在伊丽莎白·霍尔姆斯和法尔节之前,就有了尼日利亚王子。几十年来,这个数字骗子一直在通过垃圾邮件过滤器向你提供一个千载难逢的机会:亲爱的亲爱的,他写道,我是一个不守规定的王室成员,带着一个难以置信的投资机会来找你。先生,他说,你知道西联汇款账户里有数百万美元无人认领吗?我可以帮你把它弄出来。他所需要的只是一小笔现金预付款或一个银行账号来完成电汇。那么,这些意想不到的财富就是你的了。
大多数人都知道这是一个骗局。这个尼日利亚王子也被称为419骗局,它是一个有几个世纪历史的西班牙囚犯骗局的变体,一个在法国大革命后出现的预付费用骗局,人们给一个被错误关押的(不存在的)贵族发送手写信件寻求帮助。虽然它与早期的互联网密切相关,但尼日利亚王子第一次走向全球是在20世纪80年代,当时西非的诈骗者开始在世界各地用蜗牛邮寄诈骗信件。如今,这似乎更像是一个笑话,而不是真正的威胁,但这位尼日利亚王子仍然得到了报酬:2018年,仅从美国人那里就赚了70多万美元。
但骗子们也在以更创新和更危险的方式使用419骗局的基础心理学。“15或20年前,我们都曾嘲笑(尼日利亚王子),”Agari首席身份官阿曼纳贾里安(Armen Najarian)表示。但是“那个尼日利亚王子已经长大了,上了大学,学到了一些东西,并找到了一个新的赚钱的职业。”一个曾经看似简单、孤立的骗局已经演变成一个万亿美元的威胁。
社会工程
419骗局可能是社会工程中最著名的例子,诈骗者使用一系列策略来操纵他们的目标,使其共享个人或机密信息,并使进一步的攻击成为可能。
雅各布·多瓦尔(Jacob Dorval)是SecureWorks对手组的全球主管,他领导着一个道德黑客团队,模拟攻击,以识别客户安全协议中的弱点。他说,大多数社会工程攻击都是以一种网络钓鱼的形式开始的——通过电子邮件、电话,甚至是与一个看上去值得信赖的来源进行面对面的交流,而这些人实际上是在寻找你的私人数据。
“现在,一个完美的例子就是冠状病毒,”多瓦尔说。黑客可以创建一个虚假的公共卫生警告,并将其传播给目标公司的员工。也许它会弹出一个与你的人力资源页面一模一样的页面,上面说,你必须登录才能查看建议。也可能只是一个链接,上面写着:点击这里。”“这在你看来不会有任何异常,但当你打开那个文件时,它可能会引发恶意活动。”
诈骗犯不再像尼日利亚王子那样要钱,而是寻求个人信息。尼日利亚王子通常对几笔转账感到满意,而获取你的密码和个人识别码只是一个更大计划的第一步。
现在,联邦调查局正在关注商业邮件泄露(BEC),即针对能够进入公司金融基础设施的员工,诱骗他们将资金转移给骗子。
其中一个变体被称为“CEO骗局”,骗子欺骗公司的CEO,要求立即将发票汇出。如果下属听从命令,他们就会在不知情的情况下将资金转移给骗子。(有些人走得更远:2015年至2017年,骗子们通过精心策划的Skype通话,冒充法国国防部长让-伊夫·勒德里安(Jean-Yves Le Drian),赚了9000万美元。)
一种类似的被称为供应商电子邮件攻击(VEC)的策略也在上升,Agari预测这将成为2020年的头号攻击类型。在一个典型的场景中,欺诈者创建的发票除了银行账户信息外,看起来与真实供应商的发票完全相同。当公司付款时,它再次进入骗子的账户。
在过去,这样的骗局只是一个数字游戏。骗子盯上的人越多,就越有可能找到受害者。这仍然是事实,但今天的攻击也更加复杂。“尼日利亚王子——这实际上是垃圾邮件,”纳贾里安说。“这里面没有任何预定的东西。”现在,诈骗是如此个性化,即使是最谨慎或怀疑的员工也有风险。“只需要一个小错误,”Dorval说。
“网络安全”一词可能会让人联想到许多电影中描绘的那些装备着尖端机器的国际黑客组织。但欺诈并不一定要高科技才能成功,因为社会工程主要利用人类的弱点。“在安全问题上,人是最薄弱的一环,”多瓦尔说。有些人可能比其他人面临更大的风险——根据联邦贸易委员会的数据,千禧一代实际上比年长的美国人报告了更高的欺诈率——但任何人都可能成为首席执行官骗局、诱惑或浪漫骗局的牺牲品。既然能骗别人开门,为什么还要破门而入?
不管目标是什么,成功的社会工程都会产生严重的影响。据预测数字技术趋势的Juniper Research估计,2019年全球网络犯罪造成的商业损失达到3万亿美元。没有人能幸免于辐射尘。近日,穆迪(Moody 's)因Equifax发生大规模数据泄露事件而下调了该公司的信用评级,这是首次有公司因网络安全问题而被下调信用评级,该问题影响了数亿人。而且,正如洛杉矶网络部门的联邦调查局特工迈克尔·索恩告诉《连线》杂志的那样,“当一家小企业被骗走20万或500美元时,他们就完了,不再做生意了。”
反击
就像你不需要复杂的技术来实施社会工程骗局一样,你也不需要疯狂的计划来对抗它。独立网络安全研究员和顾问Lukasz Olejnik说,多因素身份验证是打击欺诈的良好的第一步,它需要密码以外的一个或多个级别的身份验证。确保每个账户的密码都不一样也是很重要的,这样如果一个账户被攻破,其他账户就不会像多米诺骨牌一样倒下。但不要把它们放在便利贴上——数字密码管理器同样简单,也安全得多。
尽管如此,许多公司也在转向人工智能,以加强他们的欺诈检测过程,努力将人类完全排除在过程之外。根据Agari的说法,有自动钓鱼回应的组织检测到的恶意信息是员工的44倍。这很重要,因为阿加里报告说,无论如何,60%的员工报告的事件都是假阳性的。人工智能的好处也可能出现在你的个人邮件中,据报道,Gmail的机器学习增强平台拦截了99.9%的垃圾邮件。
Olejnik说,唯一不起作用的预防策略是耻辱。任何人都可能成为社会工程计划的牺牲品,因此惩罚、解雇甚至起诉这样做的员工不仅不公平,而且没有解决更大的问题。虽然管理层可能觉得他们已经表明了立场,但他们还是一如既往地脆弱。
这位尼日利亚王子可能不像过去那样成功了,但他仍然是一个不断演变的威胁的完美比喻。欺诈“通常是何时发生的问题,而不是是否会发生的问题,”Dorval说,无论是否涉及皇室。
