圖片: Sora Shimazaki / Pexels
編者按:GIJN在近期全球深度報道大會上發布了《調查有組織犯罪指南》系列,本文為該系列的摘錄,主題是調查網絡犯罪和暗網,作者 Kate Fazzini 是一名科技記者,在美國有線電視網美國消費者新聞與商業頻道(CNBC)報道網絡安全。
網絡犯罪是指在數字領域實施的任何犯罪活動。雖然我們通常認為網絡犯罪被定義為“黑客”,在這裡是指未經授權進入某個數字環境,但網絡犯罪還有許多其他類型,包括延伸到這個現實世界的犯罪。
從販賣兒童色情製品,到銀行內部人員更改客戶的自動取款機信息並提取非法資金,再到竊取源代碼,一切都屬於網絡犯罪的範疇。網絡犯罪一旦成功實施,往往會暴露出對隱私侵犯的利用——例如,當一家公司沒有合法加密個人信息,而數據被竊取時,這將構成公司對消費者隱私的侵犯,盜取數據者則構成網絡犯罪。
網絡犯罪造成的經濟損失既是天文數字,也非常難以預測或計算。億萬富翁投資者巴菲特(Warren Buffett)過去曾評論說,他敦促自己的企業避開網絡保險市場,因為沒有足夠的數據來預測可能會損失多少錢。這種難以界定的風險,與我們對自然災害(如颶風或洪水)或其他犯罪活動(如銀行搶劫或物理破壞)造成的金錢損失的理解形成鮮明對比。包括 McAfee、網絡安全風險投資公司(Cybersecurity Ventures)、SANS 研究所和聯邦調查局(FBI)在內的各種來源的粗略估計指出,網絡犯罪給政府和企業造成的損失高達數萬億美元。
儘管我們安全議程前沿出現這種顯著而迅速的變化,但網絡犯罪集團的結構與企業界的驚人地相似。由地理或興趣鬆散地聯繫在一起的小團體組成的犯罪“初創企業”可以蓬勃發展,互相竊取工具,互相競爭和合作,其所有行動都和硅谷企業相當的敏捷性和野心。更大型的罪惡組織則試圖將包括亞洲、歐洲、非洲和美洲等地區的利益集團聯合起來,利用集中的領導、表現得像人力資源高管的犯罪招募者,甚至虛擬客戶服務台,讓受害者打電話來學習如何建立比特幣錢包,從而賺取金錢。
圖: Shutterstock
這種非法活動大多源於或發生在所謂的“暗網”,這是一個通常只能通過 Tor 瀏覽器訪問的隱藏網絡層。在任何一天,你都可以在暗網上“申請”工作,成為勒索軟件機器人操作員、通過虛假搭客來清洗非法網絡收益的優步(Uber)司機,或者是使用假借記卡從自動取款機上騙取現金的貨幣販子。
發現網絡犯罪的部分消息渠道
- 學術研究人員:許多大學設有監測和跟蹤網絡攻擊的研究中心,可能提供有關具體案例的有用線索。其中美國卡內基梅隆大學(Carnegie Mellon)是這方面的佼佼者,也是美國計算機應急小組(Computer Emergency Response Team/CERT)的所在地,負責發布關鍵漏洞警報。英國劍橋大學有也有一個網絡犯罪中心。
- 網絡安全公司:像McAfee、Crowdstrike、Carbon Black、FireEye 這樣的公司,以及大型雲服務提供商亞馬遜、微軟和谷歌,都有許多專門的調查團隊來監測最新攻擊。讓這些公司就他們所看到的攻擊類型展開討論,會更容易發現相關網絡犯罪。然而要注意的是,他們是供應商,這些議題涉及他們的商業利益。這並不意味着他們不是專家,但要意識到因其中可能存在利益衝突,從而影響他們作出客觀判斷。這就是為什麼,聯繫受到攻擊的公司的網絡安全人員,即使只能向他們了解到事件背景,也仍是很重要的,這能充實你對事件的理解。這些消息來源可能更難培養,卻能為你的報道提供重要的視角。
