公开招聘内鬼：暗网上最受欢迎的6大行业

Red Goat Cybersecurity合伙人Lisa Forte表示，内部威胁影响了许多全球品牌，其中最值得注意的是某家大型医疗保健公司，一名员工从其CRM系统中窃取了50多万客户的数据，并试图在暗网上出售。同样性质的事件发生在2021年，当局指控了某家大型电信公司的员工，这名员工向威胁行为者提供SIM卡交换，每次合作都能赚取500美元。

当然，出于意识形态或自由意志，内部人员也会主动分享敏感或专有数据。比如最近发生的这件数据泄露事件，两名特斯拉员工向一家德国报纸泄露了有关自动驾驶功能的数据，其中还包括了75000名特斯拉客户的个人信息。

其他还有：

2022年8月，推特员工Ahmad Abouammo被定罪。案件中，他接受了贿赂，用个人名义访问、监控推特用户的私人信息，并将其传递给沙特阿拉伯王国和沙特王室的官员。

2022年7月，前中情局雇员约书亚·舒尔特（Joshua Schulte）被定罪，他利用在中情局的权限访问了他国一些最有价值的情报收集工具，并秘密收集相关材料还将其提供给了维基解密（WikiLeaks）。

2022年6月，前美国陆军直升机飞行员，后转职为民用承包商的沙普·莫伊尼安（Shapour Moinian）认罪。案件中表示，他接受了中国政府代表所提供的数千美元，以向其国防承包商雇主提供航空相关信息。

Forte指出，由于在暗网进行相关交易时都是匿名的，所以对网络犯罪分子来说，想“招聘”到企业内鬼并不是多困难的事。而在经济下行的时代里，人人都想获取更多的钱财，所以会有大量的员工成为潜藏的内部威胁。

只国内外法规环境而言，并不是说内部威胁的犯罪成本特别低，而是内部人员通常会隐藏他们的意图或恶意活动，无论是暗网，还是相应的黑灰产工具，都为他们提供了良好的掩护，因此才让现实情况看上去，内部威胁的执行成本相对较低。

Forte表示，内部威胁影响着各行各业的组织，因为根据定义，内部人员通常是组织最信任的群体，比如合同工、IT管理员、律师、学者、合作伙伴和高管，为了推动组织业务，很多访问权限是不得不下发给他们的，但没想到的是，在互联网环境越发复杂的当下，无论是第三方承包商，还是现任或前任员工，他们都有可能变成让企业痛恨的内鬼。

国外安全研究人员发现，网络犯罪组织倾向于“招募”这两个常见的群体：1、在访问或管理系统方面有很多特权的群体。2、以动机为导向的群体。通常，呼叫中心的员工或零售业的员工会因低工资而成为黑客招募的目标，以客户信息额外赚取1000到2000美元是非常具有吸引力的，尤其是在接下去这经济下行的十年里。

另一方面，Forte认为，想要去预测人类行为几乎是不可能的事。或者说，没有人加入一家公司的目的就是为了成为内鬼，而随着个人环境的变化，员工可能会被说服成为威胁行为者的内线。因此，虽然有些人的动机是贪婪、愤怒或其他意识形态，但更多的是环境的变化引起了人的变化。这是需要组织重点关注的。

而在招募内鬼方面，威胁行为者会使用各种策略，他们可以使用勒索和胁迫手段从员工那里勒索到他们想要的信息，但根据国外研究人员的调查，他们发现暗网上大多数的内鬼都是通过经济奖励招募而来。

Forte指出，在大多数情况下，内鬼会将可掌控的数据量保持在最低限度，并尽快和威胁行为者取得联系，以实现远程访问。这也使得内鬼招募变得更加容易，并同时能将被抓住的风险降至最低。

国外调查发现，在过去的一年里，地下论坛和Telegram上有数百条帖子在招募内鬼，其中的招募范畴还包括了一些知名的世界品牌公司，如亚马逊、Meta、沃尔玛、大通、PayPal、AT&T和Verizon。

Forte表示，所呈现出的行业优先级和想象中的不同。一般来说，金融服务业是暗网上“最受欢迎”的行业，因为参与者都有经济动机。然而，当涉及到内幕欺诈时，金融服务业的排名要低得多。这可能包含几个原因，首先是因为金融行业员工们的工资相对较高，同时金融业对欺诈活动的制裁要严厉得多，因此这些员工可能不太愿意承受被解雇或被诉讼的风险。

其次，欺诈性金融交易的风险要高于零售业，银行在审查员工和嵌入反欺诈措施方面投入了大量资金，比如他们会要求对一些交易进行多次签准，并自动标记可疑活动。因此在金融业进行恶意活动的风险和成本会远高于其他行业。同时，在零售或运输行业进行恶意活动的概率通常远小于金融业，因此，这些行业的公司可能不具备严格的安全措施。

Forte表示，目前而言，对威胁行为者来说，电信可能是最受他们欢迎的行业。其目的很明确：电信员工可以为“SIM交换”提供便利，攻击者可将受害者的电话号码移植到他们所拥有的SIM卡上。而一旦攻击者控制了受害者的电话号码，他们就可以进行多次攻击，例如拦截通过短信发送的一次性密码或接管与该号码相关的加密钱包。

