编者按:GIJN在近期全球深度报道大会上发布了《调查有组织犯罪指南》系列,本文为该系列的摘录,主题是调查网络犯罪和暗网,作者 Kate Fazzini 是一名科技记者,在美国有线电视网美国消费者新闻与商业频道(CNBC)报道网络安全。
网络犯罪是指在数字领域实施的任何犯罪活动。虽然我们通常认为网络犯罪被定义为“黑客”,在这里是指未经授权进入某个数字环境,但网络犯罪还有许多其他类型,包括延伸到这个现实世界的犯罪。
从贩卖儿童色情制品,到银行内部人员更改客户的自动取款机信息并提取非法资金,再到窃取源代码,一切都属于网络犯罪的范畴。网络犯罪一旦成功实施,往往会暴露出对隐私侵犯的利用——例如,当一家公司没有合法加密个人信息,而数据被窃取时,这将构成公司对消费者隐私的侵犯,盗取数据者则构成网络犯罪。
网络犯罪造成的经济损失既是天文数字,也非常难以预测或计算。亿万富翁投资者巴菲特(Warren Buffett)过去曾评论说,他敦促自己的企业避开网络保险市场,因为没有足够的数据来预测可能会损失多少钱。这种难以界定的风险,与我们对自然灾害(如飓风或洪水)或其他犯罪活动(如银行抢劫或物理破坏)造成的金钱损失的理解形成鲜明对比。包括 McAfee、网络安全风险投资公司(Cybersecurity Ventures)、SANS 研究所和联邦调查局(FBI)在内的各种来源的粗略估计指出,网络犯罪给政府和企业造成的损失高达数万亿美元。
尽管我们安全议程前沿出现这种显著而迅速的变化,但网络犯罪集团的结构与企业界的惊人地相似。由地理或兴趣松散地联系在一起的小团体组成的犯罪“初创企业”可以蓬勃发展,互相窃取工具,互相竞争和合作,其所有行动都和硅谷企业相当的敏捷性和野心。更大型的罪恶组织则试图将包括亚洲、欧洲、非洲和美洲等地区的利益集团联合起来,利用集中的领导、表现得像人力资源高管的犯罪招募者,甚至虚拟客户服务台,让受害者打电话来学习如何建立比特币钱包,从而赚取金钱。
这种非法活动大多源于或发生在所谓的“暗网”,这是一个通常只能通过 Tor 浏览器访问的隐藏网络层。在任何一天,你都可以在暗网上“申请”工作,成为勒索软件机器人操作员、通过虚假搭客来清洗非法网络收益的优步(Uber)司机,或者是使用假借记卡从自动取款机上骗取现金的货币贩子。
发现网络犯罪的部分消息渠道
- 学术研究人员:许多大学设有监测和跟踪网络攻击的研究中心,可能提供有关具体案例的有用线索。其中美国卡内基梅隆大学(Carnegie Mellon)是这方面的佼佼者,也是美国计算机应急小组(Computer Emergency Response Team/CERT)的所在地,负责发布关键漏洞警报。英国剑桥大学有也有一个网络犯罪中心。
- 网络安全公司:像McAfee、Crowdstrike、Carbon Black、FireEye 这样的公司,以及大型云服务提供商亚马逊、微软和谷歌,都有许多专门的调查团队来监测最新攻击。让这些公司就他们所看到的攻击类型展开讨论,会更容易发现相关网络犯罪。然而要注意的是,他们是供应商,这些议题涉及他们的商业利益。这并不意味着他们不是专家,但要意识到因其中可能存在利益冲突,从而影响他们作出客观判断。这就是为什么,联系受到攻击的公司的网络安全人员,即使只能向他们了解到事件背景,也仍是很重要的,这能充实你对事件的理解。这些消息来源可能更难培养,却能为你的报道提供重要的视角。
