一家公司因远程招聘了一名看似优秀的计算机工程师，却遭遇了严重的网络安全威胁。这名员工通过精心伪造的简历、推荐信和社交媒体资料成功获取职位，但在入职后表现糟糕，未完成任何工作，最终被辞退。然而，他的真实身份是一名“黑客”，在入职期间窃取了公司数 TB 的数据，并在被解雇后勒索 25 万美元，威胁公开敏感信息。

人工智能的崛起为我们的生活带来了诸多便利，但也为网络安全带来了前所未有的挑战。网络犯罪分子正在利用 AI 技术制造出更加精巧的骗局。这类活动正愈演愈烈，网络犯罪成为全球范围内增长速度最快的业务，而“暗网”在规模上也已成为世界第三大经济体。

那么在这样的网络世界中，企业和个人如何才能有效保护自己的数据？曾担任 FBI 卧底调查员的 Eric O’Neill，在接受 InfoQ 英文站的访谈时，从专业角度分享了一些实用建议，帮助我们应对日益复杂的网络威胁。

当今技术人员需要了解哪些网络安全知识？

InfoQ：我们的读者大多是技术从业者，他们开发出的产品往往也是网络攻击的主要对象。那他们需要关注什么？

Eric O’Neill: 首先，我们需要正视一个现实：网络攻击正以迅猛之势席卷而来，而阻止它们似乎变得愈发困难。不仅网络犯罪活动呈现出显著增长，连黑客们获取信息的方式也发生了变化。如今，网络犯罪迅速转型，以发动网络攻击的形式崭露头角。这些黑客是行业内技术水平最高的一群人，而紧随其后模仿、学习，甚至偶尔创造惊人之举的，则是被统称为网络犯罪分子的一大群体。

网络犯罪已经成为全球范围内增长速度最快的行业。通过暗网实施的网络犯罪总值超过 12 万亿美元。如果把网络犯罪造成的损失，或者说在暗网上流动并被恶意人士赚去的加密货币当作生产总值，那么暗网的 GDP 足以使其成为世界第三大经济体。没错，除了中美两个大国之外，位列第三的就是暗网，而且它的体量仍在增长。到 2026 年，预计其总规模将达到 20 万亿美元左右，到 2027/2028 年甚至还要更高，毕竟阻止网络犯罪非常困难。作为防御的一方，技术专家拥有着巨大的攻击面，而且每天都在持续扩张。

InfoQ：那能不能分享几个具体事例，告诉我们应该从网络犯罪中学到什么？

Eric O’Neill: 当然可以。如今的恶意人士、网络罪犯乃至网络恐怖分子，他们在实施偷窃、诈骗、伪装、冒充、破坏及攻击关键基础设施时，采取的主要方式都能够与经典的网络犯罪手法一一对应起来。

再来介绍一下我自己的职业生涯。我曾在 FBI 担任卧底特工，也曾在华盛顿特区周边追捕黑客和恐怖分子。我离职前办的最后一件案子，就是抓捕 Robert Hansen 的秘密行动。通过在 FBI 总部参与秘密行动，我学到了很多关于欺诈和诱导的知识。实际上，当今最成功的各种攻击活动，特别是那些让组织、个人乃至整个城市、政府体系损失数百万美元的攻击，往往都是从欺诈开始的，即赢得某人的信任并让其对谎言深信不疑。

最近一个案子就特别典型，既体现出新时代下沟通和工作的全新方式，也反映了 AI 蓬勃发展及全球形势变化的重要交汇点。有位在香港工作的财务经理，他收到了封电子邮件，据称是公司 CFO 发来的。很多朋友可能听过类似的故事吧？比如邮件上写道，“立即往这个账户打款，否则我们会失去这笔交易，以下是账户信息，另外不要告诉其他人。如果你 10 分钟内还没处理好，我们公司就会出现灾难性的问题”。多典型，先给受害者施压，让他难以认真考虑整件事情的原委。而且可能是犯罪分子使用了伪造的地址，也可能是其窃取到 CFO 的真实邮箱，反正受害者检查了一下发现来源没问题。

现在我们已经通过安全意识培训，在很大程度上消除了这类问题。但也必须承认，类似的情况随时都在发生。单纯是因为有邮件要求员工们这么干，他们就依样照做的问题每年仍在给企业造成 490 亿美元的损失，且数额还在不断增加。

但我分享的这个案例还不止这样，整个过程更复杂。这名财务经理收到的邮件只写着“上 Zoom 来开会。”涉中的公司是一家总部位于英国的跨国企业，在世界各地都有分公司和办事处，也是全球最大的建筑商之一。悉尼歌剧院就是他们设计的，可以想见他们的行业地位了。财务经理当然很高兴啦，因为他突然有机会能跟自己上司的上司的上司直接视频通话，于是他整理了一下仪容，加入了 Zoom 通话。他在其中看到了 CFO 本人，身边有两位他认识的财务人员，还有两张他没见过的生面孔。

