在有伊丽莎白·霍姆斯或 Fyre 音乐节之前,有尼日利亚王子。几十年来,这位数字骗子一直在通过垃圾邮件过滤器,向你提供一个千载难逢的机会:亲爱的,他写道,我是一位流亡的皇室成员,给你带来一个不可思议的投资机会。先生,他说,您知道您在西联汇款账户中有数百万美元未被认领吗?我可以帮你取出来。他只需要少量预付款或银行账号来完成汇款。然后,这些意外的财富就是你的了。
大多数人都知道这是什么:一个骗局。也被称为 419 诈骗,尼日利亚王子是古老的 西班牙囚犯 骗局的一个变种,这是一种在法国大革命后出现的预付费用诈骗,骗子通过手写信件寻求帮助(不存在的)被错误监禁的贵族。虽然它与早期互联网密切相关,但尼日利亚王子最早在 20 世纪 80 年代走向全球,当时西非的骗子开始向全球邮寄诈骗信。今天,它看起来更像一个笑话而不是真正的威胁,但尼日利亚王子仍然能赚钱:2018 年,仅从美国人那里就骗取了 超过 70 万美元。
但骗子们也在利用 419 诈骗的根本心理,以更具创新性和危险性的方式。Agari 的首席身份官 Armen Najarian 说:“15 到 20 年前,我们都曾嘲笑(尼日利亚王子)。”但“那个尼日利亚王子已经长大了,上过大学,学到了一两样东西,并找到了新的有利可图的职业。”曾经看似简单的、孤立的骗局,已经演变成了一个万亿美元的威胁。
社会工程
419 诈骗可能是社会工程学中最著名的例子,社会工程学是一系列骗子用来操纵目标,使其分享个人或机密信息并进一步攻击的策略。
SecureWorks 的对手团队全球总监 Jacob Dorval 领导着一支道德黑客团队,他们模拟攻击以识别客户安全协议中的薄弱环节。他说,大多数社会工程攻击都始于某种形式的网络钓鱼——通过电子邮件、电话,甚至面对面的互动,与一个看似值得信赖的来源接触,而实际上对方却在窥探你的私人数据。
“现在,一个完美的例子就是冠状病毒,”Dorval 说。黑客可以创建一个虚假的公共卫生警告,并将模仿的页面传播给目标公司的员工。“也许它会弹出一个与你的人力资源页面完全相同的副本,并告诉你,你必须登录才能查看公告。或者可能只是一个链接,写着,点击这里,”他说。“在你看来,这看起来一点也不奇怪,但一旦你打开那个文件,它就可能启动恶意活动。”
与尼日利亚王子索要钱财不同,如今骗子们寻求的是个人信息。而尼日利亚王子常常满足于几次汇款,访问你的密码和个人身份信息只是一个更大计划的第一步。
目前,FBI 正在关注 商业电子邮件欺诈(BEC),它涉及到瞄准一个能够访问公司财务系统的员工,并欺骗他们将钱款转移给骗子。
其中一种变种被称为“CEO 欺诈”,骗子会冒充公司 CEO,并要求立即支付发票。如果下属听从指令,他们就会不知不觉地将资金转移给骗子。(有些人甚至做得更过分:2015 年至 2017 年间,骗子们 冒充法国国防部长 Jean-Yves Le Drian,在精心设计的 Skype 通话中,骗取了 9000 万美元。)
一种名为“供应商电子邮件欺诈”(VEC)的类似策略也在上升,Agari 预测它将成为 2020 年的 头号攻击类型。在典型场景中,骗子会创建一个看起来与真实供应商完全相同的发票,只是银行账户信息有所不同。当公司付款时,资金又一次进入了骗子的账户。
过去,这类骗局是靠数量取胜。一个骗子针对的人越多,找到受害者就越有可能。这仍然是真的,但今天的攻击也更加复杂。“尼日利亚王子——那实际上就是垃圾邮件,”Najarian 说。“那一点也不具针对性。”现在,骗局是如此个性化,即使是最谨慎或最怀疑的员工也面临风险。“只需要一个小小的错误,”Dorval 说。
“网络安全”这个短语可能会让人联想到电影中描绘的配备尖端机械的国际黑客团伙。但欺诈不一定要高科技才能成功,因为社会工程主要利用人类的弱点。“在安全方面,人是最薄弱的环节,”Dorval 说。有些人可能比其他人风险更大——根据美国联邦贸易委员会的数据,千禧一代报告的欺诈 发生率高于 老年美国人——但任何人都有可能成为 CEO 欺诈的权力游戏或浪漫骗局的诱惑的受害者。为什么要想办法闯入,而不是欺骗某人打开门呢?
无论目标是什么,成功的社会工程都会产生严重的后果。Juniper Research,一家预测数字技术趋势的公司,估计 2019 年全球因网络犯罪造成的商业损失达到 3 万亿美元。没有人能免受影响。穆迪最近因 史诗级的数据库泄露事件下调了 Equifax 的信用评级,这是公司 首次 因影响数亿人的网络安全问题而被降低信用评级。而且,正如 FBI 洛杉矶网络部门的特工 Michael Sohn 告诉 Wired 的那样,“当一家小型企业被骗走 20 万或 50 万美元时,它们就完蛋了,不再经营了。”
反击
正如你不需要高科技技术来实施社会工程骗局一样,你也不需要疯狂的计划来对抗它。独立的网络安全研究员和顾问 Lukasz Olejnik 表示,多因素身份验证,它需要一个或多个密码之外的身份验证级别,是打击欺诈的一个好开端。同样重要的是要确保你为每个账户设置不同的密码,这样即使一个账户被泄露,其他账户也不会像多米诺骨牌一样倒塌。但不要把它们写在便利贴上——一个 数字密码管理器 同样方便且安全得多。
尽管如此,许多公司也正在转向人工智能来增强其欺诈检测流程,试图将人类完全排除在外。根据 Agari 的数据,拥有自动网络钓鱼响应的组织比员工检测到的恶意消息多 44 倍。这很重要,因为 Agari 报告称,60% 的员工报告的事件都是误报。人工智能的好处也可能体现在你的个人电子邮件中,据报道,Gmail 的机器学习增强平台 拦截了 99.9% 的垃圾邮件。
Olejnik 说,一种不起作用的预防策略是羞辱。任何人都有可能成为社会工程骗局的受害者,所以惩罚、解雇甚至起诉那些受骗的员工不仅不公平,而且没有解决更大的问题。虽然管理层可能觉得自己已经表明了立场,但他们和以前一样脆弱。
尼日利亚王子可能不像过去那样成功了,但他仍然是一个不断演变的威胁的完美隐喻。Dorval 说,无论是涉及到皇室成员还是不,欺诈“通常是关于它何时会发生,而不是是否会发生。”
