity-fraud
- 6. 身份盗窃税务退税欺诈。信息共享与分析中心(ISAC)年度报告。2018 年 4 月。访问于 2019 年 2 月 12 日。www.irs.gov/pub/newsroom/IDTTRF%20ISAC%20April%202018%20Annual%20Report.pdf
- 7. 社交媒体和执法机构的潜在风险。联邦调查局。2012 年 11 月。访问于 2019 年 2 月 12 日。leb.fbi.gov/articles/featured-articles/social-media-and-law-enforcement
- 8. 如何防止网络骚扰及披露个人信息(Doxxing)。国土安全局隐私办公室。访问于 2019 年 2 月 13 日。www.dhs.gov/sites/default/files/publications/How%20to%20Prevent%20Online%20Harrassment%20From%20Doxxing.pdf
- 9. 骇客威胁将瞄准执法人员和公职人员。IC3. 2015 年 4 月 21 日。访问于 2019 年 2 月 13 日。www.ic3.gov/media/2015/150421.aspx
- 10. 文本:HR3067—115th Congress(2017–2018)。访问于 2019 年 2 月 13 日。www.congress.gov/bill/115th-congress/house-bill/3067/text?r=1#toc-H0D33F5FDEA39493AACF3128A8222CD38
- 11. 什么是网络欺凌。stopbullying.gov。访问于 2019 年 2 月 13 日。www.stopbullying.gov/cyberbullying/what-is-it/index.html
- 12. 其他类型的侵略行为。stopbullying.gov。访问于 2019 年 2 月 13 日。www.stopbullying.gov/what-is-bullying/other-types-of-aggressive-behavior/index.html
第六章:入侵民主选举程序
人们对外国组织利用社交媒体影响 2016 年和 2018 年美国、2019 年欧洲选举结果的争论和猜测很多。毫无疑问,俄罗斯组织,也许还有其他国家的组织确实利用社交媒体试图影响选举结果。第一章简要概述了社交媒体高管在美国国会听证会上的证词。本章将审查外国参与者以及国内组织和个人利用社交工程影响选举结果的活动。
6.1 积极手段如何随时间发展
关于外部干预选举的讨论主要集中在俄罗斯的活动上。根据乔治城大学政府系荣休教授 Roy Godson 博士在 2017 年 3 月在美国参议院听证会上的证词,俄罗斯确实有历史使用积极手段影响世界事件的记录,该听证会题为《假信息:俄罗斯积极手段和影响行动入门》。
Godson 教授回顾了自 20 世纪 20 年代和 30 年代以来俄罗斯积极手段的行动,当时俄罗斯在全球范围内建立了一整套组织,明面上和暗地里都有,这些组织能够挑战欧洲和美国所有主要大国的地位。二战后,俄罗斯利用这一机构来影响欧洲政治。他们还在战争期间利用它来帮助自己,有时也帮助美国,与纳粹和意大利法西斯作战。但在很大程度上,他们也在为影响第二次世界大战后欧洲权力平衡的斗争做准备。
因此,尽管当时他们是美国的盟友,但他们也计划破坏欧洲和美国的民主和自由党派。实际上,他们能够利用美国友好以及他们与俄罗斯的合作。俄罗斯利用自 20 世纪 20 年代起就存在的机构,在 20 世纪 70 年代末和 80 年代实现了政治目标。此后,他们已经对这一机构进行了现代化,并每年花费数十亿美元扩展,可能全球涉及的人数达到 10,000 至 15,000 人,还有可能还有拖拉机和其他类型的网络能力。
Godson 教授指出,自 2016 年起,有一些美国政府内外的人士曾向政府发出警告,提醒其注意苏联使用积极手段,并要求其对苏联的积极手段更加警惕。不幸的是,许多人认为政府没有认真对待这些警告。¹
尤金·B·鲁默博士,卡内基国际和平基金会俄罗斯与欧亚项目高级研究员兼主任,在戈德森教授的演讲之后进行了类似的分析,声称俄罗斯使用积极手段以及干预美国总统竞选是我们国家谈话中最有争议的问题。他认为俄罗斯情报行动及其代理人干预了 2016 年的选举,而且俄罗斯在公开场合的总体努力,误导、误导和夸大,比任何网络证据更具说服力。俄罗斯之今(RT)的广播、网络喷子和假新闻是现代俄罗斯外交政策的一个组成部分。它们的内容旨在吸引国内反社会团体和国内狂热分子。
他进一步指出,上世纪 90 年代对俄罗斯来说是一个可怕的十年,但对西方来说是一个伟大的十年。对俄罗斯领导人和许多普通俄罗斯人来说,西方的主导是以俄罗斯在冷战中的失败为代价的。但俄罗斯不会保持弱势,其经济复苏导致其在世界舞台上采取了更加自信和侵略性的姿态,正如 2008 年压制格鲁吉亚、2014 年吞并克里米亚,以及目前在乌克兰东部战争中所见。对于西方来说,俄罗斯重返世界舞台不过是纯粹的复仇主义。对于俄罗斯来说,这是在他们与西方关系中恢复一些平衡。自普京时代开始以来,恢复平衡、纠正不公和上世纪 90 年代的扭曲的叙述对俄罗斯宣传至关重要。
陆军医生 Rumer 认为,俄罗斯干预美国总统选举很可能被克里姆林宫视为一个毫无疑问的成功。回报包括但不限于:(1)通过传播仇恨信息等内容在美国制造重大分心;(2)损害美国在世界的领导地位;以及,也许最重要的是,(3)示范效应——克里姆林宫可以对世界上唯一剩下的全球超级大国做出这样的行为而不受后果。
后来,在听证会上,外交政策研究所的克林特·沃茨先生讨论了一份于 2014 年 4 月出现在 WhiteHouse.gov 网站上的请愿书,名为阿拉斯加归还俄罗斯。这看起来是一场公开运动,旨在将美国最大的州归还给购买它的国家。尽管讽刺或荒谬的请愿书出现在白宫网站上并不罕见,但这份请愿书与众不同,短时间内就获得了超过 39,000 个在线签名。对这份请愿书的签署者和发布者进行的检查显示,它似乎是机器人的作品。对这些机器人的进一步调查显示,它们与之前几个月推动俄罗斯宣传的其他社交媒体活动紧密相关。黑客在网络上泛滥,并且可以在最近的数据泄露和网站篡改中被发现。紧随这些黑客周围的是蜜罐账户、外表吸引人的女性以及试图社会工程其他用户的政治党派人士。
在同一时期,使用在线化名和欺骗性手法的同步挑衅账户将攻击政治目标,使用类似的谈话模式和观点。其中一些账户公开支持克里姆林宫,推动俄罗斯针对欧洲和北美的关键英语观众的外交政策立场。因此,结论是,苏联的积极措施战略和战术已经重生并更新为现代俄罗斯政权和数字时代。沃茨先生认为,俄罗斯希望通过政治手段赢得第二次冷战,而不是通过武力的政治。尽管俄罗斯确实希望提拔对其世界观和外交政策目标表示同情的西方候选人,但赢得一次选举并非他们的最终目标。俄罗斯的积极措施希望通过追求五项互补目标来推翻民主制度,这些目标显示在盒子 6.1 中。
盒子 6.1 俄罗斯社交工程目标
- 1. 破坏公民对民主治理的信心
- 2. 煽动和加剧分裂的政治裂缝
- 3. 侵蚀公民与选举官员及其机构之间的信任
- 4. 在外国人口中推广俄罗斯的政策议程
- 5. 通过混淆事实和虚构之间的界限,在今天的美国引起公众对信息来源的普遍不信任或困惑,这是一个非常相关的问题
通过这些目标,克里姆林宫可以从内部瓦解民主制度,实现两个关键里程碑:(1)欧洲联盟的解体;(2)北约的瓦解。在西方取得这两个胜利将使俄罗斯能够在全球范围内重新确立其权力,并通过军事、外交和经济的侵略来追求其外交政策目标。
2014 年末和 2015 年期间,外交政策研究所的观察员们注意到几乎每个不满的美国观众都受到了积极措施的影响。无论是关于美军在“玉带之环”演习期间宣布戒严,黑人的生命至关重要运动抗议期间的混乱,还是在邦迪牧场的对峙事件,俄罗斯国家支持的 RT 和斯普特尼克新闻,被描述为白色媒体,不断发布操纵真相、假新闻和阴谋。这些活动通常归结为四个主题,如图 6.2 所示。
图 6.2 俄罗斯社会工程的主要主题
- 政治信息——旨在诋毁民主领导人和机构
- 金融宣传——旨在削弱对金融市场和资本主义经济的信心
- 社会动荡——旨在放大民主人群之间的分歧
- 全球灾难——旨在煽动对全球毁灭的恐惧,比如核战争或灾难性气候变化
从这些明显的俄罗斯宣传媒体出发,我们称之为灰色媒体的各种英语阴谋网站,其中一些神秘地在东欧运营,并且由未知资金支持的亲俄罗斯编辑领导,夸大了这些由白色媒体发布的阴谋和假新闻。之前描述的看起来像是美国的社交媒体账户、捣乱分子、蜜罐和黑客,与自动化机器人一起工作,进一步放大了这些俄罗斯宣传在毫无防备的西方人中间的影响。
截至 2015 年底和 2016 年初,俄罗斯的影响系统开始推动旨在影响美国总统选举结果的主题和信息。俄罗斯明显的媒体和隐藏的网络巨魔试图排挤对克里姆林宫持有对抗性观点的政治光谱两端的对手。在共和党和民主党初选季节期间,他们全力以赴,并可能已经在候选人阵营缩小之前,就帮助扼杀了更加敌对于俄罗斯利益的候选人的希望。
俄罗斯现代积极措施的最后一环出现在 2016 年夏天,随着被策略性泄露的黑客材料。维基解密、Guccifer 2.0 和 DCLeaks 的披露展示了黑客如何为俄罗斯在前两年内成功构建的影响系统提供动力。例如,在 2016 年 7 月 30 日晚上,沃茨先生及其同事们看到了 RT 和 Sputnik News 同时发布了美国在土耳其因切里克空军基地被恐怖分子攻击的假新闻。在几分钟内,亲俄罗斯的社交媒体聚合器和自动机器人放大了这个虚假的新闻故事。在发布这个虚假故事的 78 分钟内,超过 4000 条推文都可以追溯到外交政策研究所观察员在过去两年中追踪到的积极措施账户。这些先前确定的账户几乎同时出现在困难的地理位置和社区,并一致放大了虚假新闻故事。这些账户推动的标签是核、媒体、特朗普和班加西。英语推特资料中最常见的词是上帝、军队、特朗普、家庭、国家、保守派、基督徒、美国和宪法。 ¹
6.2 政治中的社会工程模式
俄罗斯、共和党和唐纳德·特朗普一直在他们的社会工程努力中遵循类似的模式,并在 2016 年美国选举期间公然这样做。他们都在努力传播非真相,从错误信息到公然谎言不等,并将这些声明用作在线和离线社会工程努力的点击诱饵。他们还都在努力贬低指出他们的谎言和对现实的错误陈述的信息来源。他们这样做是为了帮助推动自己的议程。
