伪装“计算机工程师”窃取 TB 级数据勒索 25 万美元!前 FBI 特工解析 AI 时代安全危机

图片

作者 | Eric O'Neill、Shane Hastie
翻译 | 核子可乐
策划 | Tina

一家公司因远程招聘了一名看似优秀的计算机工程师,却遭遇了严重的网络安全威胁。这名员工通过精心伪造的简历、推荐信和社交媒体资料成功获取职位,但在入职后表现糟糕,未完成任何工作,最终被辞退。然而,他的真实身份是一名“黑客”,在入职期间窃取了公司数 TB 的数据,并在被解雇后勒索 25 万美元,威胁公开敏感信息。

人工智能的崛起为我们的生活带来了诸多便利,但也为网络安全带来了前所未有的挑战。网络犯罪分子正在利用 AI 技术制造出更加精巧的骗局。这类活动正愈演愈烈,网络犯罪成为全球范围内增长速度最快的业务,而“暗网”在规模上也已成为世界第三大经济体。

那么在这样的网络世界中,企业和个人如何才能有效保护自己的数据?曾担任 FBI 卧底调查员的 Eric O'Neill,在接受 InfoQ 英文站的访谈时,从专业角度分享了一些实用建议,帮助我们应对日益复杂的网络威胁。

当今技术人员需要
了解哪些网络安全知识?
InfoQ:我们的读者大多是技术从业者,他们开发出的产品往往也是网络攻击的主要对象。那他们需要关注什么?

Eric O'Neill: 首先,我们需要正视一个现实:网络攻击正以迅猛之势席卷而来,而阻止它们似乎变得愈发困难。不仅网络犯罪活动呈现出显著增长,连黑客们获取信息的方式也发生了变化。如今,网络犯罪迅速转型,以发动网络攻击的形式崭露头角。这些黑客是行业内技术水平最高的一群人,而紧随其后模仿、学习,甚至偶尔创造惊人之举的,则是被统称为网络犯罪分子的一大群体。

网络犯罪已经成为全球范围内增长速度最快的行业。通过暗网实施的网络犯罪总值超过 12 万亿美元。如果把网络犯罪造成的损失,或者说在暗网上流动并被恶意人士赚去的加密货币当作生产总值,那么暗网的 GDP 足以使其成为世界第三大经济体。没错,除了中美两个大国之外,位列第三的就是暗网,而且它的体量仍在增长。到 2026 年,预计其总规模将达到 20 万亿美元左右,到 2027/2028 年甚至还要更高,毕竟阻止网络犯罪非常困难。作为防御的一方,技术专家拥有着巨大的攻击面,而且每天都在持续扩张。

InfoQ:那能不能分享几个具体事例,告诉我们应该从网络犯罪中学到什么?

Eric O'Neill: 当然可以。如今的恶意人士、网络罪犯乃至网络恐怖分子,他们在实施偷窃、诈骗、伪装、冒充、破坏及攻击关键基础设施时,采取的主要方式都能够与经典的网络犯罪手法一一对应起来。

再来介绍一下我自己的职业生涯。我曾在 FBI 担任卧底特工,也曾在华盛顿特区周边追捕黑客和恐怖分子。我离职前办的最后一件案子,就是抓捕 Robert Hansen 的秘密行动。通过在 FBI 总部参与秘密行动,我学到了很多关于欺诈和诱导的知识。实际上,当今最成功的各种攻击活动,特别是那些让组织、个人乃至整个城市、政府体系损失数百万美元的攻击,往往都是从欺诈开始的,即赢得某人的信任并让其对谎言深信不疑。

最近一个案子就特别典型,既体现出新时代下沟通和工作的全新方式,也反映了 AI 蓬勃发展及全球形势变化的重要交汇点。有位在香港工作的财务经理,他收到了封电子邮件,据称是公司 CFO 发来的。很多朋友可能听过类似的故事吧?比如邮件上写道,“立即往这个账户打款,否则我们会失去这笔交易,以下是账户信息,另外不要告诉其他人。如果你 10 分钟内还没处理好,我们公司就会出现灾难性的问题”。多典型,先给受害者施压,让他难以认真考虑整件事情的原委。而且可能是犯罪分子使用了伪造的地址,也可能是其窃取到 CFO 的真实邮箱,反正受害者检查了一下发现来源没问题。

现在我们已经通过安全意识培训,在很大程度上消除了这类问题。但也必须承认,类似的情况随时都在发生。单纯是因为有邮件要求员工们这么干,他们就依样照做的问题每年仍在给企业造成 490 亿美元的损失,且数额还在不断增加。

但我分享的这个案例还不止这样,整个过程更复杂。这名财务经理收到的邮件只写着“上 Zoom 来开会。”涉中的公司是一家总部位于英国的跨国企业,在世界各地都有分公司和办事处,也是全球最大的建筑商之一。悉尼歌剧院就是他们设计的,可以想见他们的行业地位了。财务经理当然很高兴啦,因为他突然有机会能跟自己上司的上司的上司直接视频通话,于是他整理了一下仪容,加入了 Zoom 通话。他在其中看到了 CFO 本人,身边有两位他认识的财务人员,还有两张他没见过的生面孔。