- 政府機構/官員:僅在美國,至少有20個聯邦部門和機構有專門負責網絡犯罪的工作人員。國土安全部的網絡安全和基礎設施安全局(CISA)可能是對媒體最友好的機構,並積極推動公眾參與。FBI 的網絡犯罪部門則提供有價值和公正的統計數據,記者可用以充實其報道。特勤局和財政部也是可以考慮的消息來源。世界各國類似的政府機構也應該能夠提供幫助。例如在英國,其國家網絡安全中心設有一個與記者合作的媒體團隊。歐洲刑警組織有自己的 European Cybercrime Centre(歐洲網絡犯罪中心)。日本的National Center of Incident Readiness and Strategy for Cybersecurity (NISC,國家網絡安全事件準備和戰略中心)最近宣布建立一個專門辦事處來處理網絡犯罪問題。聯合國也在起毒品和犯罪問題辦公室下設有一個網絡犯罪項目。
- 受害者:網絡犯罪的受害者不一定是人,還有各種機構、團體、政府、社交媒體平台等。與他們交流,討論他們遭遇網絡攻擊的經過是至關重要的。在報道網絡攻擊時,應包括聯繫受害者的嘗試,以及/或者解釋受害者(無論人或機構)拒絕置評的原因。要留心,我們對網絡攻擊的規模和損害的第一印象可能會產生誤導。根據我的經驗,通常一個開始看起來便很糟糕的事件可能根本不會對公司造成特別大的傷害,而其他一些最初看起來無關緊要的事件卻極具破壞性。
插畫: Ann Kiernan
報道資源
許多網絡犯罪最終都會被訴諸美國法庭,刑事或民事訴訟皆有,因此網絡安全新聞中最有價值的資源之一是美國法律數據庫,PACER(基於你的搜索和文件類型會收取相應費用),即 Public Access to Court Electronic Records(開放予公眾的法院電子記錄)。閱讀法律文件,特別是對國內外網絡犯罪分子的起訴書,可以全面了解網絡攻擊,也能認識現有法律框架在起訴網絡攻擊方面的局限性。記者也應該學會使用 Shodan 搜索引擎,外行人可以通過它尋找對互聯網開放的連接設備。
政府機構和網絡安全公司,尤其後者,都可以成為重要合作夥伴,幫助揪出網絡罪犯或從法律角度審查罪案。然而,記者也應時刻關注這些合作關係涉及的其他商業聯繫或利益衝突,來確保不會僅僅得到後者夾帶私貨的結論。網絡安全公司通常很樂意與記者或其他公共服務項目合作,因為這能成為很好的宣傳,但記者要注意在報道中披露公司的角色。
個案研究
Post-Soviet Bank Heist
這個故事並不是由新聞媒體發表,而是出自網絡安全研究公司Trustwave。這份2017年的研究論文清楚地展示了,去拆解和解釋網絡犯罪,能如何幫助人們更好地理解這個複雜的世界。(可通過向 Trustwave 申請下載該論文)
Equifax 消費者數據泄露
這是我為 CNBC 所做的報道,講的是美國最大的消費信貸機構之一發生的大規模數據泄露事件。我說服了一位“低層級”但身居要職的安全分析師,講述他在 Equifax 泄漏中搜索大量被盜數據時遭遇的挫敗。這次被泄露的數據未能在暗網或其他任何地方找到,這種情況有些不尋常,因為一般被盜數據會以某種方式被出售。在對於 Equifax 等事件的國會聽證會上,議員還引用了這個報道。
NIST 密碼故事
這是一個經典的《華爾街日報》報道,講述了一名政府僱員的遺憾,他幫助創建了“包含字母、數字和符號”這一如今眾人皆知(且厭煩)的密碼設置要求。這個報道的重要意義在於,它從終端用戶的角度將網絡安全問題,與一些顯示我們對網絡安全普遍了解甚少的場景聯繫起來。
朝鮮黑客軍團的崛起