有关特朗普竞选团队与俄罗斯之间串通的问题可能永远得不到答案。但在社会工程方案中,串通并不是必要的。所有社会工程师都利用了一个由人们的信仰、态度、生活条件、期望和欲望等无数因素构成的社会背景。熟练的社会工程师能够制作出吸引大众、特定亚群体甚至更小群体的信息。这是社会工程中的一个持续过程。然后社会工程师可以轻松地利用其他社会工程师的努力,模仿那些已经成功的其他人的策略,这些人拥有类似的议程。
部落主义也在个人或团体对社会工程诡计的响应中发挥作用。在美国政治中,对谎言的不断重复或重新陈述,人们可能会开始相信没有根据的事情,并帮助延续非真实的事实。例如,在 2018 年和 2019 年,当移民队从中美洲经墨西哥前往美国南部边境时,一个恐惧制造的主题是移民队里充满了恐怖分子,他们想要进入美国杀害其公民并损害该国。因此,支持修建边境墙的社会工程立场利用了恐惧和仇外心理的社会背景,辅以一些种族主义。这种言论帮助产生了对信息来源的普遍不信任或困惑,使事实与虚构之间的界线变得模糊。
俄罗斯人、共和党人和唐纳德·特朗普也一直在一再攻击美国政府的结构和运作,以破坏公民对民主治理的信心,并挑起和加剧政治分裂。他们不断努力削弱公民与选举官员及其机构之间的信任,通过攻击诸如司法部(DOJ)之类的政府机构。他们仿佛都在试图通过制造社会动荡和加剧民主人群之间的分裂来为推翻政府并建立独裁统治辩护。这一切听起来都让人联想起历史上的其他时代和地方。
6.3 社会工程政治信息
在政治领域,社会工程师希望影响选举结果,因此他们的主要目标是说服人们以特定方式投票。自 2016 年美国大选以来,已经进行了多次国会听证会,讨论社交媒体是如何被用来影响选举的。(请参阅第一章了解 Facebook 向国会报告的概况。)这些听证会和调查很可能会继续下去。2018 年 5 月,克里斯托弗·怀利在美国参议院司法委员会的《关于剑桥分析公司的问题》中发表的声明提供了关于社会工程方法的重要见解,这是由于这一丑闻而被揭示出来的。怀利先生于 2013 年中期至 2014 年底担任 SCL 集团和剑桥分析公司(CA)的研究主管。SCL 集团是一家总部位于英国的军事承包商,为美国和英国军方工作,还在波罗的海地区的北约战略传播中心工作过。他向美国国会透露了一些令人震惊的事情。
首先,剑桥分析公司是由总部位于纽约的美国亿万富翁罗伯特·默瑟提供资金创建的 SCL 集团。罗伯特·默瑟任命史蒂夫·班农为 CA 的副总裁,负责日常管理。班农先生是布莱巴特学说的追随者,该学说认为政治源于文化。因此,班农先生将文化战争视为在美国政治中创造持久变革的手段。正因为这个原因,班农先生委托军事承包商 SCL 制造信息武器库,以在美国民众中进行信息操作。班农先生希望在美国和其他地方利用军队使用的同类信息操作战术来实现他的政治目标。CA 被创建为在美国工作的面向公众的美国品牌,以允许 SCL 在美国工作。
大多数 SCL 员工不是美国公民。尽管班农先生曾在一份法律备忘录中正式收到关于在美国选举中使用外国公民的影响的警告,但该公司无视了这一建议,并继续任命了常驻伦敦的英国国民亚历山大·尼克斯为首席执行官,并派遣非美国公民在美国竞选活动中扮演战略角色。
在 SCL 和 CA 期间,威利先生表示他了解到公司的秘密行动能力,他理解这些行动包括利用黑客侵入计算机系统,获取 kompromat(妥协材料)或其他情报以服务于其客户。该公司将这些操作称为特殊情报服务或特殊信息技术(IT)服务。他还表示自己见过有关 SCL 或 CA 为其客户获取黑客材料的几个情况的文件。其中一些情报行动的目标目前是各国的国家元首。
令人进一步关注的是 CA 与与维基解密和朱利安·阿桑奇密切相关的人员的联系。该公司聘请了两名高级员工,两人此前均曾在伦敦的约翰·琼斯 QC(Queen’s Counsel)身边担任助手。琼斯先生是代表朱利安·阿桑奇、维基解密和卡扎菲政权成员的英国律师。他在 2016 年跳入火车自杀。尽管该公司声称与阿桑奇先生的接触仅有短暂,但 SCL 集团前首席执行官的录音表明,与维基解密的接触始于美国大选前 18 个月。
2013 年至 2015 年间,CA 资助了一个名为“里彭计划(Project Ripon)”的数百万美元行动。该项目由班农先生监督,最初是由剑桥大学的心理学家进行研究的。值得注意的是,CA 操作的一些基础剖析研究获得了美国国防高级研究计划局(DARPA)的资助。Ripon 的目的是开发和扩展用于美国政治活动的心理剖析算法。需要明确的是,CA 和 SCL 的工作与传统营销不相等,尽管有些人声称是这样。这种错误的等价是误导性的。CA 专门从事虚假信息、散布谣言、涉及妥协材料和宣传。使用机器学习算法,CA 努力将这些策略推广到非洲或亚洲以外的美国网络空间。
Wylie 先生接着解释说,CA 试图识别美国人口中某些子集的心理和情感弱点,并通过针对性的信息来利用这些弱点,以激活人们最糟糕的特征,比如神经质、偏执狂和种族偏见。这是针对人群的狭窄部分。俄罗斯裔美国研究员 Aleksandr Kogan 博士被选为领导数据收集行动的人员,因为他提供了在学术角色中开发的 Facebook 应用程序,以收集关于 Facebook 用户及其朋友的个人数据。后来,Wylie 先生得知,Kogan 博士未经 Facebook 的许可就利用了这些应用程序的特权访问进行商业或政治活动。这在与 Facebook 的法律函件中得到了确认。Kogan 博士开发了数据收集应用程序,不仅可以捕获原始应用程序用户的数据,还会在没有他们的知识或明确同意的情况下收集该用户的 Facebook 朋友和联系人的所有个人数据。
正如 Facebook 现在已经确认的,超过 8000 万数据主体,其中许多是美国公民,在 Ripon 计划中被盗用了个人数据。考虑到这一规模,Ripon 可能是 Facebook 数据的最大泄露之一。CA 经常以不安全的格式存储或传输数据,包括通过未加密的电子邮件传递数十万美国人数据的文件。CA 还允许外部承包商访问其美国数据集,包括来自美国国家安全局(NSA)承包商 Palantir 公司的高级员工。Palantir 否认与 CA 有任何正式关系,并表示此工作显然是以个人身份进行的。
当时,Kogan 博士也在进行俄罗斯国家资助的研究项目。他曾在圣彼得堡工作,并飞往莫斯科。圣彼得堡的俄罗斯团队正在构建类似的算法,使用 Facebook 数据进行心理剖析。俄罗斯项目特别关注自恋、马基雅维里主义和精神病态的黑暗三合会特征。俄罗斯项目还对在线挑衅进行了行为研究。值得注意的是,CA 非常清楚俄罗斯正在进行的工作,并实际上试图向其他客户推销 Alex Kogan 为俄罗斯人做的有趣工作。图 6.3 总结了 CA 的研究管理活动。
图 6.3 剑桥分析活动总结。
- 使用俄罗斯研究人员收集数据。
- 公开与俄罗斯公司和高管分享谣言活动和态度接种信息。
- 向其他客户推销俄罗斯领导的个人资料项目。
- 与涉嫌俄罗斯情报人员合作的东欧亲俄罗斯政党工作人员签订了合同。
- 在内部文件中提到了前俄罗斯情报人员的使用。
- 测试美国人对弗拉基米尔·普京领导的看法。
CA 并不是为了促进民主理念而参与选举。往往,CA 致力于干扰选民参与,包括武装恐惧。在某个国家,CA 制作了旨在通过展示选民被活活烧死、被迫用大砍刀截肢以及被切喉的虐待图像来压制投票率的视频。这些视频还传达了伊斯兰恐惧症的信息。它被创作出来的明确意图是恐吓某些社区,促进宗教仇恨,将穆斯林描绘为恐怖分子,并剥夺某些选民的民主权利。
如果符合客户的目标,该公司将急于利用不满情绪并煽动种族紧张关系。这不仅仅发生在非洲的项目中。正如 SCL 的首席执行官在 2016 年有关公司在美国工作的录音谈话中所说的那样:这是共鸣的事情,有时候是为了攻击其他群体并知道你将失去他们,这将加强和共鸣你的群体。这就是为什么……希特勒攻击犹太人,因为他根本不讨厌犹太人,但人们不喜欢犹太人……所以他只是利用了一个虚假的敌人。好吧,这正是特朗普所做的。他利用了一个穆斯林……特朗普有胆量,我是说,真的很有胆量,说出了人们想要听到的话。
Wylie 先生表示,他知道 CA 的客户要求压制选民作为合同的一部分。CA 在美国提供选民脱钩服务,他看过一些内部文件,这些文件提到了这种策略。他对这些项目的理解是,该公司将针对非裔美国选民,并阻止他们参加选举。
Facebook 在 2015 年首次被通知 CA 的数据收集计划。当时它没有警告用户,直到《卫报》、《纽约时报》和 Channel 4 公开报道三周后才采取行动警告受影响的用户。Wylie 先生表示,在故事曝光之前,Facebook 的行为是威胁要起诉《卫报》,并试图用激进的法律通知来恐吓他。Facebook 试图在故事曝光时阻止这个故事公开,当时它知道这是真的。在英国议会调查中,Facebook 的首席技术官(CTO)最近解释说,许多调查人员感到惊讶,公司认为这是英国的常规做法。Wylie 先生表示,Facebook 还要求他在故事曝光后交出个人电脑和手机。
Wylie 先生还表示,他在 CA 目睹的事情应该引起每个人的警觉,CA 是新一场网络冷战的煤矿中的警示信号。司法委员会和监督与政府改革委员会发布了他们认为是关于 Wylie 证词的关键要点,显示在第 6.4 框中。
第 6.4 框 关于 Wylie 证词中关键要点的委员会观点
剑桥分析公司是一家外包公司,没有自己的员工或技术,所有工作都是由英国公司 SCL 选举的外国雇员和承包商完成的。
史蒂夫·班农表示,他希望利用剑桥分析公司阻止特定群体的选民投票,包括那些可能投票给民主党的人。
早在 2014 年,班农指示剑桥分析公司研究什么类型的不满会影响美国人口,包括测试后来被特朗普竞选活动使用的信息。
班农在 2014 年指示剑桥分析公司测试针对美国观众与俄罗斯总统弗拉基米尔·普京和俄罗斯扩张相关的图像和概念;普京是他们为唯一进行此类测试的外国领导人。
班农表示,他不在乎通过剑桥分析公司制作和推广的竞选广告是否宣传不实信息,因为他试图赢得一场文化战争,而这场战争是一场战斗。
Wylie 称剑桥分析公司为“全方位宣传机器”,利用被盗用的 Facebook 数据为整个美国人口建立心理档案,绘制出谁最容易受到信息影响,然后传播这些信息。
依靠 CA 的一些研究成果,不法分子将 Facebook 广告工具用作钓鱼工具,将人们引入到大量的错误信息和虚假信息中。Facebook 最终得知了由互联网研究机构(IRA)运行的一场虚假信息宣传活动,这是一个反复采取欺骗手段并试图操纵美国、欧洲和俄罗斯人民的俄罗斯机构。最佳估计是,在 2016 年选举期间,大约有 1.26 亿人可能曾在与 IRA 相关的 Facebook 页面上看到内容。⁴
6.4 社会工程人员