在通话过程中,他得知公司谈下了一笔新交易,打算跟那两位陌生人合作并吸收他们担任合伙人,接下来马上要付款了。在大家介绍完自己之后,通话突然结束,然后电子邮件继续发来。不疑有他,这位财务经理在接下来的一周中向香港的五个不同银行账户发出了 15 笔、总额高达 2500 万美元的电汇。但事实上,这些账户全部由犯罪分子控制,对方认真研究了财务经理的个人情况、细心部署并制定了这个精密的圈套。其实经典的网络犯罪手段也差不多,首先要尽可能多了解目标人物,包括他身在哪里、做什么工作、是否有权限执行转账操作,而后制作伪造的社交媒体消息和逼真的表演场景。作为这幕闹剧的最高潮,他们使用 AI 技术在 Zoom 小窗口中显示出了几可乱真的头像,最终骗到了这位身在香港的员工。

很明显,那两名所谓合伙人完全就是子虚乌有。这就是我们当前面临的安全状况。没错,大家需要提防的已经不仅仅是一封电子邮件,就连在电话上听到的声音、收到的短信甚至看到的视频都不能轻易当真。安全防范意识必须升级到新的水平,这就是残酷的现实。

InfoQ:这事听着就让人毛骨悚然。毕竟就个人而言,我也曾经被骗过,只是情况远没有这么复杂。我很感谢银行方面及时主动介入,成功阻止了交易的进行。所以我很明白,这种经历真的太可怕了。

Eric O'Neill: 是的,如果银行能够掌控一切,那当然是最好。有时候哪怕交易已经操作完成,银行也能够直接将其撤回或者划销。他们会在一定范围内为用户提供欺诈保护,比如恢复资金或者要求客户承担,因为他们知道自己根本抓不住网络罪犯。但我认为银行在这方面其实可以做得更多,他们应当通过重大投资培训全体客户更熟悉网络安全态势,同时对自有系统施以全面控制,至少要降低被冒充成客户本人的犯罪分子骗到的可能性。

这就是所谓客服中心攻击。比如犯罪分子先掌握了客户的情况,再打电话给客服中心,询问如何重置账户中的双因素身份验证资料。因为他们假装是客户本人,所以银行往往难以分辨。这种情况经常发生在那些公开了部分个人资料的群体身上,犯罪分子可能会搜集这些资料,再利用它牟取利益。解决这个问题的方法自然是建立更好的控制系统,但成本着实不菲,有时候还只能选择划销。

数据与信任的防线
InfoQ:那这类控制系统应该是什么样的?

Eric O'Neill: 加密是个大难题。至少单靠短信验证本身还不足以支撑起优秀的双因素身份验证机制。这里要提醒大家,归我们所有的只是手机,手机号码可不算。手机号实际是由第三方运营商控制。我们只是把它带在身边,运营商才是数据的控制者。所以请大家别盲目信任短信验证,比如可以选择那种专门的手机端身份验证应用。只有机主能够访问,其中使用不同加密模型生成的一次性验证码只会存在一小段时间,这种随时轮换的机制能够大大提高安全性。

InfoQ:如果我是技术部门的成员,那该怎么揪出网络犯罪分子?

Eric O'Neill: 这是个好问题。一切都要归于数据。之前我就反复强调,数据就是新时代下的资产,甚至是货币。数据是我们需要保护的最重要的事物之一,而网络安全的本质就是保护这些数据。近来随着 AI 技术的崛起,信任也成了同样稀缺的资源。所以,数据和信任就成了网络安全中的两大支柱。 任何负责组织网络安全的角色需要做好的头号大事,就是从本质上理解自己的数据。比如清楚自己拥有哪些数据、知晓谁可以访问数据,这些数据存放在哪里,再设置控制系统来加以保护。总之,揪出他们的思路就是了解自己的数据、把握住上下文,这样就能识别出什么时候的哪些接入点比较可疑。

举例来说,我在一家公司工作,那么一天的起始大多是在早上七点左右。无论是远程办公、现场办公还是混合办公,我都需要登录系统。比如我每周可能在办公室工作两、三天,或者到公司开会之类的。我自己现在办企业,就完全转向了居家办公,但时间仍然大致是在早上七点到晚间六点。我所从事的项目和任务,都有对应受控的数据集。这时候,如果网络安全系统、机器学习或者 AI 标记了某些异常,比如“Eric 刚刚在凌晨两点登录了系统”,那这就非常值得怀疑、明显不符合常态。这时候网络安全系统应该就此发布警报,比如立即切断访问权限并提醒安全负责人介入调查。无论是内部还是外部安全机制,都需要验证我还值不值得信任,比如我可能打算窃取商业机密、也可能是我的账号和密码被鱼叉式网络钓鱼给偷走了,导致攻击者能够冒我之名在组织内流窜。这些情况都有可能,必须及时跟进。

只有非常了解自己的数据,我们才能判断用户们应该有何行为,哪些活动明显不符合常态。只有能够弄清楚这一点,网络安全才能成为有效的预警系统,帮助我们及时发现可能出现的漏洞。漏洞永远存在,真正重要的是尽快将其发现,以防止它们引发灾难性的后果。

AI 影响网络安全的案例
InfoQ:你谈到了 AI 和技术,我们也知道一些 deepfake 的故事。那这对我们有什么启发?

