網絡攻擊成功之路上往往少不了組織內部人員的幫助,因為他們已經擁有了經過身份驗證的訪問權限(可能還是高度敏感數據的訪問權限),而且內部人員相當了解自己的組織及其人員、流程和技術。
有時候,攻擊者會利用一無所覺的員工,部署社會工程誘騙他們交出訪問權限。有時候,內部人員故意勾連外部攻擊者,出賣訪問權限或數據牟利。內部威脅影響了大量世界知名品牌,最值得一提的是某家醫療保健企業,這家企業的一名員工從客戶關系管理(CRM)系統中盜走50多萬客戶的數據放到暗網上售賣。與此類似,2021年,管理機構指控某大型電信公司的一名員工為惡意團伙提供SIM交換,每張卡牟取500美元。
內部人員也會出于意識形態原因主動共享敏感數據和專有數據。最近,兩名特斯拉員工向一家德國報紙泄露了自動駕駛功能的相關數據。共享出去的數據還包含超過7.5萬名特斯拉客戶的個人信息。
考慮到其天然匿名的屬性,深網和暗網簡直就是找尋惡意內部人員的絕佳場所。調查結果也充分說明了問題。Cybersixgill的調查報告詳細描述了組織如何保護自身免遭各種內部威脅侵害。
01
招募內部人員
類似于外部攻擊者慣用的針對性攻擊,利用內部人員的攻擊往往也是細水長流型,內部人員通常采取多種措施隱藏自己的活動,保持低調行事,不被發現。因為影響力大且執行成本相對較低,內部人員對攻擊者極具吸引力。他們能夠影響各個行業各種規模的組織,因為內部人員本來就是我們天然信任的人。合同工、IT管理員、個人貢獻者、律師、學者和高管,無論他們是第三方承包商、現任員工還是前任員工,都有可能充當惡意內部人員的角色。
02
犯罪團伙傾向于兩類常見群體
? 第一種在訪問或管理系統方面具有很多權限,因而對攻擊者極具吸引力。
? 第二種則是有動機的。比如說,呼叫中心員工或零售職員就會因為薪水較低而成為攻擊者的招募對象。提供客戶記錄就能換取1000或2000美元額外收入對他們而言非常有吸引力,尤其是在經濟形勢艱難的時候。
我們很難預測人的行為。抱著成為內鬼的意圖進入公司的情況極其罕見。員工可能會因為文化改變或個人環境的改變導致生活重心轉換而被迫為攻擊者服務。雖然也有人是貪婪、憤怒或意識形態驅使的,但這并非常態。
攻擊者在招募內部人員時會使用各種戰術。比如說,他們會使用敲詐和脅迫手段從員工那里勒索自己需要的信息,但調查結果表明,暗網上的大多數內部人員都是通過經濟獎勵招募的。
大多數情況下,攻擊者希望盡量降低可見性并盡快實現遠程訪問。這樣可以更容易招募到內部人員并降低被抓到的風險。
03
被盯上的重點行業
調查人員去年在地下論壇和Telegram上找到了數百個招募帖子,網絡犯罪分子在多個行業招募惡意內部人員,目的也是各種各樣。亞馬遜、Meta、沃爾瑪、摩根大通、PayPal、AT&T和Verizon等全球知名大型公司都在網絡犯罪分子的狩獵范圍內。
盡管不是所有帖子都說明了希望內部人士起到什么作用,但描述了的大致可以分為以下幾類(按常見程度排列):
Anna艷娜
安全牛
Anna艷娜
安全俠
RacentYY
X0_0X
ManageEngine卓豪
007bug
Anna艷娜
Anna艷娜
安全俠