如今,俄罗斯不仅仅针对计算机,还通过武器化信息来影响公众舆论并鼓励特定的行为。这些影响活动结合了使用网络技术渗透计算机网络以获取或破坏数据。他们将这一点与试图加剧社会不和、放大俄罗斯制造的虚假信息以及制造对民主机构的不信任的努力相结合。他们特别针对自由和公正的媒体进行斗争,并通过多种通信技术和社交媒体平台进行斗争。
2016 年美国总统选举期间发生的俄罗斯影响活动是软弱的网络影响行动这一新兴实践的关键例证。俄罗斯近年来在其他民主国家,特别是在欧洲,包括法国、德国、乌克兰和爱沙尼亚,使用了相同的策略。在美国,他们试图在 2016 年选举前渗透选民数据库,成功渗透了民主党全国委员会(DNC)网络,并访问了州级共和党组织和候选人。⁵
有大量证据表明,俄罗斯部署了积极措施来影响 2016 年美国总统选举的结果,这些措施包括针对美国选民的一系列社会工程消息。美国立法者的一种回应是指责社交媒体提供商存在渎职、管理不善或政治偏见。国会中共和党人的另一种回应是扼杀对俄罗斯参与的调查,并阻止有关该参与的信息和证词的发布。显然,某个地方的某人有什么需要隐藏的东西。此外,少数报告列出了国会调查中控制权的共和党多次忽视俄罗斯积极措施,并总体上进行了相当肤浅的调查。⁶
在上一节讨论的戈德森教授的证词中,他提供了如何对抗或打击社交工程活动的建议,例如俄罗斯在 2016 年选举期间发起的活动。他说,一个方法,也是委员会开始采取的方法,就是向美国和其他国家的人们普及主动措施的威胁以及如果这些措施成功,可能需要付出的代价,这样当人们听到这些活动时,他们就不会被它们所吸引,也不会受到它们的影响。
戈德森教授补充说,另一个所需的能力是减少主动措施的有效性:警告、预测、教育以及可以采取什么行动来减少主动措施的有效性。过去起作用的一件事是在实时中曝光主动措施的执行者。科尔宁参议员评论说,正如瓦茨先生所指出的,社交媒体的出现以及利用社交媒体在互联网上传播假新闻,然后让主流媒体关注它们,并且在没有验证信息来源的情况下重复它们,成功地放大了这些信息,这对他来说是一个巨大的挑战。
戈德森教授继续说,这个问题的第三部分,尽管确实是困难的部分,是什么样的全政府响应应该制定来实际解决这个问题?他认为,美国将不得不应对这个问题,并且目前的委员会可能不是唯一一个必须应对这个问题的委员会,但必须问的问题是:我们愿意容忍什么?我们是否有任何底线?如果他们越过这些界限,那么会有这种响应吗?
无论国会希望采取何种方向来解决戈德森教授提出的问题,都存在许多障碍来规范和控制互联网上的内容。然而,联邦通信委员会(FCC)偶尔会收到有关电视或广播中播放的虚假信息的投诉。FCC 会审查所有投诉,以查看是否违反了其范围狭窄的规定。FCC 禁止广播虚假信息,如果广播公司知道该信息是虚假的,并且如果播放会造成实质性公共危害,就会造成实质性公共危害。相关的 FCC 规定明确规定,公共危害必须立即开始,直接并实际地损害财产或公众的健康或安全,或者转移执法部门或公共卫生和安全部门的职责。
美国联邦通信委员会法律禁止进行审查或侵犯新闻自由的第一修正案权利。然而,广播公司故意扭曲新闻是违法的,如果有直接个人知识的人提供了有据可查的证据,联邦通信委员会可能会对投诉采取行动。
6.5 司法部针对社会工程师的行动
美国司法部过去曾起诉过许多社会工程师。2018 年 2 月,联邦大陪审团起诉了 13 名俄罗斯个人和 3 家俄罗斯公司,涉嫌利用社会工程和其他方法干预美国政治体系,包括 2016 年总统选举。起诉书由特别检察官办公室提出。被告据称进行了他们所谓的针对美国的信息战,旨在传播对候选人和政治体系的不信任。副检察长罗德·J·罗森斯坦评论说,这一起诉书提醒人们,网络上的人并不总是他们看起来的样子。起诉书声称,俄罗斯阴谋者想要在美国制造分裂,破坏公众对民主的信心。罗森斯坦还表示,司法部得到了 Facebook、Oath、PayPal 和 Twitter 等私营部门公司的杰出合作。
根据起诉书中的指控,12 名被告曾在不同时期为总部位于俄罗斯圣彼得堡的俄罗斯公司互联网研究机构有限责任公司工作。另一名被告叶夫根尼·维克托罗维奇·普里戈津据称通过名为康科德管理和咨询有限责任公司、康科德餐饮以及许多子公司和关联公司的公司资助了这一阴谋。这一阴谋是一个名为拉赫塔计划的更大行动的一部分,包括多个组成部分,其中一些涉及俄罗斯联邦内的国内受众,另一些则针对多个国家的外国受众。
互联网研究机构据称通过俄罗斯的空壳公司运作。它雇佣了数百人从事在线运营,从虚构人物的创作者到技术和行政支持,年度预算达数百万美元。互联网研究机构是一个由管理团队领导的结构化组织,设有图形、搜索引擎优化、信息技术和财务等部门。2014 年,该机构成立了一个专注于美国人口的翻译项目。2016 年 7 月,超过 80 名员工被分配到翻译项目。
两名被告据称于 2014 年前往美国收集情报,为其美国政治影响行动提供支持。为了掩盖其活动的俄罗斯来源,被告据称购买了位于美国境内的计算机服务器空间,以建立虚拟专用网络。被告据称利用该基础设施在社交媒体网络上建立了数百个账户,如 Facebook、Instagram 和 Twitter,使这些账户看起来像是由美国境内的人控制的。他们使用了被盗的或虚构的美国身份、欺诈银行账户和虚假身份文件。被告冒充了在政治和社会活动中积极的美国人,支持和反对特定的政治候选人。他们建立了社交媒体页面和群组与毫不知情的美国人沟通。他们还在社交媒体上购买了政治广告。
俄罗斯人还招募并支付真实的美国人参与政治活动、推广政治运动并举办政治集会。被告及其共谋者假装是草根活动家。根据起诉书,这些美国人并不知道他们在与俄罗斯人交流。选举后,被告据称组织了支持当选总统的集会,同时组织了反对他的集会。例如,被告在同一天在纽约组织了一场支持当选总统的集会,同时在另一场集会上反对他。2017 年 9 月 13 日,就在新闻媒体报道特别检察官办公室正在调查证据表明俄罗斯特工使用社交媒体干涉 2016 年选举之后,一名被告据称写道,他们在工作上遇到了轻微危机,因为 FBI 破坏了他们的活动,所以他们忙于掩盖他们的踪迹。
控告包括八项刑事指控。第一项指控所有被告通过阻碍联邦选举委员会、司法部和美国国务院履行有关外国介入某些国内活动的联邦要求的合法职能而诈骗美国。第二项指控互联网研究机构和两名个人被告串谋犯有电信诈骗和银行诈骗罪。第三至第八项指控互联网研究机构和四名个人被告犯有恶意使用身份信息罪。控告书中没有指控任何美国人是被告所指控非法活动的知情参与者。控告书中没有指控被告的行为改变了 2016 年选举的结果。
每个被指控犯罪的人在法庭上被视为无罪,除非经过法庭证明有罪。在审判中,检察官必须提出足以证明被告有罪的可信证据,足以令 12 名公民陪审团一致满意地确信被告的有罪。特别检察官的调查在当时仍在进行中,他们没有发表任何评论。
2018 年 10 月,在弗吉尼亚州亚历山德里亚,一份刑事诉状被公开,控告一名俄罗斯公民干预美国政治体系,包括 2018 年中期选举。据助理司法部长戴默斯称,指控称俄罗斯公民叶列娜·阿列克谢耶夫娜·库舍亚诺娃与其他参与俄罗斯影响运动的人共谋,干扰美国民主制度。据美国检察官特维利格称,所谓的阴谋的战略目标,至今仍在进行中,是在美国政治体系中制造分裂,破坏对民主制度的信任。
根据刑事诉状的指控,44 岁的俄罗斯圣彼得堡市的叶列娜·阿列克谢耶夫娜·库舍亚诺娃担任拉赫塔项目的首席会计,该项目是由俄罗斯寡头叶甫根尼·维克托罗维奇·普里戈津和他控制的两家公司,康科德管理咨询有限责任公司和康科德餐饮,资助的俄罗斯大型努力。拉赫塔项目包括多个组成部分,其中一些涉及俄罗斯联邦内部观众,其他则针对美国、欧盟成员国、乌克兰等外国观众。
据称,库舍亚诺娃负责管理拉赫塔项目的资金运作,包括针对美国的外国影响活动。她控制的财务文件包括美国活动的详细支出,如对活动人员的支出、社交媒体平台上的广告、域名注册、代理服务器的购买以及在社交网络上推广新闻发布。2016 年 1 月至 2018 年 6 月,拉赫塔项目的拟议运作预算总额超过 3500 万美元,尽管其中只有一部分资金用于美国。仅在 2018 年 1 月至 6 月期间,拉赫塔项目的拟议运作预算就超过 1000 万美元。
所谓的阴谋,库舍亚诺娃据称在其中扮演了中央财务管理角色,旨在进行所谓的内部信息战争,以反对美国。这一努力不仅旨在在美国政治职位候选人和美国政治体系总体上散播不信任,还旨在通过阻碍政府机构在管理相关联邦要求时的合法职能,欺诈美国。
据称,阴谋者采取了非同寻常的措施,使其看起来像是普通的美国政治活动人士。这包括使用虚拟专用网络和其他手段来掩盖他们的活动并混淆他们的俄罗斯身份。他们利用社交媒体平台创建了数千个社交媒体和电子邮件账户,这些账户看起来是由美国人操作的,并将它们用于创建和放大针对美国受众的分裂性社会和政治内容。这些账户还被用来支持特定候选人在 2016 年和 2018 年美国选举中当选或落选。一些社交媒体账户发布了数万条消息,并拥有数万名关注者。
据称,这个阴谋使用社交媒体和其他互联网平台讨论了各种各样的话题,包括移民、枪支管制和第二修正案、南方联盟旗帜、种族关系、LGBT 问题、妇女游行和美国国家橄榄球联盟(NFL)国歌辩论。阴谋成员利用美国特定事件作为他们主题的锚点,包括南卡罗来纳州查尔斯顿教堂成员和拉斯维加斯音乐会观众的枪击事件;夏洛茨维尔联合右翼集会及其相关暴力事件;对非裔美国男性的警方枪击事件;以及现任美国总统政府的人事和政策决定。
所谓的阴谋者活动并不是专门采取一种意识形态观点;他们在各种有时相互对立的主题上撰写。阴谋成员被指示,除其他事项外,通过支持激进团体来制造政治紧张局势,并加剧少数族裔与其他人口之间的冲突。行动者还制定了战术手册和战略信息文件,提供了有关如何针对特定社会群体的指导,包括消息的时机、使用的新闻媒体类型以及如何构建分裂性消息。
刑事控诉书没有包含任何指控称库舍亚诺娃或更广泛的阴谋对选举结果产生了任何影响。该控诉书也没有指控任何美国人知情地参与了“拉赫塔项目”行动。⁹
2018 年 10 月,美国司法部控告了俄罗斯军事情报总局(GRU)的官员,这是俄罗斯联邦武装力量总参谋部的军事情报机构,控告他们进行了国际黑客活动和相关的影响和虚假信息行动。合谋者包括一支俄罗斯情报近距离访问入侵团队,他们出国旅行以入侵反兴奋剂和调查俄罗斯使用化学武器的体育官员和组织的计算机网络。宾夕法尼亚西区的大陪审团控告了 7 名被告,他们都是 GRU 的军官,指控他们进行了计算机黑客、电信欺诈、加重的身份盗用和洗钱。
根据起诉书,自 2014 年 12 月左右至少持续到 2018 年 5 月,该阴谋进行了持续而复杂的计算机入侵,影响了美国人员、企业实体、国际组织以及其分布在世界各地的雇员,这是基于他们对俄罗斯政府的战略利益。该阴谋的目标之一是公开被盗信息,作为一项影响和虚假信息活动的一部分,旨在削弱、报复和否定公开揭露俄罗斯国家支持的运动员服药计划的国际反兴奋剂组织和官员的努力,并通过虚假声称这些运动员使用被禁药物或增强药物来损害全球运动员的声誉。