Eric O'Neill: AI 正以一种不确定我们做没做好准备、或者说是否进行过认真思考的方式改变着一切。我来具体解释一下:我们几年前才刚刚学着适应远程办公,随后 AI 又突然降临。我合作过的很多组织都会说“我们先是采用混合模式”,而我的建议是“也可以直接选择远程模式”。总而言之,只要员工支持远程办公或者混合办公,就可以不再天天通勤打卡。虽然有些组织也在“开倒车”,即重新回归线下办公模式,但世界各地的大多数劳动力的全球化程度确实有所提升,我们几乎可以从任何地方招聘员工。

借这个机会,我正好聊聊 AI 跟网络安全的交叉案例。

有家公司雇佣了一位表面看起来很出色的人才,他在得克萨斯奥斯汀工作,是一名计算机工程师。他的简历简直无可挑剔,推荐信也令人信服。公司拨打了推荐信上的电话,对方说此人确实可靠。包括 LinkedIn 上的个人资料,完全符合招聘人员的全部想象。但因为公司位于美国东海岸,而他本人身在得克萨斯州,所以只能选择远程办公。但他的工作表现相当糟糕,几个月后就因压根完不成任何工作而被公司辞退。公司方面不知道的是,这人其实是名黑客,整个招聘流程都是个陷阱。他以计算机工程师的身份登录了公司的系统和数据库,下载了好几 TB 的信息。

这就是他的本职工作,什么正事不干但全天候盗窃信息。而且在被解雇之后,他不单拿走了信息,还反过来勒索公司 25 万美元,称如果不付钱他就把数据公开出去。这正是我们关注的新趋势,而 AI 的出现让这一切成为了可能。AI 可以创建一个化身,让人们变成自己想成为的任何样子。AI 不单能改变我们的声音,还能编写内容脚本,让整个对话看似顺畅自然、资料没有任何语法或者拼写错误。复杂的 VPN 系统能让你装作身在世界上的任何地方,所以在公司看来,这个人似乎就生活在得克萨斯州奥斯汀。

AI 正在改变我们的工作方式和思维方式,也在改变孩子们的学习方式。前几天我在飞机上就遇见过一件事。坐经济舱的时候,我们得一路走到最后面的洗手间,往往还得排队。在排队时,我看到一位年轻的女大学生,因为她的卫衣上还印着大学的名字。她正在使用笔记本电脑。好奇心驱使我偷偷瞄了一眼她的屏幕,本来我以为她在看电影,但没想到她正在参加考试。我看到了正在运行的考试软件,现在的飞机已经提供 Wi-Fi 连接了,她正在做多选题。

她当时把整道题和所有答案选项都复制到了 ChatGPT 里头,然后询问“正确答案是什么,为什么?”AI 会替她回答,然后她再切回测试给出选择。反正我眼睁睁看着她完成了整个测试。因为是在线测试,所以立刻就得看到得分,她得了满分。但实际上她啥也没回答,什么也没学到。我想说的是,如果她毕业找工作的时候遇上了同样的任务,那她打算怎么办?也许她也会直接让 AI 替她处理。这就是我最担心的。

我想说的是,如果越来越多的年轻人直接把工作内容交给 AI,究竟会产生怎样的后果?他们要做的就是编辑和调整,再无迈出第一步的纯粹创造。不知道大家有没有写作的经验,可能是提着笔坐在本子前,也可能是打开文字编辑软件坐在屏幕旁,脑袋里想的是“现在我需要输入第一个字了,应该是什么?”这是件神奇的事,迈出第一步是最困难的,但也是我们成为真正创作者的必经之路。可未来也许再也没有这样的机会了,因为 ChatGPT 或者其他 AI 工具会直接生成故事底稿,起承转合全部搞定。这时候我们就不再是作家,最多只能算个编辑。我担心终有一天,我们会因此彻底失去创意。

InfoQ:确实,这里头值得深思的东西很多。非常感谢,Eric,今天很高兴能跟你交流。

声明:本文为 InfoQ 翻译,未经许可禁止转载。

 活动推荐

在 AI 大模型技术如汹涌浪潮席卷软件开发领域的当下,变革与机遇交织,挑战与突破共生。2025 年 4 月 10 - 12 日,QCon 全球软件开发大会将在北京召开,以 “智能融合,引领未来” 为年度主题,汇聚各领域的技术先行者以及创新实践者,为行业发展拨云见日。现在报名可以享受 8 折优惠,单张门票立省 1360 元,详情可联系票务经理 18514549229 咨询。