在通话过程中，他得知公司谈下了一笔新交易，打算跟那两位陌生人合作并吸收他们担任合伙人，接下来马上要付款了。在大家介绍完自己之后，通话突然结束，然后电子邮件继续发来。不疑有他，这位财务经理在接下来的一周中向香港的五个不同银行账户发出了 15 笔、总额高达 2500 万美元的电汇。但事实上，这些账户全部由犯罪分子控制，对方认真研究了财务经理的个人情况、细心部署并制定了这个精密的圈套。其实经典的网络犯罪手段也差不多，首先要尽可能多了解目标人物，包括他身在哪里、做什么工作、是否有权限执行转账操作，而后制作伪造的社交媒体消息和逼真的表演场景。作为这幕闹剧的最高潮，他们使用 AI 技术在 Zoom 小窗口中显示出了几可乱真的头像，最终骗到了这位身在香港的员工。

很明显，那两名所谓合伙人完全就是子虚乌有。这就是我们当前面临的安全状况。没错，大家需要提防的已经不仅仅是一封电子邮件，就连在电话上听到的声音、收到的短信甚至看到的视频都不能轻易当真。安全防范意识必须升级到新的水平，这就是残酷的现实。

InfoQ：这事听着就让人毛骨悚然。毕竟就个人而言，我也曾经被骗过，只是情况远没有这么复杂。我很感谢银行方面及时主动介入，成功阻止了交易的进行。所以我很明白，这种经历真的太可怕了。

Eric O’Neill: 是的，如果银行能够掌控一切，那当然是最好。有时候哪怕交易已经操作完成，银行也能够直接将其撤回或者划销。他们会在一定范围内为用户提供欺诈保护，比如恢复资金或者要求客户承担，因为他们知道自己根本抓不住网络罪犯。但我认为银行在这方面其实可以做得更多，他们应当通过重大投资培训全体客户更熟悉网络安全态势，同时对自有系统施以全面控制，至少要降低被冒充成客户本人的犯罪分子骗到的可能性。

这就是所谓客服中心攻击。比如犯罪分子先掌握了客户的情况，再打电话给客服中心，询问如何重置账户中的双因素身份验证资料。因为他们假装是客户本人，所以银行往往难以分辨。这种情况经常发生在那些公开了部分个人资料的群体身上，犯罪分子可能会搜集这些资料，再利用它牟取利益。解决这个问题的方法自然是建立更好的控制系统，但成本着实不菲，有时候还只能选择划销。

数据与信任的防线

InfoQ：那这类控制系统应该是什么样的？

Eric O’Neill: 加密是个大难题。至少单靠短信验证本身还不足以支撑起优秀的双因素身份验证机制。这里要提醒大家，归我们所有的只是手机，手机号码可不算。手机号实际是由第三方运营商控制。我们只是把它带在身边，运营商才是数据的控制者。所以请大家别盲目信任短信验证，比如可以选择那种专门的手机端身份验证应用。只有机主能够访问，其中使用不同加密模型生成的一次性验证码只会存在一小段时间，这种随时轮换的机制能够大大提高安全性。

InfoQ：如果我是技术部门的成员，那该怎么揪出网络犯罪分子？

Eric O’Neill: 这是个好问题。一切都要归于数据。之前我就反复强调，数据就是新时代下的资产，甚至是货币。数据是我们需要保护的最重要的事物之一，而网络安全的本质就是保护这些数据。近来随着 AI 技术的崛起，信任也成了同样稀缺的资源。所以，数据和信任就成了网络安全中的两大支柱。 任何负责组织网络安全的角色需要做好的头号大事，就是从本质上理解自己的数据。比如清楚自己拥有哪些数据、知晓谁可以访问数据，这些数据存放在哪里，再设置控制系统来加以保护。总之，揪出他们的思路就是了解自己的数据、把握住上下文，这样就能识别出什么时候的哪些接入点比较可疑。

举例来说，我在一家公司工作，那么一天的起始大多是在早上七点左右。无论是远程办公、现场办公还是混合办公，我都需要登录系统。比如我每周可能在办公室工作两、三天，或者到公司开会之类的。我自己现在办企业，就完全转向了居家办公，但时间仍然大致是在早上七点到晚间六点。我所从事的项目和任务，都有对应受控的数据集。这时候，如果网络安全系统、机器学习或者 AI 标记了某些异常，比如“Eric 刚刚在凌晨两点登录了系统”，那这就非常值得怀疑、明显不符合常态。这时候网络安全系统应该就此发布警报，比如立即切断访问权限并提醒安全负责人介入调查。无论是内部还是外部安全机制，都需要验证我还值不值得信任，比如我可能打算窃取商业机密、也可能是我的账号和密码被鱼叉式网络钓鱼给偷走了，导致攻击者能够冒我之名在组织内流窜。这些情况都有可能，必须及时跟进。