指控声称,被告叶尔马科夫、马里舍夫、巴丁以及未经确认的合谋者,经常使用虚假身份和代理服务器,调查受害者,发送钓鱼邮件,并编制、使用和监控恶意软件的命令和控制服务器。当合谋者的远程入侵努力未能获取登录凭据,或者成功被入侵的帐户没有所需的访问权限以获取所需的信息时,由 Morenets、Serebriakov、Sotnikov 和 Minin 等俄罗斯军事情报技术官员组成的 GRU 技术情报团队会前往受害者所在的世界各地目标物理位置。在俄罗斯合谋者的远程支持下,包括叶尔马科夫在内,这些近距离访问团队使用专用设备通过 Wi-Fi 连接(包括酒店 Wi-Fi 网络)入侵受害组织或其人员使用的计算机网络。在成功的入侵操作之后,近距离访问团队将这种访问权限转移到俄罗斯的合谋者进行利用。
起诉书还声称,在 2015 年开始的一系列备受关注的独立调查(根据一份报告,称为麦克拉伦报告)公开揭示了俄罗斯在 2014 年索契冬季奥运会前、期间和之后系统性地支持国家走私的药物检测过程后,阴谋者开始瞄准国际反兴奋剂组织和官员使用的系统。 在破坏这些系统后,被告窃取了凭据、医疗记录和其他数据,包括有关治疗使用豁免(TUE)的信息,该豁免允许运动员使用其他被禁止的物质。
在俄罗斯 GRU 第 74455 单位获得并维护的社交媒体账户和其他基础设施的帮助下,该阴谋随后公开发布了部分被窃取信息,往往以不准确地反映其原始形式的方式,伪装成自称为 Fancy Bears’ Hack Team 的黑客团队。作为其影响力和虚假信息努力的一部分,Fancy Bears’ Hack Team 通过积极的外联活动竭力吸引媒体关注。 阴谋者与约 186 名记者交换了电子邮件和私人消息,显然试图放大其消息的曝光和影响力。
每个被告都被指控一项共谋犯有计算机欺诈和滥用罪,最高可判五年监禁,一项共谋犯有电信欺诈和洗钱罪,最高可判 20 年监禁。 Yermakov、Malyshev 和 Badin 被控告为华盛顿特区 CR 18-215 号联邦起诉书中的被告,并被指控密谋未经授权进入参与 2016 年美国总统选举的美国个人和实体的计算机,从这些计算机中窃取文件,并发布被窃取文件以干扰 2016 年美国总统选举。 ¹⁰
6.6 结论
尽管关于外国组织利用社交媒体影响美国和欧洲选举结果的辩论和猜测在最近的选举中持续存在,但随着时间的推移,这种情况的证据不断增加。 分析人士认为,俄罗斯长期以来一直参与积极措施,俄罗斯进入电子社会工程领域并不奇怪。 但俄罗斯人并不是唯一利用社会工程的人,美国的保守派分子和参与者在其社会工程努力中也遵循了类似的模式,并在 2016 年美国选举期间公然这样做。
6.7 主要观点
本章涵盖的主要观点包括:
- 俄罗斯人拥有一个积极措施计划,采用社会工程方法与许多其他网络入侵方法相结合,以推动他们的社会和政治议程。
- 在政治领域,社会工程师的目标是影响选举结果。
- Facebook 已确认超过 8000 万用户,其中许多是美国公民,在 Ripon 计划中他们的个人数据被盗用,这可能是 Facebook 数据最大的违规之一。
- 我们需要减少积极措施的有效性,这可能包括警告、预见和教育的能力。
- 美国司法部已采取行动打击多名据称使用社会工程和其他方法干预美国选举的人。
6.8 研讨会讨论主题
研究生或专业级别研讨会的讨论主题包括:
- 研讨会参与者对政党、竞选活动、支持者或对手使用社会工程策略支持候选人或提案有何经历?
- 研讨会参与者对政党、竞选活动、支持者或对手使用社会工程策略反对候选人或提案有何经历?
- 参与者讨论他们支持或反对政党、竞选活动、支持者或对手在竞选中使用社会工程策略或影响选举结果的原因。
6.9 研讨会小组议题
将参与者分成多个小组,每个小组花费 10 到 15 分钟时间,制定一份关于社会工程如何影响选举结果的教育策略或方法清单。作为一个小组讨论各小组制定的教育公众的策略或方法。
关键术语
- 积极措施:是通过一个集中的权威协调指导公开和隐秘技术的方法,以传播俄罗斯的思想和政治以及军事偏好,并破坏那些民主对手的思想和偏好。
- 国内反社会团体:是指反对他们所生活和/或工作的更大社会的人群或小型社会。
- 国内狂热分子:是由其所杀害、破坏或传播仇恨和恐惧的国家的居民或公民组成的激进团体。
- 灰色出口:是由未知或模糊的政治、经济或社会力量建立的媒体属性,旨在传播有利于其目标的信息或破坏其对手活动的信息。
- 仇恨信息:是社交媒体上使用恶毒语言嘲笑或歧视少数群体或族裔的帖子。
- 情报行动:是各种情报和反情报组织进行的各种情报任务和活动,以及情报流程中的活动。
- 网上化名:是一种在线身份,包括识别符,如姓名和出生日期,与雇员的实际识别符不同,使用非政府互联网协议(IP)地址。网上化名可用于监视社交媒体网站上的活动或参与授权的在线秘密行动。
- 宣传机构:由政治、经济或社会力量建立的媒体机构,用以传播有利于他们目标的信息,或破坏他们对手的活动。
- 复仇主义:是一种寻求对政治或军事对手进行报复,以弥补外交损失或恢复失去的领土、声誉、影响力或权力的政策。
- 软网络影响行动:使用合法但可能阴险的网络技术影响或说服目标群体,使其遵循特定的理念或执行所需的行为。
- 欺骗:试图冒充授权用户以获取系统访问权限的行为。与冒充、伪装或模仿等同义。
- 同步刷屏账户:社交媒体账户,齐心协力地或在精心安排的时间内,发布或传达相同、类似或支持性的信息。
- 白色媒体:由未知或隐蔽的政治、经济或社会力量建立的媒体机构,伪装成代表某一立场或观点,但可能代表其他政党的机构。
参考文献
- 1. 虚假信息:俄罗斯积极措施和影响运动的入门手册。第一小组听证会。美国参议院第 115 届国会第一次会议。2017 年 3 月 30 日访问于 2019 年 2 月 16 日。www.intelligence.senate.gov/sites/default/files/documents/os-trid-033017.pdf
- 2. 对美国司法委员会就剑桥分析公司及其他相关问题的书面声明。克里斯托弗·怀利。2018 年 5 月 16 日访问于 2019 年 2 月 18 日。www.judiciary.senate.gov/imo/media/doc/05-16-18%20Wylie%20Testimony.pdf
- 3. 司法和监督委员会,民主党发布与剑桥分析公司告密者的采访的主要摘要。众议院司法委员会和众议院监督和政府改革委员会。2018 年 4 月 25 日访问于 2019 年 2 月 18 日。judiciary.house.gov/news/press-releases/judiciary-and-oversight-committee-democrats-release-key-takeaways-interview
- 4. 《关于在美国众议院能源和商务委员会听证会上的 Facebook》。马克·扎克伯格主席兼首席执行官证词。2018 年 4 月 11 日访问。www.docs.house.gov/meetings/IF/IF00/20180411/108090/HHRG-115-IF00-20180411-SD002.pdf
- 5. 旧战术,新工具:对俄罗斯软网络影响行动的审查。科学、空间与技术委员会监督小组为民主党成员准备的少数人员报告。2017 年 11 月访问。science.house.gov/sites/democrats.science.house.gov/files/documents/Russian%20Soft%20Cyber%20Influence%20Operations%20-%20Minority%20Staff%20Report%20-%20November%202017.pdf
- 6. 少数派观点。2018 年 3 月 26 日访问。intelligence.house.gov/UploadedFiles/MinorityViews.pdf
- 7. 广播虚假信息。美国联邦通信委员会。2018 年 1 月 5 日访问。www.fcc.gov/consumers/guides/broadcasting-false-information
- 8. 大陪审团起诉十三名俄罗斯个人和三家俄罗斯公司策划干涉美国政治体系的阴谋。美国司法部公共事务办公室。2018 年 2 月 16 日访问。www.justice.gov/opa/pr/grand-jury-indicts-thirteen-russian-individuals-and-three-russian-companies-scheme-interfere
- 9. 一名俄罗斯国民被指控干涉美国政治体系。美国司法部公共事务办公室。2018 年 10 月 19 日访问。www.justice.gov/opa/pr/russian-national-charged-interfering-us-political-system
- 10. 美国指控俄罗斯 GRU 官员进行国际黑客活动及相关影响力和虚假信息操作。美国司法部公共事务办公室。2018 年 10 月 4 日访问。www.justice.gov/opa/pr/us-charges-russian-gru-officers-international-hacking-and-related-influence-and
第七章:内部社会工程攻击
社会工程攻击已经损害了美国国家安全,并损害了情报和军事行动数十年。许多这些攻击是由内部人员发动的,他们设法进入政府机构,最终带走了敏感和机密材料。受到威胁的不仅是政府,所有组织都面临着来自内部人员的某种程度的威胁,以及内部人员可能与外部人员合谋和共谋窃取、破坏或羞辱员工的可能性。管理者和安全人员需要同样关注内部人员利用社会工程策略的行为,就像他们关注外部社会工程师破坏系统员工和供应商的工作一样。在本章中,我们将关注内部人员的社会工程攻击的努力。
7.1 内部威胁的本质
偷窃数据或信息的内部人员通常知道他们将如何使用这些数据,或者组织外部的人认为这些数据足以被某人窃取。有许多潜在的情景可能导致内部人员窃取数据和信息。他们可能已经有了买家,并且可能与外部人员密谋非法转移材料。他们也可能正在寻找新工作,并打算使用信息和数据作为筹码,通过向可能雇用他们的公司提供数据来获取新的就业机会。在某些情况下,他们可能希望通过在互联网上发布组织的数据和信息来公开这些内容,以揭示可能会干扰流程并危及业务关系的事物,或者吸引希望羞辱组织或揭露他们和其他人认为不道德或非法活动的人。无论窃取发生的原因是什么,组织都需要采取措施确保它们受到保护。