這是《紐約客》一份詳盡的調查報道,相對於剖析某一次黑客攻擊的來龍去脈,該報道對世界上最大的網絡犯罪實體之一——朝鮮政府支持的黑客軍隊做了特寫。儘管“朝鮮偵察總局”(Reconnaissance General Bureau, RGB)這一名字看似平庸,但該組織是一隻“多頭”野獸,從勒索軟件攻擊到銀行搶劫,再到盜竊加密貨幣全面出擊。外界普遍認為他們是歷史上最大膽的黑客攻擊之一、2014年索尼電影公司攻擊的幕後黑手。一份聯合國報告顯示,該組織的非法活動為其在全球獲利20億美元,其中大部分被用於朝鮮軍隊的武器計劃。《紐約客》還將讀者帶入幕後,了解 RBG 如何在全球範圍內招募人員並開展網絡犯罪活動。
調查策略
傳統犯罪和網絡犯罪的主要區別在於三個關鍵領域:網絡犯罪的實施者與傳統罪犯相比有何不同,網絡犯罪的受害者如何定義,以及對網絡犯罪而言最關鍵的新問題是什麼。
犯罪者
在傳統犯罪中——無論我們談論的是交通違規還是謀殺——犯罪者通常住在犯罪現場附近。對於與被指控的網絡罪犯接觸的規範,各國法律各不相同,但在可能的情況下,記者最好要拿到罪犯一方的敘述,無論案件多麼微不足道。在美國,人們在被證明有罪之前都被視作是無辜的,那些不試圖聯繫被告的記者是在玩忽職守。即使最終只能在報道中寫入“無可奉告”、“多次嘗試後仍無法聯繫到史密斯”或“米勒女士的律師拒絕置評”,也足夠了。
如果沒有明確的嫌疑人,例如是與幫派有關的暴力或種族犯罪,記者必須從警方和犯罪發生的社區收集關於犯罪人的信息。
然而,在網絡犯罪報道中,這些機會很少出現。事實上,“被告”可能是在網上吹噓犯罪的網絡犯罪集團或個人;犯罪可能由外國政府在代理犯罪集團或個人的支持下進行,也可能是某個組織內某個政府的間諜所為,甚至可能是一名青少年從赫爾辛基的一個地下室發起的。
由網絡安全公司 Recorded Future 發布的同名行業出版物,最近報道一個案例顯示,106名意大利黑手黨因涉及一系列網絡犯罪活動被捕 ,其中包括 SIM 卡對換和商業電子郵件威脅(Buisiness Email Compromise/BEC)計劃。SIM 卡對換涉及使用欺詐性 SIM 卡冒充個人電話,以雙重認證銀行賬戶登錄並實施電匯欺詐;BEC 則通過電子郵件說服受害者電匯以騙取資金。根據 FBI 數據,這些犯罪往往相互關聯,且每年造成數十億美元的商業和個人損失。
然而,網絡犯罪調查的性質意味着我們不太可能在攻擊發生後立即知道任何關於攻擊者的信息。而是可能需要幾周、幾個月,有時甚至幾年的時間來確定襲擊的來源國。這對報道犯罪的記者來說是不小挑戰。面對犯罪實施者的模糊性,記者應該注意以下幾點:
- 網絡調查遠非一門精確的科學。調查人員或專家聲稱,尤其是在事件發生後便稱某個犯罪者可能參與其中,無論他們指出的是一個民族國家、一個“黑客”團體還是個人,通常都是錯誤的。這些說法應該謹慎對待。
- 網絡犯罪分子會層層掩蓋他們的身份,尤其是在複雜的攻擊過程中。關於可疑犯罪黑客的初步信息有可能改變。記者應該注意告知讀者調查可能需要的預期時間。
這使得從犯罪方尋找消息源變得異常困難。然而,我還是發現,讓一個罪犯與你交談,解釋他們的觀點,以及從他們的角度看犯罪行為,要比找到一個願意說話的受害者容易得多。這就引出了下一個問題。
受害者
由於網絡犯罪實施者的身份起初可能並不清楚,記者通常會很快將注意力轉移到受害者身上——通常是一家缺乏同理心的公司或政府機構,由於他們對公民和消費者私人數據的保護存在實際或認識上的失誤遭遇傷害,而可能引發公眾的強烈抗議。
然而,記者要記住,這些實體是受害者,他們的員工可能會受到網絡攻擊的影響。受到攻擊的公司的技術和安全員工可能會花費數月時間修復攻擊,尤其是在惡意軟件或勒索軟件持續出現的情況下。曾有受害公司的技術員工報告出現了創傷後應激障礙(PTSD),有受害者則會在辦公室連睡好幾天,並會面臨客戶或同事的惡意騷擾和怪罪。