- 政府机构/官员:仅在美国,至少有20个联邦部门和机构有专门负责网络犯罪的工作人员。国土安全部的网络安全和基础设施安全局(CISA)可能是对媒体最友好的机构,并积极推动公众参与。FBI 的网络犯罪部门则提供有价值和公正的统计数据,记者可用以充实其报道。特勤局和财政部也是可以考虑的消息来源。世界各国类似的政府机构也应该能够提供帮助。例如在英国,其国家网络安全中心设有一个与记者合作的媒体团队。欧洲刑警组织有自己的 European Cybercrime Centre(欧洲网络犯罪中心)。日本的National Center of Incident Readiness and Strategy for Cybersecurity (NISC,国家网络安全事件准备和战略中心)最近宣布建立一个专门办事处来处理网络犯罪问题。联合国也在起毒品和犯罪问题办公室下设有一个网络犯罪项目。
- 受害者:网络犯罪的受害者不一定是人,还有各种机构、团体、政府、社交媒体平台等。与他们交流,讨论他们遭遇网络攻击的经过是至关重要的。在报道网络攻击时,应包括联系受害者的尝试,以及/或者解释受害者(无论人或机构)拒绝置评的原因。要留心,我们对网络攻击的规模和损害的第一印象可能会产生误导。根据我的经验,通常一个开始看起来便很糟糕的事件可能根本不会对公司造成特别大的伤害,而其他一些最初看起来无关紧要的事件却极具破坏性。
报道资源
许多网络犯罪最终都会被诉诸美国法庭,刑事或民事诉讼皆有,因此网络安全新闻中最有价值的资源之一是美国法律数据库,PACER(基于你的搜索和文件类型会收取相应费用),即 Public Access to Court Electronic Records(开放予公众的法院电子记录)。阅读法律文件,特别是对国内外网络犯罪分子的起诉书,可以全面了解网络攻击,也能认识现有法律框架在起诉网络攻击方面的局限性。记者也应该学会使用 Shodan 搜索引擎,外行人可以通过它寻找对互联网开放的连接设备。
政府机构和网络安全公司,尤其后者,都可以成为重要合作伙伴,帮助揪出网络罪犯或从法律角度审查罪案。然而,记者也应时刻关注这些合作关系涉及的其他商业联系或利益冲突,来确保不会仅仅得到后者夹带私货的结论。网络安全公司通常很乐意与记者或其他公共服务项目合作,因为这能成为很好的宣传,但记者要注意在报道中披露公司的角色。
个案研究
Post-Soviet Bank Heist
这个故事并不是由新闻媒体发表,而是出自网络安全研究公司Trustwave。这份2017年的研究论文清楚地展示了,去拆解和解释网络犯罪,能如何帮助人们更好地理解这个复杂的世界。(可通过向 Trustwave 申请下载该论文)
Equifax 消费者数据泄露
这是我为 CNBC 所做的报道,讲的是美国最大的消费信贷机构之一发生的大规模数据泄露事件。我说服了一位“低层级”但身居要职的安全分析师,讲述他在 Equifax 泄漏中搜索大量被盗数据时遭遇的挫败。这次被泄露的数据未能在暗网或其他任何地方找到,这种情况有些不寻常,因为一般被盗数据会以某种方式被出售。在对于 Equifax 等事件的国会听证会上,议员还引用了这个报道。
NIST 密码故事
这是一个经典的《华尔街日报》报道,讲述了一名政府雇员的遗憾,他帮助创建了“包含字母、数字和符号”这一如今众人皆知(且厌烦)的密码设置要求。这个报道的重要意义在于,它从终端用户的角度将网络安全问题,与一些显示我们对网络安全普遍了解甚少的场景联系起来。
朝鲜黑客军团的崛起