过去几十年来,有几种趋势使得组织更容易受到内部攻击的威胁。许多组织经历了某种程度的裁员,减少了员工人数,并经常将工作职能合并,以节省财务成本,而没有特别考虑安全性。此外,还出现了更加开放的组织趋势,给员工提供更多工具、资源和数据的访问权限,希望新的精简组织能通过赋予员工权力而变得更具生产力。此外,信息技术(IT)行业大力推广旨在为员工提供更多工具的产品,以便他们能够获得更多访问权限并提高生产力。所有这些趋势更多地基于希望,而不是已被证实的结果。
在社会层面上,更多的人有更大的机会接触个人技术,如智能手机,闪存驱动器和其他设备,这些设备更好地使他们能够窥探或窃取知识产权。互联网使内部人员能够快速移动数据或信息出组织的设施。互联网还可以为内部人员提供一个通信平台,使其与外部共谋者保持联系,讨论他们的行动或他们应该寻找和侵占的信息类型。这种沟通还可以帮助内部人员向外部人提供对内部资源的访问权限,或者使得访问物理财产或资产更容易成为窃取或破坏的目标。在所有安全工作中,防范这种威胁是绝对必要的。
有许多内部人员攻击信息系统的事件。一些攻击是出于对组织或管理人员和员工的报复或愤怒。其他攻击涉及数据或商业机密的盗窃往往是出于经济利益的考虑。FBI 认为,内部人员无需从外部了解如何入侵信息系统,因为他们已经对组织的信息系统以及计算机系统的访问控制有一定的了解,有时甚至有很深的了解。他们的访问权限可能很少受到限制,因此可能对系统造成严重破坏或窃取系统数据。¹
内部威胁,包括破坏,盗窃,间谍活动,欺诈和竞争优势,通常是通过滥用访问权限,窃取材料以及处理物理设备或不正确配置的访问控制系统来实施的。内部人员并不总是独自行动,也可能不知道他们正在帮助威胁行为者(即无意中的内部威胁)。组织理解正常员工基线行为并确保员工了解如何成为他人获取信息的通道至关重要。内部人员所犯罪行的类型显示在盒子 7.1 中。
盒子 7.1 内部人员所犯罪行的类型
- 员工盗窃
- 存款欺诈或存款票据的更改
- 侵占,失踪或破坏金钱和证券
- 抢劫,保险柜或安全存储室入室盗窃
- 计算机犯罪(盗窃,资金转移欺诈)
- 知识产权盗窃
- 窃取从外部访问计算机系统的信息
- 员工和公司高管的个人可识别信息(PII)
- 进入供应链和分销渠道的计算机系统的信息
每个组织都面临着商业秘密泄露、知识产权被窃取以及商业计划未及时披露的风险。工业间谍活动和间谍行为仍然处于高水平,并且在国际范围内广泛实践。组织的数据安全和隐私规划过程需要考虑这些威胁,并且仔细控制授权的逻辑访问和授权的物理访问。
7.2 国家安全和社会工程威胁
在过去的十年里,政府机构发生了几起备受关注的内部人员攻击事件。潜在风险的主要领域包括犯罪分子、工业竞争对手、内部威胁和国家赞助的对手。所有这些都可能同样有效且具有破坏性。专家们一致认为,传统的安全措施不足以应对快速变化的威胁环境。透明并向员工传达的安全教育和意识计划对减轻社会工程和内部威胁造成的安全风险至关重要。²社会工程是这些对手的一种偏爱工具,特别是那些每天每分钟都在实践社会工程的内部人员,他们竭尽全力地破坏系统、数据、商业秘密等。
许多安全专家认为,针对敏感计算机系统、网络和数据的最大现代威胁是内部威胁。内部人员是指由于其在组织内的职位、角色或任务而具有一定级别的访问权限和信任的个人。国防部(DoD)将内部人员定义为使用授权凭据访问 DoD 计算机和/或网络的任何人,无论这些凭据是否通过合法途径获得。虽然外部人员必须通过社会工程或其他方法获得对系统的访问权限和特权才能破坏该系统,但内部人员通常默认具备这些能力。在这一点上,唯一区分内部人员员工与内部威胁的是他们的行动和意图。每个内部人员都可能构成恶意活动的威胁。大多数组织都认为内部人员是诚实的,并且是在组织的最佳利益下运作。然而,如果一个内部人员的意图从善意变为恶意呢?
政府机构和军事指挥部如何不断解决内部的恶意行为检测?现代计算机防御手段从防火墙到入侵检测系统(IDS)再到访问控制列表(ACL)都有,但它们主要的重点仍然是减轻外部威胁。内部人员在企业安全控制的范围内有着自然的迁移路径。到目前为止,将这些同样的防御措施应用于内部人员的努力都没有取得成果。对于内部滥用的实时、轻量级检测和缓解系统仍然存在着巨大的需求。访问控制是计算机安全的基本基础,但在处理日常威胁,特别是内部人员造成的威胁方面仍然是相对的薄弱。认证、授权和审计是访问控制的三个主要组成部分,在无数主流实现中都可以观察到,包括防火墙、虚拟私人网络和文件权限。
几乎每一个与安全相关的过程或产品都是某种形式的访问控制。在自主访问控制(DAC)中,对象的所有者可以将访问权限分配给其他用户。在强制访问控制(MAC)中,访问权限是根据安全策略授予用户的。不幸的是,当前的访问控制机制过于粗粒度、复杂且不可扩展,无法对抗内部威胁。现代操作系统在文件的粒度级别上强制执行访问控制,但这对于已经基于其在组织内的位置具有访问权限的内部人员来说几乎没有什么阻止作用。当前的信息安全实践对内部威胁的处理仅仅是最低限度的,然而内部人员因各种原因对组织构成了最严重的威胁,这些原因在 Box 7.2 中有所显示。
Box 7.2 内部人员构成严重威胁的各种原因
- 内部人员被赋予了高度的信任。
- 对于内部人员来说,建立未经授权的入口点和异常通道进入信息系统是很容易的。
- 更高级的安全形式,比如加密,并不直接涉及到访问控制的概念。
- 当前的访问控制方法过于粗粒度,无法查看盒子内部并阻止内部人员滥用其特权。
- 审计和取证方法通常是事后进行的,对于防止内部人员造成损害几乎没有什么作用。
针对关键信息系统内部威胁的综合安全计划将包括一种先进的访问控制方法,这种方法需要支持细粒度、主动和可扩展的访问控制服务。这将防止内部威胁,遵循最小权限原则,但无法防止特权滥用问题。应用计算机取证方法是必要的,以阻止特权滥用问题,其中内部人员无需违反访问控制即可执行恶意行为,以及特权升级问题,其中内部人员将使用各种方法获取额外特权,如 root 访问权限。当结合使用时,强大的访问控制和应用计算机取证将有助于减轻恶意内部人员带来的威胁。当前研究的主要目标是开发应用计算机取证方法,以防止和检测敏感组织内部威胁,结合先进的访问控制系统,如 FASAC(细粒度、主动和可扩展访问控制)。³
一个高调的当代例子是内部人员利用社会工程学窃取机密信息,爱德华·斯诺登。在发现他的行动后,他逃往香港。美国司法部(DOJ)从 2013 年 6 月 10 日开始与他们的香港同行保持持续联系,当他们得知斯诺登在香港时。司法部长埃里克·霍尔德于东部时间 6 月 19 日打电话给他的香港同行,香港司法司司长袁靖儒,强调此事的重要性,并敦促香港尊重逮捕斯诺登的请求。斯诺登被指控违反:
- 18 USC § 793(d)(未经授权披露国防信息);
- 18 USC § 798(a)(3)(未经授权披露机密通信情报); 和
- 18 USC § 641(盗窃政府财产)。
2013 年 6 月 15 日,美国根据美港引渡协议要求香港特别行政区(HKSAR)当局暂时逮捕逃犯以便引渡。美国的请求符合美国与 HKSAR 之间现行条约的所有方面,包括 HKSAR 暂时逮捕斯诺登所需的所有文件和信息。
2013 年 6 月 17 日,香港当局承认收到了美国的请求。尽管多次追问,香港当局未对任何额外信息或文件提出要求,只表示此事正在审查中,并拒绝详细说明。然后在 2013 年 6 月 21 日,香港当局要求提供有关美国指控和证据的额外信息。美国一直在与香港当局就其询问进行沟通。美国当局正在回应请求时得知,香港当局已允许逃犯离开香港。他最终来到了俄罗斯,仍然受到美国政府的追捕。⁴
一些人认为斯诺登是揭露美国政府监视计划的英雄,而另一些人则呼吁对他进行严厉的起诉。在爱德华·斯诺登持续泄露国家安全信息之后,密歇根州国会议员约翰·康耶斯(D-Mich.)表示,国会和媒体如此关注爱德华·斯诺登的行踪是不幸的。他认为,美国应该将时间和注意力集中在确保遵纪守法的美国人不会被不必要地接受侵入式监视上;确保美国媒体组织不会仅仅因为向公众提供信息而受到针对;关闭关塔那摩并释放那些对美国没有危害的个人;并要求在美国政府短视地使用无人机方面制定法律保障措施。康耶斯在 2013 年 6 月表示,这些是国会面临的首要、关键问题,而不是爱德华·斯诺登的行踪或动机。爱德华·斯诺登和其他人在前几个星期揭示的事实表明,美国正处于一个十字路口。国会需要选择如何回应,而不是回应爱德华·斯诺登,而是回应此永无止境的关于斯诺登和安全泄露的压力对美国原则和法律的影响。⁵
7.3 国家内部威胁任务组
国家内部威胁任务组(NITTF)是在维基解密通过全球媒体和互联网发布了成千上万份机密文件之后成立的。其任务是通过制定国家内部威胁计划、支持政策、标准、指导方针和培训,阻止、发现和减轻可能对国家安全构成威胁的雇员的行动。
根据行政命令(EO)13587,NITTF 由美国司法部长和国家情报总监共同主持。他们又指定了联邦调查局(FBI)和国家反间谍执行官共同指导 NITTF 的日常活动。NITTF 由来自各种联邦部门和机构(D/A)的员工和承包商组成,其工作影响着处理机密资料的 99 个以上的联邦 D/A。以下 D/A 在 NITTF 上有代表:联邦调查局(FBI)、国家反间谍与安全中心(NCSC)、国防情报局(DIA)、中央情报局(CIA)和交通安全管理局。
NITTF 直接向高级信息共享和保障指导委员会报告,该委员会也是根据 EO 13587 设立的。该指导委员会由具有广泛接触机密网络和材料的主要情报机构代表组成,包括国务院、能源部、司法部、国防部和国土安全部、CIA、FBI、国家情报总监办公室、NCSC、国家安全局、DIA、程序经理(信息共享环境)、管理和预算办公室、国家安全委员会工作人员和信息安全监督办公室。
NITTF 将内部威胁视为对美国国家安全构成的威胁,由某人利用或无意识地利用其对任何美国政府资源的授权访问所造成。这种威胁可能包括间谍活动、恐怖主义、未经授权的国家安全信息披露,或者通过丧失或削弱部门资源或能力造成的损害。当安全存在漏洞时,这种情况很容易发生。
NITTF 汇集了来自政府各方面的安全、反间谍和信息保障方面的专业知识,制定了个别 D/A 实施内部威胁计划所必需的政策和标准。NITTF 的一部分工作涉及举办培训并向 D/A 提供帮助,以更好地教育他们的员工识别潜在的内部威胁活动,而不会营造出不信任的氛围。NITTF 评估了个别 D/A 内部威胁计划的适当性。通过与个别 D/A 的接触,NITTF 确定并传播了检测、阻止和减轻新威胁的最佳做法,并继续协助 D/A 解决问题。
