如同网络犯罪阴影世界中的许多事物一样,内部威胁是鲜少有人亲身经历的现象,更无人愿意公开谈论。但最近犯罪团伙对我的直接招揽,却让我对这种黑客利用内部人员的手段有了独特而令人忧心的认知。
“若您有兴趣,只需提供电脑访问权限,我们愿支付任何赎金的15%作为报酬。”七月某天,这条突如其来的信息通过加密聊天软件Signal出现在我的对话框里,发送者自称“辛迪加”。虽然不清楚对方身份,但我立刻明白了其中含义——对方企图通过我的笔记本电脑入侵BBC系统,承诺在窃取数据或安装恶意软件后向我的雇主勒索赎金,并给予我秘密分成。
这类事件早有先例。就在这条主动招揽信息出现的数日前,巴西刚曝出一名IT员工因向黑客出售登录凭证被捕,警方称此举导致银行机构遭受7400万英镑损失。在征得BBC资深编辑同意后,我决定与对方周旋。当全球网络攻击对日常生活的影响日益加剧之际,我迫切想了解犯罪分子如何与潜在变节员工进行这种阴暗交易。
我对中途改名为“辛恩”的联络人表示初步兴趣,但要求了解具体操作流程。对方解释,只要提供登录凭证和安全代码,他们就能入侵BBC并勒索比特币赎金,而我将从中分红。随后他们提高价码:“虽然不清楚BBC给您的薪资,但若按我方能获取BBC总营收1%计算,您将获得最终谈判金额的25%——足以让您余生无需工作。”
辛恩预估,若成功渗透BBC系统,其团队可勒索数千万英镑赎金。尽管英国国家犯罪调查局建议不向黑客屈服,但BBC从未公开表态是否支付赎金。黑客继续展开游说,承诺让我获利数百万,并强调“会彻底删除聊天记录确保永不泄露”。
这名自称西方籍、犯罪团伙“美杜莎”中唯一英语成员的“接洽经理”宣称,此前多次攻击中与内部人员达成交易的成功案例颇多,并举例今年被入侵的某英国医疗公司和美国紧急服务供应商。“愿意提供访问权限的员工数量会令您吃惊”,辛恩这样说道。
据悉,美杜莎团伙采用“勒索软件即服务”模式,任何犯罪关联方皆可注册其平台用于攻击组织机构。
根据网络安全公司CheckPoint的研究报告,Medusa组织管理员据信在俄罗斯或其盟国境内活动。”该团伙避免以俄罗斯及独联体国家的机构为目标,其活动主要集中于俄语暗网论坛。”
Syn曾得意地向我发送了美国当局三月份发布的关于Medusa的公开警告链接。美国网络安全官员指出,该组织活跃四年来已入侵”超过300个受害目标”。
Syn坚称他们认真希望达成交易,准备秘密出售我们企业系统的核心访问权限以换取巨额报酬。由于无法确认对话者真实身份,我要求Syn提供证明。”你们可能是恶作剧的青少年,也可能是试图诱捕我的人,”我提议道。
对方回应了一个Medusa暗网地址链接,邀请我通过该组织的Tox安全通信服务联系——这是网络犯罪分子偏爱的加密通讯工具。Syn显得极不耐烦,不断施压要求回复。他们在一个专属网络犯罪论坛上发送了Medusa招募页面链接,催促我启动保证金流程,需要准备0.5个比特币(约合5.5万美元)。这相当于对方承诺只要我交出登录凭证,至少能获得这笔保底金额。
“我们绝非虚张声势或开玩笑——我们不在乎媒体曝光,只追求金钱收益。这是我们某位主要经理指示我联系您的原因。”他们选择我的理由是认为我具备技术头脑且拥有BBC系统的高级访问权限(实际并非如此)。我至今仍不确定Syn是否清楚我是网络安全记者而非IT员工。
对方连续提出关于BBC内部网络的问题,即便知晓答案我也不会回应。随后他们发来一段复杂的计算机代码,要求我在工作笔记本电脑上以命令形式运行并反馈结果。他们试图通过我的内部系统访问权限来规划后续入侵步骤。
此时与Syn周旋已持续三日,我认为有必要向BBC信息安全专家寻求建议。由于正值周日清晨,我计划次日早晨与团队商议,于是采取拖延策略。这引发了Syn的不满:”你何时能操作?我可不是有耐心的人,”黑客说道,”看来你不想去巴哈马海滩享受生活?”他们最终设定周一午夜为最后期限,随后失去了耐心。
我的手机开始连续收到双重认证通知,BBC安全登录应用不断弹出验证请求,询问是否正在尝试登录我的企业账户。
手机屏幕每隔一分钟就弹出新的验证请求——我立刻意识到这正是一种名为“多因素认证轰炸”的黑客手段。攻击者通过异常设备登录或密码重置请求,向受害者持续发送验证弹窗,最终迫使对方或因误触、或因不堪其扰点击“同意”按钮。优步公司2022年遭遇的黑客攻击正是采用此种手法。
身处攻击目标的位置令人不安。犯罪分子将原本局限于聊天应用的相对专业的对话,直接投射到我的手机主屏幕,这种感觉犹如暴徒疯狂敲击你家前门。我对这种策略转变感到困惑,但谨慎起见未开启对话窗口,生怕误触同意选项——这将使黑客立即掌控我的BBC账户。
安全系统不会将此标记为恶意行为,因为这看起来就像由我发起的正常登录或密码重置请求。此后黑客便能逐步渗透BBC的敏感核心系统。作为记者而非IT人员,我虽无系统高级权限,但手机近乎瘫痪的状态仍令人焦虑。
联系BBC信息安全团队后,我们作为预防措施切断了我的所有系统权限:邮件、内网、内部工具及特殊权限全部停用。当晚黑客竟发来诡异冷静的消息:“团队为此致歉,此次仅针对BBC登录页面进行测试,若造成困扰深表歉意”。
我告知对方自己已被锁定BBC系统并表示愤慨。化名Syn的黑客仍坚持表示交易继续。但数日未获回复后,他们便注销了Signal账号消失无踪。
最终我的系统权限得以恢复,账户增设了额外保护层。这段亲历内部威胁攻击的遭遇,让我对网络犯罪手段的持续进化有了切肤之识,也深刻揭示了企业安全体系中我此前未能真正审视的风险盲区。
(订阅Tech Decoded新闻通讯追踪全球顶尖科技动态,英国境外用户请通过指定入口注册)
【本文精选自BBC,原文链接:https://www.bbc.com/news/articles/c3w5n903447o】