移植电话号码是商店员工会进行的常规业务流程。因此，找到一个执行未经授权端口的人可能相对容易，这可能涉及接近员工、提供报酬，甚至出示一些假身份证以获得合理的服务。

从国外的研究报告来看，有相当数量的地下帖子在讨论内部人员是如何进行SIM交换的。而除了SIM卡交换外，威胁行为者还向电信内部人士寻求凭据、客户数据和一般信息。

国内，近日里也出现了类似的事件。9月25日，记者从湖北省随州市公安局曾都区分局了解到，某通信公司高管和员工利用职务便利大量售卖手机虚拟卡，为境外赌博网站引流，吸引网民参与跨境赌博、浏览色情网站。历经8个多月的全力侦查，湖北警方最终铲除相关犯罪链条，并揪出通信公司“内鬼”。在湖北省公安厅指挥下，当地警方侦破了这起涉“两卡”犯罪案件，捣毁11个为上游赌、诈、黄犯罪集团提供群发短信的窝点，抓获嫌疑人42名、收缴涉案虚拟手机卡8.5万余张。

国内安全专家对此补充，虚假信息开户也是欺诈活动之一。按正常流程要求，运营商对用户的入网激活非常严格，尤其对于批量开户或后付费用户的申请有着更严格的审批流程。如果有些工作人员在办理时没有严格按照相关流程规定，对入网材料缺失、材料虚假不予以核查，这就为欺诈者提供更方便的入网激活服务。欺诈分子利用虚假信息开户并实施恶意欺诈后，运营商也无法通过开户登记的信息有效地追踪用户 (如追缴话费等)。

同时，还有数据侵入破坏隐私。用户在使用服务的时候，其通话记录、地理位置信息均可以在网络层面实时查到。如果此信息未做好管理，在网络上维护的内部人员就可以实时查询到用户数据，透露用户隐私，比如实时位置信息相关的BSC、BTSVLR等，更恶劣的情况是可以对通话进行拦截、侦听，以达到非法的目的。

Forte表示，在零售业里，威胁行为者通常会寻找内部人员以获取免费商品。他们可以利用的一种常见模式是退款欺诈，也称为退款，即行为者对某产品发起不当退款。

实施此类攻击的方法有很多，其中包括上报称所收到的盒子是空的或商品受损，或者直接退回一个空盒子。而这种欺诈方法的核心目标是需要说服员工相信这一情况，如果目标员工已经心甘情愿的成为了帮凶，那么进行虚假退货就会容易得多。

Forte说，一些威胁行为者直言不讳地表示，他们在大量寻找这样的组织内鬼以实施退款欺诈，毕竟这对双方而言是双赢的局面。比如，一名行为者许诺为负责沃尔玛或其他零售商退货的内部人员提供5000美元。

威胁行为者招募航运和物流领域的内部人员，主要是为了执行欺诈性跟踪扫描，他们会在UPS和其他快递公司寻找内部人员进行扫描。

Forte解释说，内部扫描是退款骗局中的另一种技巧。在这个方案中，参与者会请求将商品退回线上商店，而运输公司的一名同伙会扫描运输标签，向零售商确认物品正在运输中，这样零售商就会退款，但永远收不到包裹。同时，欺诈者还可以使用内部扫描和快递内鬼进行简单地配合，以“运送”一个已经消失的包裹，从而达成索赔的目的。

银行或其他金融服务公司的内部人员可能是大型欺诈计划的必要环节。威胁行为者可利用银行内部人员进行批准付款或汇款等操作，以达到转移或洗钱的目的。比如某案件中，有威胁行为者声称其在Metro、Santander和Barclays有内线，可批准高达90000-GBP200000英镑的付款，而且这些付款看起来都是合法的，并不需要销毁账户。

该名威胁行为者甚至指出，他们曾试图部署FASTCASH恶意软件。Forte解释说，FASTCASH恶意软件可使得ATM弹出现金，最初其被认定为是朝鲜国家的高级持续威胁（APT）“隐藏眼镜蛇”。如果这些威胁行为者能成功访问SWITCH应用程序服务器，他们将得到非常可观的现金收入。

从网络犯罪到间谍活动，国外研究人员还发现了几条邀请政府员工提供信息的帖子，内鬼们可以提供国家公民数据库来协助威胁行为者。现实证明，某威胁行为者就寻求过法国政府的内部人员来提供公民数据。

Forte指出，其中还有寻求能够提供机密信息的威胁行为者。例如，某家自称“情报分析”的公司，其在多个论坛和暗网网站上发帖，表示愿意提供1000至2000美元的查找费，用于买到美国军事承包商的内部人员信息。

相应的，还有人声称要出售16组政府机密数据，其包括雷神和Elbit等国防制造商的专有数据。该帖子还列出了一份关于“五眼”秘密军事演习的文件，价值300美元，并指出该文件是由一名知情人士所提供。