只有非常了解自己的数据，我们才能判断用户们应该有何行为，哪些活动明显不符合常态。只有能够弄清楚这一点，网络安全才能成为有效的预警系统，帮助我们及时发现可能出现的漏洞。漏洞永远存在，真正重要的是尽快将其发现，以防止它们引发灾难性的后果。

AI 影响网络安全的案例

InfoQ：你谈到了 AI 和技术，我们也知道一些 deepfake 的故事。那这对我们有什么启发？

Eric O’Neill: AI 正以一种不确定我们做没做好准备、或者说是否进行过认真思考的方式改变着一切。我来具体解释一下：我们几年前才刚刚学着适应远程办公，随后 AI 又突然降临。我合作过的很多组织都会说“我们先是采用混合模式”，而我的建议是“也可以直接选择远程模式”。总而言之，只要员工支持远程办公或者混合办公，就可以不再天天通勤打卡。虽然有些组织也在“开倒车”，即重新回归线下办公模式，但世界各地的大多数劳动力的全球化程度确实有所提升，我们几乎可以从任何地方招聘员工。

借这个机会，我正好聊聊 AI 跟网络安全的交叉案例。

有家公司雇佣了一位表面看起来很出色的人才，他在得克萨斯奥斯汀工作，是一名计算机工程师。他的简历简直无可挑剔，推荐信也令人信服。公司拨打了推荐信上的电话，对方说此人确实可靠。包括 LinkedIn 上的个人资料，完全符合招聘人员的全部想象。但因为公司位于美国东海岸，而他本人身在得克萨斯州，所以只能选择远程办公。但他的工作表现相当糟糕，几个月后就因压根完不成任何工作而被公司辞退。公司方面不知道的是，这人其实是名黑客，整个招聘流程都是个陷阱。他以计算机工程师的身份登录了公司的系统和数据库，下载了好几 TB 的信息。

这就是他的本职工作，什么正事不干但全天候盗窃信息。而且在被解雇之后，他不单拿走了信息，还反过来勒索公司 25 万美元，称如果不付钱他就把数据公开出去。这正是我们关注的新趋势，而 AI 的出现让这一切成为了可能。AI 可以创建一个化身，让人们变成自己想成为的任何样子。AI 不单能改变我们的声音，还能编写内容脚本，让整个对话看似顺畅自然、资料没有任何语法或者拼写错误。复杂的 VPN 系统能让你装作身在世界上的任何地方，所以在公司看来，这个人似乎就生活在得克萨斯州奥斯汀。

AI 正在改变我们的工作方式和思维方式，也在改变孩子们的学习方式。前几天我在飞机上就遇见过一件事。坐经济舱的时候，我们得一路走到最后面的洗手间，往往还得排队。在排队时，我看到一位年轻的女大学生，因为她的卫衣上还印着大学的名字。她正在使用笔记本电脑。好奇心驱使我偷偷瞄了一眼她的屏幕，本来我以为她在看电影，但没想到她正在参加考试。我看到了正在运行的考试软件，现在的飞机已经提供 Wi-Fi 连接了，她正在做多选题。

她当时把整道题和所有答案选项都复制到了 ChatGPT 里头，然后询问“正确答案是什么，为什么？”AI 会替她回答，然后她再切回测试给出选择。反正我眼睁睁看着她完成了整个测试。因为是在线测试，所以立刻就得看到得分，她得了满分。但实际上她啥也没回答，什么也没学到。我想说的是，如果她毕业找工作的时候遇上了同样的任务，那她打算怎么办？也许她也会直接让 AI 替她处理。这就是我最担心的。

我想说的是，如果越来越多的年轻人直接把工作内容交给 AI，究竟会产生怎样的后果？他们要做的就是编辑和调整，再无迈出第一步的纯粹创造。不知道大家有没有写作的经验，可能是提着笔坐在本子前，也可能是打开文字编辑软件坐在屏幕旁，脑袋里想的是“现在我需要输入第一个字了，应该是什么？”这是件神奇的事，迈出第一步是最困难的，但也是我们成为真正创作者的必经之路。可未来也许再也没有这样的机会了，因为 ChatGPT 或者其他 AI 工具会直接生成故事底稿，起承转合全部搞定。这时候我们就不再是作家，最多只能算个编辑。我担心终有一天，我们会因此彻底失去创意。

InfoQ：确实，这里头值得深思的东西很多。非常感谢，Eric，今天很高兴能跟你交流。

原文链接：

https://www.infoq.com/podcasts/spies-lies-cybercrime-perspectives/