境界

作者：Ericka Chickowski

現代的網絡犯罪分子看起來都差不多是一個模樣，手下必然有一支龐大的合夥人和技術高手隊伍，雇人研發自己的軟件，利用中層管理者來保證組織中的每個人都乖乖為他斂財。他們就像知人善用的聰明商人，懂得如何調動他人的技能來牟利。

這聽起來活像你身邊的某個人，沒錯——很像某個富有企業家精神的人？這確實就是問題所在。這就是目前橫掃互聯網的新一代網絡犯罪分子的特點，他們的萬貫家財背後卻是全世界誠實的企業經營者和消費者的損失。

“在過去一年期間，經濟上的回報給了網絡犯罪分子更高的犯罪積極性。網絡犯罪分子事實上很有創業精神，不過他們的所作所為絕對是不道德的。”安全公司Dasient的聯合創始人兼首席技術官尼爾·達斯萬尼（Neil Daswani）說。

而且從現在的形勢來看，這些神出鬼沒的網絡犯罪分子根本不需要具有高科技知識也能把你洗劫一空。雲安全服務提供商Zscaler的安全研究副總監邁克爾·薩頓（Michael Sutton）說：“現在地下經濟已經有了具體分工，會尋找專業人士作為他們的非法雇傭軍，令不具備技術背景的犯罪分子也可以通過網絡或Email攻擊非法獲利。他們不需要自己動手編寫攻擊程序——隻需要從地下渠道購入一個軟件套件，這個程序就會擔負起攻擊任務。”

現今的網絡犯罪經濟是由一群複雜的專業人士組成，這些人各有所長，合作牟利。這是經典的資本主義運作案例。組織中有人負責編寫惡意軟件，自動搜索網絡，感染其他電腦。有人利用這些惡意軟件將受感染的電腦集中控製，組成一個龐大的病毒機網絡，稱為“僵屍網絡”。有人專門出租僵屍網絡對銀行進行大規模攻擊，或者竊取大量賬戶信息。還有一些犯罪分子利用盜來的賬戶信息在自動提款機上提款，偷走別人賬戶裏的錢。

站在這些人背後的是犯罪團夥的主腦人物。他們通常在東歐或中國等不受西方國家法律約束的地方操縱一切，運用各種不同的資源，製定商業計劃，最終實現自己的詐騙目的。他們可能會長期雇用各種專業人士，也可能用承包的方式將某部分工作交給別人。

“他們負責整合一切，”安全公司Mykonos軟件的CEO兼總裁大衛·科雷茨（David Koretz）說，“他們會讓一組人編寫病毒，第二組人用這個病毒去組建一個很大的僵屍網絡，第三組人去尋找電子商務網站上的漏洞，第四組人攻擊網站，利用手裏的眾多‘肉機’在幾分鍾內完成數以萬計的交易。轉瞬之間，他們在短短幾分鍾之內就可以偷走幾百萬美元。”

作為自由市場經濟環境下的組織發展研究案例，現代黑客生態係統的進化軌跡非常令人感興趣，但同時也令人膽顫心驚，因為這是以小企業為代價的。根據網絡安全專家的研究，小企業是網絡犯罪集團的理想獵物，因為小企業比普通消費者有更多電腦、更多數據和錢，但又不像大企業的防守那麼嚴密。

“小企業是最甜美的獵物。”賽門鐵克安全技術公司總監凱文·哈裏（Kevin Haley）說。

小企業主和獨資經營者常有一個很大的誤解，那就是壞人不可能對自己的公司感興趣。因為連消費者都找不到他們的網站，那些在愛沙尼亞的黑社會又怎麼會盯上自己呢？安全公司Sophos的高級安全顧問切斯特·維希涅夫斯基（Chester Wisniewski）提醒大家，這些犯罪集團的黑客程序完全是自動化的

“大家要明白，犯罪分子的目標並不是什麼‘鮑勃草坪修剪服務公司’——他們是在尋找網絡上每一個有漏洞的網站，他們隻要找到一個就會感染一個，”維希涅夫斯基說，“所以那種‘我的公司太小了，他們不會來攻擊我的網站’這種念頭不會真的帶給你幫助。確實，網絡犯罪分子對你的攻擊不會像索尼公司這類網站一樣，但這不表明你不會受到攻擊——隻不過攻擊你的是一個自動僵屍感染程序。”

很明顯，你正在犯罪分子的網絡獵殺名單之上。不過正如動物會進化出保護色來躲避獵食者的搜捕，你也需要盡快調整企業安全保護措施，避免成為別人的午餐。_譯/魯行雲