发现潜在恶意行为涉及授权的内部威胁人员从多个来源收集信息,并分析该信息以寻找线索或令人关注的行为。单个指标可能不太重要;但是,如果与其他指标一起考虑,可能会出现令人关注的行为模式,这些模式可以加起来形成可能构成威胁的人。重要的是考虑来自多个来源的相关信息,以确定员工的行为是否值得更密切地审查,或者是否应该将某个问题正式提交给调查或行政实体,如联邦调查局或机构的总监。也有可能个体没有恶意,但需要帮助。无论哪种情况,该个体都可能构成对国家安全的威胁,情况需要进一步调查。
非常重要的是要认识到,个人可能没有恶意,但需要帮助。美国在其国家安全力量上投入了大量资金,帮助一个可能感到自己别无选择而采取严重行为,如间谍活动、未经授权的信息披露、自杀、工作场所暴力或破坏行为,符合所有人的利益。在行动之前进行干预可以挽救一个员工的职业生涯,挽救生命,并保护国家安全信息。这可以通过对员工进行个体评估来部分解决。
也有不知情的内部人员可能被他人利用。国家的对手在针对美国利益方面变得越来越复杂,一个个人可能会被欺骗,以推进那些对手的目标,而不知情地这样做。
总的来说,国家政策要求每个有权访问机密信息的行政部门机构建立与 NITTF 标准和指导一致的内部威胁计划。然而,人们认识到存在不同程度的风险,因此,根据受审查人口的规模、对机密计算机系统的访问程度以及 D/A 维护的机密信息的数量等因素,需要不同程度的保护。国家内部威胁政策指导行政部门的负责人使用风险管理原则开发他们的计划。NITTF 正在与行政部门机构以及机密信息共享和保护办公室合作,评估与 99 个以上有权访问机密信息的行政部门机构相关的最低标准的适用程度,根据相关风险。
内部威胁计划是与机构的档案管理办公室、法律顾问以及民权和隐私官员协调开发和运营的,旨在建立保护措施,防止侵犯员工的公民自由/权利、隐私或举报者保护。部门和机构必须向计划人员以及一般员工提供这些领域的培训。部门和机构负责人还有责任通过监督内部威胁计划来确保这些保护措施得以维持。
内部威胁计划针对的是异常行为,而不是个人。此外,处理机密信息的政府员工明白,为了获得安全许可,他们接受对工作场所活动的额外监督。员工签署授权,进行调查以获取和保留安全许可,并且计算机和设施的某些区域有警示横幅,提醒人们他们的隐私期望较低。
当机密信息以未经授权的方式在美国政府国家安全结构之外泄露时,该信息可能会对美国利益产生有害影响,并且在某些情况下可能构成威胁生命。错误地将机密信息交到错误的手中,可能会为那些与美国利益相悖的国家和非国家行为者提供独特且潜在危险的优势。例如,机密信息的未经授权泄露可能会:提供有关国家用于自卫的武器系统的详细信息;暴露海外情报活动和人员;识别美国国家基础设施中的关键漏洞,如果被利用,可能会损害美国国防、交通、卫生、金融和/或通信能力。⁶ NITTF 将内部威胁定义为五大主要类别,如盒子 7.3 所示。
盒子 7.3 内部威胁的 NITTF 类别
- 泄漏是有意的、未经授权的将机密或专有信息泄露给无需知晓的个人或组织。
- 泄露是将机密或专有信息无意间转移到未经认可或未经授权的系统、个人、应用程序或媒体上。
- 间谍活动是未经授权向竞争对手、外国国家或实体传递机密或专有信息,目的是造成损害。
- 破坏意味着故意摧毁、损坏或阻碍,尤其是出于政治或军事优势的目的。
- 有针对性的暴力代表针对个人或群体的任何形式的暴力,出于特定原因。
漏洞的一个例子就像是关于 PlayStation All-Stars Battle Royale 的故事。这个泄漏涉及到了一款吉祥物格斗游戏:Wii-U 上的 Super Smash Brothers。虽然这些视频游戏本身相似,但它们泄露背后的情况并不相同。索尼在一次测试版下载中意外泄露了自己的私人信息,而任天堂的泄露来自于一名有权限使用摄像头和未发布游戏版本的员工。
在匿名发布到 4chan 的视频游戏板块上,泄露者分享了多个未经确认的角色图片,以及未向公众展示的不同游戏模式的截图。最初,由于其中一个角色被声称是流行的 80 年代游戏 Duck Hunt 中的狗,这个泄露被认为是一个骗局。但是几小时后,泄露者发布了自己扮演尚未宣布的所有角色的视频,以及未进入主游戏的不同收藏品的图片。有未经确认的报道称,任天堂已经找出了哪个员工泄露了所有这些敏感信息,并对其进行了处理。
《哈利·波特与 2000 万美元流失的故事》:随着最终《哈利·波特》图书的发布日期临近,Bloomsbury 的办公室紧张不安。几年前,他们曾经历过噩梦般的泄露事件,有人实际上抽出时间,在《哈利·波特与混血王子》发布前,在公共场合高声喊出对哈利·波特的死亡剧透,以毁坏故事。Bloomsbury 不想让这一系列的最后一本书以同样的方式被剧透,因此采取了严密措施。
为了阻止剧透和泄露,该公司花费了超过 2000 万美元用于向零售商发货的书籍安全措施,并威胁任何敢于打开装有宝贵书籍的容器的商店。最后,这一切都是徒劳的,因为有人仍然设法在发布前几天得到了一本书的副本。令 Bloomsbury 惊恐的是,这个人继续拍摄书中的每一页,并将其上传到网上供所有人查看。大结局被泄露,Bloomsbury 因此遭受了巨大的损失。
泄露是指机密或专有信息无意中转移到未经认可或未经授权的系统、个人、应用程序或媒体。内部威胁的最常见形式是泄漏。泄露提醒我们,造成损害并不一定要有恶意。大多数人认为数据泄露来自计算机系统或互联网。然而,泄露并不局限于网络领域。它们可以发生在书籍出版、公开演讲或采访时。
间谍行为是将机密或专有信息未经授权地传输给竞争对手、外国国家或希望造成伤害的实体。例如:格雷戈里·艾伦·贾斯蒂斯因向他认为是俄罗斯情报机构特工的人出售敏感的卫星信息而被定罪。贾斯蒂斯是一名为经过批准的国防承包商工作的工程师。具体来说,他负责军事和商业卫星项目。
在 2016 年 2 月至 7 月期间的一系列会议中,Justice 提供了这些材料,作为交换,Justice 要求并收到了数千美元的现金支付。在一次会议中,Justice 讨论了发展一种像电视剧《美国人》中描绘的关系,并在最后一次会议中,Justice 提供了对其雇主生产设施的参观,Justice 称所有军事航天器都是在那里建造的。
破坏行为意味着故意破坏、损害或阻挠,尤其是出于政治或军事优势。尽管破坏行为通常是出于政治或军事原因,但其他动机可能包括个人不满。例如:系统管理员授予开发测试人员其系统的本地管理员访问权限。测试人员创建了五个额外的管理员帐户,从未被注意到,并且在不同数据库中创建了后门。当其中一名开发人员发现自己将被解雇时,他通过其中一个后门访问系统并关闭了系统。
有针对性的暴力是指针对个人或团体的任何形式的暴力,出于特定原因。换句话说,不是随机的暴力行为。例如:一名员工听到他的同事发表了一种涉及枪支的威胁性言论。据报道,这名同事对工作场所发生的问题感到不满,并发表了这样的评论:如果我有枪,我会开枪打死他们。在调查后,这名同事承认发表了那些言论,并表示他并不打算执行他所说的评论。这名同事承认自己有脾气,但没有打算伤害任何人。
7.4 社会工程攻击企业
在过去的几年中,一些知名公司维护的大型数据库发生了多次违规事件。这些案件中有许多已得到解决,但在此过程中数百万个身份受到了损害,这说明了需要比当前更好的安全保护个人和财务数据的需求。然而,许多客户数据或个人身份信息被泄露的案件没有得到解决,也从未被起诉。
万豪国际表示,其斯达伍德客人预订数据库的一次泄露暴露了多达 5 亿人的个人信息。据万豪称,黑客获取了人们的姓名、地址、电话号码、电子邮件地址、护照号码、出生日期、性别、斯达伍德忠诚计划账户信息和预订信息。对于一些人,他们还窃取了付款卡号和到期日期。万豪表示付款卡号已加密,但尚不清楚黑客是否还窃取了解密所需的信息。这家酒店连锁表示,泄露始于 2014 年,任何在 2018 年 9 月 10 日之前在斯达伍德物业预订的人都可能受到影响。斯达伍德品牌包括 W 酒店、瑞吉酒店、喜来登酒店及度假村、威斯汀酒店及度假村、艾美酒店及度假村以及其他酒店和分时度假物业。⁸
有很大的可能性,美国 1.43 亿消费者中的任何一个的敏感个人信息在美国三大信用报告机构之一 Equifax 的数据泄露中被曝光。据 Equifax 称,这次泄露发生在 2017 年 5 月中旬至 7 月。黑客获取了人们的姓名、社会安全号码(SSN)、出生日期、地址,有时还包括驾驶执照号码。他们还窃取了大约 209,000 人的信用卡号码和大约 182,000 人的带有个人身份信息的争议文件。此外,他们还获取了英国和加拿大人的个人信息。⁹
2015 年,人事管理局(OPM)宣布了两起独立但相关的网络安全事件,影响了联邦政府雇员、承包商和其他人员的数据。2015 年 6 月,OPM 发现了当前、前任和潜在的联邦雇员和承包商的背景调查记录被盗。OPM 和跨机构事件响应团队高度确信地得出结论,敏感信息,包括 2150 万人的社会安全号码,已从背景调查数据库中被盗。其中包括 1970 万申请进行背景调查的个人,以及 180 万非申请人,主要是申请人的配偶或同居人。一些记录还包括背景调查人员进行的面试结果,约 560 万条记录包括指纹。申请人用来填写背景调查表格的用户名和密码也被盗。虽然背景调查记录中包含申请人和背景调查期间联系人提供的一些有关心理健康和财务历史的信息,但没有证据表明联邦人员或申请联邦工作的人员的健康、财务、工资和退休记录受到此事件的影响(例如,年金名单、退休记录、USA JOBS、Employee Express)。2015 年,OPM 发现了 420 万名现任和前任联邦政府雇员的人事数据被盗。这意味着姓名、出生日期、家庭地址和社会安全号码等信息受到影响。
对于在 2000 年或之后经历过联邦背景调查的人(通过提交 SF-86、SF-85 或 SF-85P 表格进行新调查或重新调查),很可能受到涉及背景调查的事件的影响。如果人们在 2000 年之前经历过背景调查,他们仍然可能受到影响,但可能性较小。目前或曾经的联邦雇员也可能受到涉及人事记录的另一起但相关的事件的影响。 ¹⁰
Fresenius Medical Care North America (FMCNA)同意支付 350 万美元给美国卫生及公众服务部(HHS)民权办公室(OCR),并采取全面的纠正行动计划,以解决违反《健康保险移民和责任法》(HIPAA)隐私和安全规则的潜在违规行为。 FMCNA 是为慢性肾衰竭患者提供产品和服务的提供商。他们拥有超过 60,000 名员工,服务超过 170,000 名患者。 2013 年 1 月 21 日,FMCNA 为发生在 2012 年 2 月 23 日至 2012 年 7 月 18 日之间的五起独立事件提交了五份单独的违规报告,涉及五个独立的 FMCNA 拥有的被覆盖实体(FMCNA 被覆盖实体)的电子受保护健康信息(ePHI)。
