《网络安全知识体系》

对抗行为（二）：

对手的特征及网络支持和网络依赖犯罪

1 对手的特征

在本节中，我们将介绍执行恶意操作的对手的特征。这种定性是基于他们的动机（例如，财务，政治等）。虽然存在替代的特征和分类（例如，来自心理学领域），但我们认为这里介绍的那个最能说明已知攻击者的设置成功的恶意操作（如金融恶意软件企业）所需的功能和工具。这种描述也遵循了近几十年来网络犯罪的演变，从由单个罪犯进行的临时行动到商品化的生态系统。各种专业演员以有组织的方式一起行动。本节中介绍的特征是由案例研究和研究文献中涵盖的突出例子驱动的，因此并不意味着完成。例如，我们不关注意外犯罪者（例如，无意的内部威胁），也不关注缺乏严谨学术文献的犯罪行为（例如，对金融机构的攻击或供应链攻击）。然而，我们认为，所介绍的一系列犯罪和恶意活动是全面的，足以描绘出对抗行为的代表性图景。在撰写本文时，它们发生在野外。我们首先定义了文献中定义的两种类型的网络犯罪，即网络犯罪和依赖网络的犯罪，我们继续介绍研究人员已涵盖的不同类型的恶意活动。

互联网对恶意活动的主要影响之一是增加了现有犯罪的范围，使其易于有效地接触到受害者。消除了受害者和罪犯之间物理接近的需要。在文献中，这些犯罪通常被称为网络犯罪。

1.使用互联网，更容易找到和联系受害者。电子邮件列表在地下市场出售，而在线社交网络则嵌入了搜索功能，使犯罪分子可以轻松识别潜在的受害者。

2.通过使用互联网，犯罪活动可以更便宜地运行。发送电子邮件是免费的，而诈骗者以前必须支付邮资才能接触到受害者。这也使犯罪分子能够将其行动规模扩大到以前无法想象的规模。

3.与物理对应物相比，互联网允许犯罪执行得更快。例如，电子邮件可以在几秒钟内到达受害者，而不必等待物理信件被送达。

4.使用互联网，可以更轻松地跨越国际边界，接触到位于其他国家的受害者。在这种情况下，通常唯一的限制是语言，犯罪分子只针对说他们熟悉的语言的受害者（例如，英语国家的人）。

5.通过互联网操作，犯罪分子更难被抓住。这主要是由于网络犯罪的跨国性质，以及协调不同国家适当法律的问题远未得到解决。此外，研究表明，在线犯罪往往报告不足，这既是因为受害者不知道该向谁报告（因为犯罪者可能是位于另一个国家），以及他们认为自己不太可能拿回钱的事实。

另一方面，依赖于网络的犯罪是只能使用计算机或技术设备实施的犯罪。虽然这类犯罪的最终目标在现实世界中往往有相似之处（例如，敲诈勒索、身份盗窃、金融欺诈），但互联网和技术通常使犯罪分子能够为这些犯罪赋予新的形式，使得他们大规模的有组织的努力能够接触到数十万甚至数百万的受害者。

在本节的其余部分，我们将详细分析一些支持网络和依赖网络的犯罪计划。