的確,一些公司在安全問題上存在疏忽,另一些公司則在關鍵的安全或技術角色上,在把錢花在哪裡以及聘用誰的問題上做出了糟糕的選擇。一些政府機構和非營利組織的管理方法很麻煩,並且依賴過時的技術。還有些公司儘管採取最新技術,實行負責任的管理,但犯了一個攻擊者可以利用的錯誤。
然而,記者仍然經常模糊受害者和犯罪者之間的界限,這在傳統的犯罪報道中是不可接受的。相反,了解受害者以及他們為什麼會成為目標可以幫助我們理解犯罪。研究受害者的弱點是這一過程的一部分,但不應掩蓋另一個實體實施犯罪的事實。
因此,報道網絡犯罪需要細緻入微的視角。雖然一名或多名罪犯的身份可能並不明顯,但仍涉及犯罪因素。獲取有關參與攻擊的個人或實體或國家的情報應該是網絡犯罪記者的持續責任,就像執法人員和其他調查人員的責任一樣。
此時,紮實溯源最為重要。要了解一次網絡攻擊如何發生,記者應該盡最大努力從最接近這次攻擊的人那裡獲取事實,甚至是背景信息,這些人可以解釋攻擊意味着什麼以及相關應對意味着什麼。這些信源很難培養,要說服一名公司職員在可能違背他的僱傭協議的情況下發聲是很困難的,而要說服資深安全員工就更難了,他們十之八九試圖不因機密信息與記者糾纏在一起。
但記者應該努力建立最接近突破口的個人圈子並與其中者聯繫。如果唯一可以發表評論的專家來自外部,對事件沒有直接了解,記者應該更傾向於選擇網絡安全從業者,而不是最近沒有站在戰壕里的理論家或學者。這裡的從業者,指的是在過去12個月內,擔任某種類型的網絡安全角色的工作者。
外部世界
網絡安全報道與傳統犯罪報道的另一個不同之處,在於外部世界對於認識某種犯罪的相對重要性。
報道網絡安全事件的記者需要了解事件本身中的所有國內和國際參與者,以便讓讀者全面了解事件的主題。
一個很好的例子是,最近一個得克薩斯州鎮上發生勒索軟件事件,事件的利益相關方在撰寫有關該事件的白皮書時,吸納了得克薩斯州 A&M 大學(包括志願者)、當地的 FBI 辦公室、特勤局(由於涉及電匯欺詐)、國土安全部和一家位於華盛頓的網絡事件響應公司。由於該公司從事石油和天然氣行業,歸沙特阿拉伯所有,因此也向當地派出了調查人員。沙特團隊發現了一個位於法國的工序處理工程軟件中的缺陷,促使歐盟和法國政府的國家網絡安全局聯手開始調查。因此,這一明顯孤立發生在美國西南部的黑客事件,引發了美國、沙特阿拉伯以及任何使用這一法國軟件的國家或公司的國家安全擔憂,也成為對歐盟採取更強有力執法措施的考驗。
我的最後一個建議是,在全球利益相關者中培養信源對於報道網絡安全問題至關重要。有一個故事我仍然很遺憾沒有更好地報道,那就是美國總統候選人希拉里(Hillary Clinton)在2016年競選時遭到的黑客攻擊,與一年後當選的法國前總統馬克龍遭遇的網絡攻擊之間的差異。我們非常了解俄羅斯對美國大選的滲透,但卻從未了解俄羅斯人為何無法有效破壞馬克龍的競選。
這在很大程度上與馬克龍的網絡安全主管有關,後者使用了創新的技術手段來預測俄羅斯的虛假信息並積極應對。其中包括在馬克龍的競選團隊發現被黑客攻擊的電子郵件中植入虛假信息,從而使他們能夠輕鬆地公開否定整個行動。如果我能夠在法國政府和競選團隊中培養更深層次的關係,從而寫出更全面的故事,解釋美國在選舉安全方面犯下的錯誤,這些錯誤無需重複。期待正在閱讀這篇文章的你會寫出這樣一個故事。
Kate Fazzini 是為美國消費者新聞與商業頻道(CNBC)報道網絡安全的科技記者,也是2019年著作“Kingdom of Lies: Unnerving Adventures in the World of Cybercrime”的作者。她擁有喬治華盛頓大學網絡安全戰略碩士學位,是喬治城大學應用情報項目的兼職教授。