违规行为发生的五个地点是佛罗里达州杰克逊维尔的 Bio-Medical Applications of Florida,Inc.,简称 Fresenius Medical Care Duval Facility(FMC 杜瓦设施); 阿拉巴马州塞姆斯的 Bio-Medical Applications of Alabama,Inc.,简称 Fresenius Medical Care Magnolia Grove(FMC Magnolia Grove Facility); 亚利桑那州马里科帕的 Renal Dimensions,LLC,简称 Fresenius Medical Care Ak-Chin(FMC Ak-Chin Facility); Fresenius Vascular Care Augusta,LLC(FVC Augusta); 以及 WSKC Dialysis Services,Inc.,简称 Fresenius Medical Care Blue Island Dialysis(FMC Blue Island Facility)。
OCR 的调查发现,FMCNA 被覆盖实体未能对其所有 ePHI 的机密性,完整性和可用性的潜在风险和漏洞进行准确和彻底的风险分析。FMCNA 被覆盖实体未经许可地披露了患者的 ePHI,为未经隐私规则允许的目的提供了未经授权的访问。除了 350 万美元的金钱解决方案外,纠正行动计划还要求 FMCNA 被覆盖实体完成风险分析和风险管理计划,修订设备和媒体控制以及设施访问控制的政策和程序,制定加密报告,并教育其员工有关政策和程序。 ¹¹
2018 年 4 月,美国证券交易委员会(SEC)宣布,前称为 Yahoo! Inc.的实体同意支付 3500 万美元罚款,以解决指控其误导投资者的指控,因未披露一起全球最大的数据泄露事件之一,黑客窃取了涉及数亿用户账户的个人数据。根据 SEC 的裁决,2014 年 12 月入侵事件发生后几天,雅虎的信息安全团队得知俄罗斯黑客窃取了该团队内部称为公司“皇冠珠宝”的内容:数亿用户账户的用户名、电子邮件地址、电话号码、出生日期、加密密码以及安全问题和答案。尽管有关入侵事件的信息已报告给雅虎高级管理层和法律部门成员,但雅虎未能妥善调查入侵事件的情况,并充分考虑是否需要向投资者披露入侵事件。入侵事件的事实直到两年多后才向投资公众披露;也就是说,当雅虎正在进行其运营业务被 Verizon Communications, Inc 收购的过程中。
SEC 的裁决发现,雅虎在入侵事件发生后的两年内提交了多份季度和年度报告,但未披露入侵事件或其潜在的业务影响和法律后果。相反,公司的 SEC 文件中表示,公司仅面临数据泄露可能带来的风险和负面影响。此外,SEC 的裁决发现,雅虎未与其审计师或外部法律顾问分享有关入侵事件的信息,以评估公司在公开文件中的披露义务。最后,SEC 的裁决发现,雅虎未能保持旨在确保雅虎信息安全团队关于网络入侵事件或此类事件风险的报告得到适当评估和及时考虑以进行潜在披露的披露控制和程序。
Verizon 于 2017 年 6 月收购了雅虎的运营业务。雅虎此后更名为 Altaba Inc. 雅虎既未承认也未否认美国证券交易委员会(SEC)的裁决结果,该裁决要求公司停止并避免进一步违反 1933 年证券法第 17(a)(2)和 17(a)(3)节以及 1934 年证券交易法第 13(a)节和规则 12b-20、13a-1、13a-11、13a-13 和 13a-15。SEC 的调查在 2019 年仍在进行中。 ¹²
鲍德温和泰勒、萨克斯第五大道、Saks OFF 5TH 和 Under Armour 的 MyFitnessPal,以及其他企业和政府机构发生了额外的数据泄露事件。不同行业的全面数据泄露情况并不容易获得,但表 7.1 显示了 2010 年至 2015 年涉及健康相关信息的泄露所影响的人数;表 7.2 显示了 2010 年至 2015 年受保护健康信息泄露来源的人数;表 7.3 显示了 2010 年至 2015 年报告的受保护健康信息泄露数量;以及表 7.4 显示了 2010 年至 2015 年受保护健康信息泄露的来源。
表 7.1 2010 年至 2015 年受保护健康信息泄露所影响的人数
泄露类型 | 2010 | 2011 | 2012 | 2013 | 2014 | 2015 |
|---|---|---|---|---|---|---|
黑客/IT 事件 | 568,358 | 297,269 | 900,684 | 236,897 | 1,786,630 | 111,812,172 |
不当处置 | 34,587 | 63,948 | 21,329 | 526,538 | 93,612 | 82,421 |
丢失 | 924,909 | 6,019,578 | 95,815 | 142,411 | 243,376 | 47,214 |
盗窃 | 3,691,460 | 4,720,129 | 927,909 | 5,397,989 | 7,058,678 | 740,598 |
未经授权的访问/披露 | 130,106 | 118,444 | 338,767 | 383,759 | 3,019,284 | 572,919 |
其他泄露 | 158,593 | 13,981 | 503,900 | 254,305 | 413,878 | N/A |
来源: 美国卫生与人类服务部,公民权利办公室。影响 500 人以上的违规事件。2016 年 2 月 1 日。¹³
表 7.2 2010 年至 2015 年受保护健康信息泄露来源的人数
泄露来源 | 2010 | 2011 | 2012 | 2013 | 2014 | 2015 |
|---|---|---|---|---|---|---|
台式电脑 | 246,643 | 2,042,186 | 81,385 | 4,348,129 | 2,378,304 | 316,226 |
电子医疗记录 | 803,600 | 1,720,064 | 136,751 | 40,196 | 121,845 | 3,948,985 |
电子邮件 | 8,050 | 3,111 | 294,308 | 58,847 | 519,625 | 583,977 |
笔记本电脑 | 1,507,914 | 405,873 | 575,529 | 1,023,181 | 1,273,612 | 391,830 |
网络服务器 | 665,123 | 613,963 | 921,335 | 320,127 | 7,253,441 | 107,252,466 |
纸质/胶片 | 204,966 | 103,711 | 198,409 | 575,076 | 590,352 | 229,743 |
可携式电子设备 | 29,714 | 1,516 | 124,978 | 154,877 | 141,110 | 209,558 |
其他来源 | 2,058,166 | 8,259,368 | 455,709 | 422,381 | 343,537 | 322,539 |
来源: 美国卫生与人类服务部(HHS)公民权利办公室。影响 500 人以上的违规事件。2016 年 2 月 1 日。¹³
表 7.3 2010 年至 2015 年报告的受保护健康信息泄露数量
泄露信息类型 | 2010 | 2011 | 2012 | 2013 | 2014 | 2015 |
|---|---|---|---|---|---|---|
黑客/IT 事件 | 10 | 16 | 16 | 23 | 32 | 57 |
不当处置 | 10 | 7 | 7 | 13 | 11 | 6 |
丢失 | 18 | 17 | 19 | 24 | 28 | 22 |
盗窃 | 127 | 118 | 117 | 124 | 113 | 80 |
未经授权的访问/披露 | 7 | 26 | 25 | 63 | 72 | 100 |
其他泄露 | 22 | 2 | 18 | 24 | 28 |
来源:美国卫生与公众服务部,民权办公室。影响 500 人以上的数据泄露。2016 年 2 月 1 日。¹³
表 7.4 2010 年至 2015 年受保护健康信息泄露的数量来源
信息泄露来源 | 2010 | 2011 | 2012 | 2013 | 2014 | 2015 |
|---|---|---|---|---|---|---|
台式电脑 | 28 | 35 | 23 | 39 | 29 | 29 |
电子病历 | 3 | 6 | 6 | 14 | 14 | 16 |
电子邮件 | 5 | 2 | 10 | 20 | 36 | 37 |
笔记本电脑 | 50 | 38 | 51 | 67 | 42 | 38 |
网络服务器 | 17 | 16 | 20 | 30 | 46 | 41 |
纸张/胶片 | 46 | 45 | 47 | 53 | 62 | 67 |
便携式电子设备 | 6 | 2 | 19 | 20 | 22 | 15 |
其他来源 | 42 | 50 | 26 | 24 | 34 | 22 |
来源:美国卫生与公众服务部,民权办公室。影响 500 人以上的数据泄露。2016 年 2 月 1 日。¹³
7.5 个防范内部威胁的基本步骤
有许多现成的建议可帮助保护金融工具并防止内部不端行为,包括欺诈和滥用。然而,这些步骤本身并不能保证组织的安全。美国小型企业管理局(SBA)提供了一份建议清单,这些建议通常与其他几个组织提供的建议一致。这些建议包括:
- 雇佣员工时进行背景调查。
- 通过限制和审计银行账户和信用卡的使用来���护它们。
- 保护信息系统和计算机。
- 使用专用计算机进行银行业务。
- 教育员工有关安全问题。
- 为财务流程和工具设立适当的职责分离。
- 拥有针对内部盗窃的充分保险覆盖。¹⁴
- 拥有专门设计用于保护组织免受员工不诚实行为造成的财务影响的保险保单或商业犯罪保单。
在任何情况下,防范内部威胁都是具有挑战性的,但当能够造成最大破坏的内部人员通常已经处于受信任的位置时,情况就更加困难了。防范内部人员和外部人员的威胁也是具有挑战性的,但在维护安全方面,防范内部人员和外部人员团队可能是最困难的情况之一。
