网络犯罪“内鬼难防”局面如何突破

如果您认为网络犯罪就是利用网站的安全漏洞,窃取网站用户名和密码,然后放到暗网中销售,那这个理解就太偏狭了。从广义上讲,网络犯罪是指借用互联网科技手段实施的犯罪。相比较传统的犯罪手段,利用网络实施犯罪具有更为隐蔽、传播速度更为迅速的特点。

为什么犯罪的手段也越来越“网络化”、“科技化”呢?这和网络越来越普及,科技越来越亲民有关,人们常说网络是一把双刃剑,网络给遵纪守法的人们带来便利,也给铤而走险的犯罪分子带来便利。然而网络对人类毕竟利大于弊,我们也不能因为有人吃饭噎死了,就想让天下人都不吃饭。无疑,我们应该趋利避害,引导社会大众积极利用网络,遏止社会大众恶意利用网络。

关于网络犯罪,现实很严峻,“黑产”的盛行,显示出团伙式、集团式的网络犯罪已成气候,这是人类肌体中的毒瘤,如果不及时切除,任其发展和蔓延,无疑将危害到网络世界的健康发展。要说,随着信息科技的不断发展,网络安全保护措施也在不断升级,各种新型的防护措施争相上阵,为网络犯罪上了一道道强有力的“锁”。为什么仍然会出现团伙式、集团式的“黑产”状况呢?昆明亭长朗然科技有限公司网络犯罪研究员董志军说:问题不在技术层面,有管理就有漏洞,这也是亘古不变的真理。如下给您一些简要的分析:

其一,所有的安全技术防护措施都需要人来实施和使用,人是最为复杂、善变和不宜控管的。网络犯罪集团由复杂的利益链组成,不管是有意无意、直接间接、主动被动,人人都可能成为这个链条的一部分。在利益面前,躲避、突破和忽视安全技术防护措施是人之常情,对于这些人而言,他们甚至都不知晓自己的行为是在犯罪,更不知道自己位于网络犯罪产业链的末端。

其二,网络犯罪集团在经历一次次挫败后,变得越来越狡猾,他们改变了传统的发展方式,减少中间环节和涉案人员,以降低被警方发现的概率,逃避法律惩处。在强大的安全技术防范体系面前,通过正面战场,犯罪集团往往难以突破。于是,通过各种关系,积极发展“内线”便成了网络犯罪集团的生意之道。

其三,内部人员主动通过网络实施犯罪, 有言道“外贼易挡,内鬼难防”,内部网络犯罪人员往往专业性很强,文化程度较高,他们熟知内部运作方式及各个环节的特点,犯罪活动策划周密。即使不被外部犯罪分子拉拢、腐蚀和实施共同犯罪,也很有可能借助内部的管理漏洞,使得犯罪行为不易暴露。

“内鬼难防”局面如何突破呢?昆明亭长朗然董志军表示:管理的问题,自然仍需通过管理手段来解决。在管理制度、风险防范、职业道德教育等方面存在的问题,别指望实施一些安全技术措施就可彻底解决。在网络上放再多的监控探头,网监队伍中出现“内鬼”也是一点用都没有,反倒可能给网络犯罪提供了更大的方便。没有健全的安全管理制度,什么大数据、人工智能等高科技……根本无法落地,至少效果不佳。没有足够的职业道德教育,在金钱等各种利益的收买面前,谁都会轻易拜倒。

说到底,应对网络犯罪“内鬼难防”,不仅仅能怪犯罪分子的“坏基因”,我们更应该反省我们的安全风险管控制度是否有漏洞,我们对内部人员的安全意识和职业道德方面的教导够不够。人类的思想是相通的,人人都有“善细胞”和“坏基因”,中国文化、中国教育的核心是让人们能控制好自己,不仅能去“弃恶行善,端正心念”,还能去教人“行善弃恶”。昆明亭长朗然科技有限公司致力于“行善”和教人“行善”,我们在安全、保密、与合规意识教化方面多年耕耘,助力于企业级客户对受众进行安全意识相关的“正念”教育。欢迎有需求的客户联系我们洽谈业务合作。

电话:0871-67122372

手机:18206751343

微信:18206751343

邮箱:info@securemymind.com

QQ:1767022898

请小心参加社交媒体调查

社交网络媒体近年来非常热火,不少公司开立了VIP帐户用于宣传公司的产品和服务,甚至进行在线客户支持服务,也有不少大型公司纷纷鼓励员工开通个人帐户,力图将所有员工者打造成公司战略品牌的网络行销专员。

同时,也有网络犯罪份子看到了这一点,他们受雇佣于各大市场调查公司、商业间谍公司或竞争对手,利用社交网络的便利和多数公司员工的热心及好客心态,积极套取各类机密商业信息。

拿微博为例,除非特别进行私密设置,微博的内容对任何有帐户的其他人都是公开的,网络犯罪份子可以通过微博历史记录,分析和研究员工的兴趣爱好、消费倾向和详细身份。再加上近期微博推行实名制身份认证,更是协助网络犯罪份子轻松发现和定位目标公司的员工。

犯罪份子发动攻击的最常见的手法包括社交工程攻击,即伪称是客户或其它可信的职能机构人员,通过私信等方式向目标套取敏感信息。一旦不能得逞,转而旋即采取其它曲线方式,常见的便是设置调查问卷,策划抽奖活动,引诱目标员工填写在线调查表。

您有没有收到过类似的邀请,让您填写一些信息便有机会获得大奖呢?您有没有停下来好好想一想有多少人会参与,又有多少人能真正获得奖励呢?有没有想一想他们为什么要这些信息呢?有了这些信息,他们会做什么用处呢?

如果您是公司信息安全管理负责人,您认为公司的员工在遇到这种情况时,会不会也停下来想一想这些问题呢?

您可能会感到震惊,员工们参加调查问卷时不过想得到些奖励或回报罢了,可能根本没有兴趣或意识去想这么多,而他们所填写的内容几乎类似于人与人之间的随意沟通,是再智能的网络信息安全系统也无法完全识别和有效阻止的。

唯有的一种方法是加强员工的安全意识教育,让员工们能够了解到社交网络中存在的安全威胁,如何识别这些安全威胁和进行有效的应对。简单的针对于社交媒体调查方面,让员工们在“大奖”的诱惑面前能驻足思考,问一问自己上述几个问题,有一点点疑问或者怀疑有诈的时候能够及时罢手,并且立即报告公司安全服务团队。

昆明亭长朗然科技有限公司的安全培训顾问Bob Xue说过:公司需要让员工们知道:“真正出于保护客户隐私和安全的市场调查不会收集任何受访人员的私人信息,这些私人信息如姓名、邮箱、公司名称、详细地址和联系电话等等”。

在鼓励员工使用社交媒体工具帮助推广宣传公司的时候,公司安全管理负责人员要确保员工接受基本的社交网络安全使用教育,防止网络犯罪份子通过社交媒体发起“网络调查”来窃取公司机密。