这是《纽约客》一份详尽的调查报道,相对于剖析某一次黑客攻击的来龙去脉,该报道对世界上最大的网络犯罪实体之一——朝鲜政府支持的黑客军队做了特写。尽管“朝鲜侦察总局”(Reconnaissance General Bureau, RGB)这一名字看似平庸,但该组织是一只“多头”野兽,从勒索软件攻击到银行抢劫,再到盗窃加密货币全面出击。外界普遍认为他们是历史上最大胆的黑客攻击之一、2014年索尼电影公司攻击的幕后黑手。一份联合国报告显示,该组织的非法活动为其在全球获利20亿美元,其中大部分被用于朝鲜军队的武器计划。《纽约客》还将读者带入幕后,了解 RBG 如何在全球范围内招募人员并开展网络犯罪活动。
调查策略
传统犯罪和网络犯罪的主要区别在于三个关键领域:网络犯罪的实施者与传统罪犯相比有何不同,网络犯罪的受害者如何定义,以及对网络犯罪而言最关键的新问题是什么。
犯罪者
在传统犯罪中——无论我们谈论的是交通违规还是谋杀——犯罪者通常住在犯罪现场附近。对于与被指控的网络罪犯接触的规范,各国法律各不相同,但在可能的情况下,记者最好要拿到罪犯一方的叙述,无论案件多么微不足道。在美国,人们在被证明有罪之前都被视作是无辜的,那些不试图联系被告的记者是在玩忽职守。即使最终只能在报道中写入“无可奉告”、“多次尝试后仍无法联系到史密斯”或“米勒女士的律师拒绝置评”,也足够了。
如果没有明确的嫌疑人,例如是与帮派有关的暴力或种族犯罪,记者必须从警方和犯罪发生的社区收集关于犯罪人的信息。
然而,在网络犯罪报道中,这些机会很少出现。事实上,“被告”可能是在网上吹嘘犯罪的网络犯罪集团或个人;犯罪可能由外国政府在代理犯罪集团或个人的支持下进行,也可能是某个组织内某个政府的间谍所为,甚至可能是一名青少年从赫尔辛基的一个地下室发起的。
由网络安全公司 Recorded Future 发布的同名行业出版物,最近报道一个案例显示,106名意大利黑手党因涉及一系列网络犯罪活动被捕 ,其中包括 SIM 卡对换和商业电子邮件威胁(Buisiness Email Compromise/BEC)计划。SIM 卡对换涉及使用欺诈性 SIM 卡冒充个人电话,以双重认证银行账户登录并实施电汇欺诈;BEC 则通过电子邮件说服受害者电汇以骗取资金。根据 FBI 数据,这些犯罪往往相互关联,且每年造成数十亿美元的商业和个人损失。
然而,网络犯罪调查的性质意味着我们不太可能在攻击发生后立即知道任何关于攻击者的信息。而是可能需要几周、几个月,有时甚至几年的时间来确定袭击的来源国。这对报道犯罪的记者来说是不小挑战。面对犯罪实施者的模糊性,记者应该注意以下几点:
- 网络调查远非一门精确的科学。调查人员或专家声称,尤其是在事件发生后便称某个犯罪者可能参与其中,无论他们指出的是一个民族国家、一个“黑客”团体还是个人,通常都是错误的。这些说法应该谨慎对待。
- 网络犯罪分子会层层掩盖他们的身份,尤其是在复杂的攻击过程中。关于可疑犯罪黑客的初步信息有可能改变。记者应该注意告知读者调查可能需要的预期时间。
这使得从犯罪方寻找消息源变得异常困难。然而,我还是发现,让一个罪犯与你交谈,解释他们的观点,以及从他们的角度看犯罪行为,要比找到一个愿意说话的受害者容易得多。这就引出了下一个问题。
受害者
由于网络犯罪实施者的身份起初可能并不清楚,记者通常会很快将注意力转移到受害者身上——通常是一家缺乏同理心的公司或政府机构,由于他们对公民和消费者私人数据的保护存在实际或认识上的失误遭遇伤害,而可能引发公众的强烈抗议。
然而,记者要记住,这些实体是受害者,他们的员工可能会受到网络攻击的影响。受到攻击的公司的技术和安全员工可能会花费数月时间修复攻击,尤其是在恶意软件或勒索软件持续出现的情况下。曾有受害公司的技术员工报告出现了创伤后应激障碍(PTSD),有受害者则会在办公室连睡好几天,并会面临客户或同事的恶意骚扰和怪罪。