Forte对此强调，要求内部人士提供机密信息的帖子很少，因为法律对此类活动的惩罚是严厉的，但即便如此，内部人员在暗网上泄露机密信息也并非没有。就在近日，一名马萨诸塞州国民警卫队队员被控在Discord服务器上发布机密文件。

在国内，像这样极为罕见的案例也出现过。2022年4月，“境外公司谎称调研窃取我国高铁数据”的话题冲上热搜。案件中，上海某信息科技公司员工王某利用职位之便，通过勘验相关的电子设备，向境外势力提供我国大量的高铁数据，其行为涉嫌《中华人民共和国刑法》第111条规定的为境外刺探、非法提供情报罪。

而根据Forte的说法，像这种泄露机密文件的案件，更常见的情况是关于企业或工业间谍的，其中像企业知识产权被盗并交给竞争对手的案例是较为常见的，且这些行为往往存在着跨国。Forte说：“然而这些案件并不涉及政府的‘间谍’，而是涉及那些想赚钱或想讨好公司的竞争对手以获得相关利益的员工。”

同时他还补充道，即使工资单上的外国间谍是一种罕见的内部威胁，企业和员工也必须了解这种风险以及这些风险背后的操作方法，以便他们能够及时地识别出间谍。很多情况下，当企业中的工作人员被诱骗获取商业机密时，他们往往都会认为自己只是参加了一个和企业毫不相干的商业会议，他们并不能意识到自己正在上当受骗，这是企业需要引起警惕的。

员工可能对组织构成各种内部威胁，但大多数员工都不是恶意的，组织应该信任他们，给他们能够访问执行任务所需的数据和系统。Mandiant内部威胁管理董事乔恩·福特（Jon Ford）说过：“无意的威胁包括了粗心的内部人员，他们在大多数研究和学术活动中经常会被忽视，甚至不被包括在内部威胁的定义中，而这往往是安全问题上的主要缺陷，因为谁都有可能因为忽视而造成安全事件，‘无意威胁’的载体是庞大的，所以在基数更大的群体中更容易突发安全事件。就像大多数研究所表明的那样，粗心的内部人员才是造成50%至75%内部威胁事件的罪魁祸首。”

根据《2023年Verizon数据泄露调查报告》，内部人员已经实施了约19%的已知数据泄露，虽然无法确定这些攻击中有多少源于实实在在的内鬼，但公司仍可以采取以下几种做法来保护自己：

Forte表示，内鬼会严重影响企业的运营、财务、网络安全和品牌，其远不止是一个“IT问题”，甚至可能是“安全团队问题”。“合适的组织防御需要技术和非技术参与者之间的互相协调，从SOC到HR，都要以确保公司的网络安全为首要目标。同时各组织必须确定哪些员工可能是威胁行为者的招募对象，并实施严格的监控和控制，以消除来自企业内部的威胁。”

国内安全专家对此表示同意，并补充道，在面对内部威胁时需要制定明确简明的安全策略及方案、程序管理要求、访问机制、明确用户责任和安全事件应急响应程序。营造浓厚的网络安全文化，和各个相关部门尽可能沟通并强调安全的重要性。或周期性的对所有员工进行安全意识教育，提高企业整体网络安全、数据安全保护意识，增强个人安全保护基本技能。

而某A+H股上市公司信息安全负责人孙琦曾说过：“信息安全工作的特点决定了它是一个持续性的工作，从‘意识到安全’，再到‘需要安全’，这便是一条不断进行自我变革的道路。为了实现安全目标，我们往往会借助现有的各种方法论和成熟的实践经验，但我觉得真正的安全就像一副被老中医亲自把脉后开出的方子，看似大部分的成分是一样的，但服药人的效果却因人而异，因为其讲究的是一个专人专药方。我前面提到的持续安全考核，即把安全培训作为常态化的考核内容落实到日常工作中去，培养安全意识远比培养技能要难得多，正因如此，我们更需要在这方面增加投入，通过技术+管理的有效组合，才能有效地处理‘内部威胁’。”

“三分技术，七分管理”，此概念在内部威胁上有着极其显著的运用。说到底，防止内部威胁就是做好各层面的员工管理，技术只是其中的一些必要环节，更重要的是从精神、感情和意识上予以价值和认知。古话有言“只有千日做贼，哪有千日防贼”，虽然谁也无法预测个人的行为趋势，但底层逻辑是死的，人和人之间或说人和环境之间一定是相互的，怎样的环境就会培养出怎样的感情，而感情、情绪才是促使员工去实施具体行为的源动力。

所以，国内安全专家曾说，作为CISO/CSO，常常去关心员工的心理状况是一件值得做的事，对企业而言，员工不是工具，他们永远不可能只按程序、系统日复一日的工作，却不夹杂任何的私人感情。所以所谓的内部威胁，其实最后都是“管理制度”、“企业文化”、“社会环境”的负面产物，“若人人都是幸福的，谁又愿意犯罪呢？”这话无论在哪个时代都值得人们深思。而对企业来说，“吸引”员工工作或是一个不错的选择。