如果内部人员需要补充自己的能力,可能会招募外部帮助。如果内部人员需要一辆卡车,需要进行一些重物搬运,或者需要增强自己的计算机技能以实施欺诈计划,他们可能会与外部人员合作。对内部人员来说,外部帮助可能被视为更安全,因为他们不需要向其他员工透露自己正在策划犯罪。
相反,如果外部人员试图增加对设施或计算机系统的访问权限,并且内部人员可以在这方面提供帮助,那么外部人员可能会招募内部人员。内部人员可以为外部人员提供物理帮助,或者只是提供使进入设施并实施犯罪更容易的信息。内部人员和外部人员的故意行动可能会造成重大损失,并且花费大笔资金。
建立内部威胁计划可以帮助组织检测、阻止和应对由恶意和无意的内部人员引起的威胁。重要的是要承认,根据组织的规模、预算、文化和行业,计划的发展和范围可能有所不同。一定要包括来自组织各个部门的关键人员和人员,包括:
- 人力资源
- 物理安全
- 信息安全
- 信息技术
- 数据所有者
- 业务持续性规划者
- 法律顾问(道德和隐私)
内部威胁工作组应负责制定和实施全面的内部威胁计划,以降低对人员、数据、系统和设施的风险。最好考虑采用分阶段方法来控制成本并减小对运营的影响(试点、有限范围、整个组织),并应用基于风险的方法,利用业务持续性规划和风险评估来优先保护资产。重要的是要适当地:
- 结合法律和监管要求
- 确定监控行为的数据来源
- 将人力资源管理系统整合到流程中
- 选择视频监控摄像机
- 建立进出追踪系统
- 实施网络用户活动监控系统
- 建立金融欺诈检测系统
- 与数据所有者合作确保信息共享
- 保护隐私、公民权利和公民自由
- 在规划和执行过程中考虑组织文化
建立持续的培训计划是一个关键步骤,鼓励高管参加并:
- 在入职期间进行培训
- 需要每年进行更新培训
- 在自愿和非自愿离职期间强化项目目标
- 量身定制培训以应对独特的缓解角色和责任 ¹⁵
7.6 结论
当今对敏感计算机系统、网络和数据最大的威胁是内部威胁。有许多潜在的情景可能导致内部人员窃取数据和信息。所有组织都面临着一定程度的内部威胁,以及内部人员可能与外部人员合谋合作窃取、破坏或羞辱他们的员工的可能性。
7.7 关键点
本章涵盖的重点包括:
- 在社会层面,更多的人可以更容易地访问个人技术,如智能手机、闪存驱动器和其他设备,这些设备更好地使他们能够窥探或窃取知识产权。
- 在过去十年中,政府机构遭受了几起备受关注的内部人员攻击。潜在风险的主要领域包括犯罪分子、工业竞争对手、内部威胁和国家赞助的对手。
- 发现潜在恶意行为涉及授权的内部威胁人员从许多来源收集信息,并分析该信息以寻找线索或引起关注的行为。
- 也有一些不知情的内部人员可能会被国家的对手利用,这些对手在瞄准美国利益方面变得越来越复杂,一个人可能会被欺骗以推动这些对手的目标而毫不知情。
- 建立内部威胁计划可以帮助组织检测、阻止和应对由恶意和无意的内部人员造成的威胁。
- 在过去几年中,许多知名公司维护的大型数据库都遭受了多次泄露事件。许多案例已经得到解决,但在此过程中数百万个身份信息遭到泄露,这说明了迫切需要比当前存在的更好的安全措施来保护个人和财务数据。
- 破坏意味着故意破坏、损坏或阻碍,尤其是出于政治或军事优势。尽管通常是出于政治或军事原因,但其他动机可能包括个人不满。
7.8 研讨会讨论主题
研究生或专业级别研讨会的讨论主题包括:
- 研讨会参与者在内部人员或内部-外部团队发生安全漏洞的情况下有何经验?
- 参与者所在组织为防止内部事件和安全漏洞而采取了哪些安全计划或程序?
- 参与者所在组织报告疑似或可能的内部不端行为的程序是什么?
7.9 研讨会小组项目
将参与者分成多个小组,每个小组花 10 至 15 分钟时间列出员工可能表明他们将要对组织进行安全违规或发动内部攻击的行为。作为一个小组会面并讨论各组确定的行为清单。
关键术语
- 计算机系统的访问控制:是一个过程,它允许或禁止个别用户访问特定的计算机应用程序和计算机数据集,包括用户在系统上的访问级别允许他们做什么。
- 访问控制系统:是那些允许经过适当识别的人员或逻辑实体访问组织设施或计算机系统的自动化和人工功能。
- 适当的职责分离:是一种组织结构,防止个体员工或代理人以可能使他们独立侵占公司资产且几乎不被发现的方式访问或控制工作职能。
- 授权的逻辑访问:是内部人员被允许进入组织计算机和通信系统的访问权限,员工可能需要执行工作职责。
- 授权的物理访问:是内部人员被允许进入组织财产、建筑物和员工可能需要执行工作职责的建筑区域的访问权限。
- 全面的安全计划:从头开始覆盖组织的所有安全需求,并旨在减轻已知的安全威胁。
- 安全漏洞:是不足以保护资产或未能彻底保护其部署以保护的资产的安全措施或缓解方法。
- 个人评估:旨在评估个体员工在执行特定任务或完成工作职责所必需的任务类型方面的表现如何。
- 内部人员不端行为:员工违反组织政策或程序,或以其他方式损害雇主组织的行为。
- 内部人员外部人员团队:是两个或更多人共同密谋针对其中一人(内部人员)受雇或具有特权访问的组织的恶意行为。
- 内部人员外部人员威胁:是由于组织员工与外部组织工作的人员或与员工组织无关的人员之间的关系而产生的威胁。
- 入职:一个将新员工融入组织社会和文化方面的过程。
- 开放式组织:往往更加非正式且结构不太严谨——它们通常缺乏严格的等级沟通结构,项目团队灵活,信息自由流动,员工可以广泛获取信息、系统和人员。
- 个人技术:包括员工拥有的设备,如手机、平板电脑、笔记本电脑和数字媒体,可以用于不当记录和移除雇主设施中的专有信息。
参考资料
- 1. 罗纳德·L·迪克(Ronald L. Dick)主任在美国司法部联邦调查局国家基础设施保护中心,参加了国会能源和商业委员会监督和调查小组的证词。2001 年 4 月 5 日,华盛顿特区。2019 年 2 月 22 日检索。www.fbi.gov/news/testimony/issue-of-intrusions-into-government-computer-networks
- 2. 防务社区在工业安全研讨会上讨论网络挑战。空间和海军作战系统司令部公共事务。斯蒂利恩斯,蒂娜 C。2014 年 5 月 16 日。访问日期:2019 年 2 月 22 日。www.navy.mil/submit/display.asp?story_id=81058#
- 3. 对抗内部威胁——使用动态、运行时取证处理内部威胁。空军研究实验室信息总监罗马研究站,纽约州罗马市。霍拉汉,杰森。2007 年 10 月。访问日期:2019 年 2 月 22 日。apps.dtic.mil/dtic/tr/fulltext/u2/a473440.pdf
- 4. 司法部关于要求香港逮捕爱德华·斯诺登的临时逮捕的声明。司法部公共事务办公室。2013 年 6 月 26 日。访问日期:2019 年 2 月 23 日。www.justice.gov/opa/pr/justice-department-statement-request-hong-kong-edward-snowden-s-provisional-arrest
- 5. 康耶斯关于爱德华·斯诺登披露的声明。美国司法委员会。2013 年 6 月 24 日。访问日期:2019 年 2 月 23 日。judiciary.house.gov/press-release/conyers-statement-edward-snowden-disclosures
- 6. 国家内部威胁任务部队(NITTF)使命。国家反情报和安全中心。访问日期:2019 年 2 月 22 日。www.dni.gov/index.php/ncsc-who-we-are
- 7. 单独存在。国家内部威胁任务部队(NITTF)。访问日期:2019 年 2 月 22 日。www.dni.gov/ncsc/Insider-Threat/main.html?mode=browse#
- 8. 万豪数据泄露。FTC。格雷辛,西纳。2018 年 12 月 4 日。访问日期:2019 年 2 月 23 日。www.consumer.ftc.gov/blog/2018/12/marriott-data-breach
- 9. 埃克斯文件泄露事件:应对措施。FTC。格雷辛,西纳。2017 年 9 月 8 日。访问日期:2019 年 2 月 23 日。www.consumer.ftc.gov/blog/2017/09/equifax-data-breach-what-do
- 10. 发生了什么?美国人力资源管理局。2015 年。访问日期:2019 年 2 月 23 日。www.opm.gov/cybersecurity/cybersecurity-incidents/
- 11. 五次违反导致未能遵守 HIPAA 的风险分析和风险管理规则的实体付出数百万美元的和解成本。美国卫生与人类服务部。2018 年 2 月 1 日。访问日期:2019 年 2 月 23 日。www.hhs.gov/about/news/2018/02/01/five-breaches-add-millions-settlement-costs-entity-failed-heed-hipaa-s-risk-analysis-and-risk.html
- 12. Altaba,前身为雅虎!被指控未披露大规模网络安全漏洞;同意支付 3500 万美元。FTC。2018 年 4 月 24 日。访问于 2019 年 2 月 23 日。www.sec.gov/news/press-release/2018-71
- 13. 未加密受保护健康信息的泄露。国家卫生信息技术协调办公室。2016 年 2 月。访问于 2019 年 2 月 23 日。dashboard.healthit.gov/quickstats/pages/breaches-protected-health-information.php
- 14. 保护小型企业免受欺诈和网络犯罪的 7 种方法 美国小型企业管理局。Beesley, Caron。2013 年 5 月 8 日。检索于 2016 年 5 月 25 日。www.sba.gov/blogs/employee-fraud-what-you-can-do-about-it
- 15. 建立全面的内部威胁计划。美国国土安全部。2018 年 8 月 16 日。访问于 2019 年 2 月 24 日。www.dhs.gov/establish-program
 - Which law would you use to simplify the expression mc^(006)-1.jpg?... (1 Answer) | Transtutors)