的确,一些公司在安全问题上存在疏忽,另一些公司则在关键的安全或技术角色上,在把钱花在哪里以及聘用谁的问题上做出了糟糕的选择。一些政府机构和非营利组织的管理方法很麻烦,并且依赖过时的技术。还有些公司尽管采取最新技术,实行负责任的管理,但犯了一个攻击者可以利用的错误。
然而,记者仍然经常模糊受害者和犯罪者之间的界限,这在传统的犯罪报道中是不可接受的。相反,了解受害者以及他们为什么会成为目标可以帮助我们理解犯罪。研究受害者的弱点是这一过程的一部分,但不应掩盖另一个实体实施犯罪的事实。
因此,报道网络犯罪需要细致入微的视角。虽然一名或多名罪犯的身份可能并不明显,但仍涉及犯罪因素。获取有关参与攻击的个人或实体或国家的情报应该是网络犯罪记者的持续责任,就像执法人员和其他调查人员的责任一样。
此时,扎实溯源最为重要。要了解一次网络攻击如何发生,记者应该尽最大努力从最接近这次攻击的人那里获取事实,甚至是背景信息,这些人可以解释攻击意味着什么以及相关应对意味着什么。这些信源很难培养,要说服一名公司职员在可能违背他的雇佣协议的情况下发声是很困难的,而要说服资深安全员工就更难了,他们十之八九试图不因机密信息与记者纠缠在一起。
但记者应该努力建立最接近突破口的个人圈子并与其中者联系。如果唯一可以发表评论的专家来自外部,对事件没有直接了解,记者应该更倾向于选择网络安全从业者,而不是最近没有站在战壕里的理论家或学者。这里的从业者,指的是在过去12个月内,担任某种类型的网络安全角色的工作者。
外部世界
网络安全报道与传统犯罪报道的另一个不同之处,在于外部世界对于认识某种犯罪的相对重要性。
报道网络安全事件的记者需要了解事件本身中的所有国内和国际参与者,以便让读者全面了解事件的主题。
一个很好的例子是,最近一个得克萨斯州镇上发生勒索软件事件,事件的利益相关方在撰写有关该事件的白皮书时,吸纳了得克萨斯州 A&M 大学(包括志愿者)、当地的 FBI 办公室、特勤局(由于涉及电汇欺诈)、国土安全部和一家位于华盛顿的网络事件响应公司。由于该公司从事石油和天然气行业,归沙特阿拉伯所有,因此也向当地派出了调查人员。沙特团队发现了一个位于法国的工序处理工程软件中的缺陷,促使欧盟和法国政府的国家网络安全局联手开始调查。因此,这一明显孤立发生在美国西南部的黑客事件,引发了美国、沙特阿拉伯以及任何使用这一法国软件的国家或公司的国家安全担忧,也成为对欧盟采取更强有力执法措施的考验。
我的最后一个建议是,在全球利益相关者中培养信源对于报道网络安全问题至关重要。有一个故事我仍然很遗憾没有更好地报道,那就是美国总统候选人希拉里(Hillary Clinton)在2016年竞选时遭到的黑客攻击,与一年后当选的法国前总统马克龙遭遇的网络攻击之间的差异。我们非常了解俄罗斯对美国大选的渗透,但却从未了解俄罗斯人为何无法有效破坏马克龙的竞选。
这在很大程度上与马克龙的网络安全主管有关,后者使用了创新的技术手段来预测俄罗斯的虚假信息并积极应对。其中包括在马克龙的竞选团队发现被黑客攻击的电子邮件中植入虚假信息,从而使他们能够轻松地公开否定整个行动。如果我能够在法国政府和竞选团队中培养更深层次的关系,从而写出更全面的故事,解释美国在选举安全方面犯下的错误,这些错误无需重复。期待正在阅读这篇文章的你会写出这样一个故事。
Kate Fazzini 是为美国消费者新闻与商业频道(CNBC)报道网络安全的科技记者,也是2019年著作“Kingdom of Lies: Unnerving Adventures in the World of Cybercrime”的作者。她拥有乔治华盛顿大学网络安全战略硕士学位,是乔治城大学应用情报项目的兼职教授。