Cybersixgill 的报告详细介绍了网络犯罪分子如何招募内鬼(企业内部人员)进行扫描,这些扫描在电信、金融服务和政府等多个行业中更难以追踪。
成功的网络攻击通常要通过企业的员工,因为他们已经拥有经过身份验证的访问权限(可能访问高度敏感的数据),并且对企业、人员、流程和技术有深入的了解。
有时,攻击者会无意中利用员工,部署社交工程来诱骗他们提供访问权限。其他时候,内部人员故意与外部攻击者合作,出售访问权限或数据以换取现金。内部威胁已经影响了许多全球品牌,其中最值得注意的是一家大型医疗保健公司,该公司的一名员工从其 CRM 系统中窃取了超过 500,000 名客户的数据,并试图在暗网上出售这些数据。同样,2021 年,当局指控一家大型电信公司的一名员工以每人 500 美元的价格向威胁行为者提供 SIM 卡交换。
当出于意识形态原因时,内部人员也可以自愿分享敏感和专有数据。最近,两名特斯拉员工向一家德国报纸泄露了有关自动驾驶功能的数据。共享数据还包括超过 75,000 名特斯拉客户的个人信息。
考虑到深网和暗网在设计上是匿名的,对于那些寻求寻找恶意内部人员的人来说,这是一个合适的场所。经过调查,我们并没有失望。本报告讨论了我们的发现,并详细介绍了企业如何保护自己免受各种内部威胁。
招聘内部人士
与外部威胁行为者进行的传统针对性攻击类似,利用内部人员的攻击通常会随着时间的推移而进行,内部人员通常会采取措施隐藏其活动并保持不被发现。它们对威胁行为者很有吸引力,因为它们具有很高的影响力并且执行成本相对较低。它们影响各种规模和行业的企业,因为根据定义,内部人员是我们通常信任的人。合同人员、IT 管理员、个人贡献者、律师、学者和高级管理人员,无论他们是第三方承包商、现任还是前任员工,都可能扮演恶意内部人员的角色。
犯罪组织有两个常见群体:
第一组在访问或管理系统方面拥有很多特权,因此它们对威胁行为者极具吸引力。
第二组是动机导向的。通常,由于工资水平较低,呼叫中心员工或零售员工成为这里的目标。以客户记录换取额外 1,000 美元或 2,000 美元的优惠可能非常有吸引力,尤其是在经济形势严峻的情况下。
预测人类行为可能非常困难。当有人加入一家公司时,他们打算成为一名内部人士的情况很少见。由于文化变革或个人情况的变化导致员工改变焦点,员工可能会被说服为威胁行为者工作。虽然有些人的动机可能是贪婪、愤怒或意识形态,但情况并非总是如此。
在招募内部人员时,威胁行为者会使用各种策略。他们可以使用勒索和胁迫技术从员工那里勒索他们需要的信息,但从我们的调查结果来看,暗网上的大多数内部人员都是通过经济奖励招募的。
在大多数情况下,威胁行为者希望将可观察到的数量保持在最低限度,并尽快启用远程访问。这使得招募内部人员变得更加容易,并最大限度地降低被抓的风险。
最有针对性的行业
我们的调查发现,去年地下论坛和 Telegram 上有数百个帖子,其中攻击者出于各种目的在多个行业寻找恶意内部人士。其中包括一些全球最大的公司,如亚马逊、Meta、沃尔玛、大通、PayPal、AT&T 和 Verizon。
虽然并非所有帖子都说明了内部人员所需的功能,但确实属于以下主要类别(按最常见到最不常见的顺序大致排列):
| 目标行业 | 恶意内部人员的作用 |
| 电信 | SIM 卡伪造、凭证、客户数据 |
| 零售 | 退款欺诈、提供客户数据、盗窃商品 |
| 运输和物流 | 跟踪扫描、包裹被盗 |
| 社交媒体 | 禁止、取消禁止和验证帐户,提供客户数据 |
| 金融服务 | 批准转账和取款、账户加载、货币兑换、服务器访问 |
| 政府和军队 | 提供机密情报、公民数据 |
一般来说,金融服务是暗网上最有针对性的行业,因为参与者都是出于经济动机。然而,当谈到内部欺诈时,金融服务的排名要低得多。有几个原因。首先,银行员工的工资相对较高,对欺诈行为的制裁也更加严厉,因此他们可能不太愿意冒险解雇和采取法律行动。
其次,由于欺诈性金融交易的风险高于零售欺诈等,因此银行在审查员工和嵌入反欺诈措施方面投入了大量资金,例如要求对某些交易进行多重签名以及自动标记可疑活动。
然而,单个零售或运输欺诈事件(例如在 iPhone 上索要不应得的退款)通常比欺诈性银行交易要小得多。因此,这些行业的公司可能没有同样严格的措施。
内部威胁:电信行业
电信是地下威胁行为者招募内部人士最受欢迎的行业。其目的总体上很明确:电信员工可以促进“SIM 交换”,攻击者利用这种策略将受害者的电话号码转移到他们拥有的 SIM 卡上。一旦攻击者控制了受害者的电话号码,他们就可以进行一系列攻击,例如拦截通过短信发送的一次性密码或接管与该号码绑定的加密钱包。
移植电话号码是商店员工执行的例行业务程序。因此,找到某人执行未经授权的移植可能相对容易:它可能涉及接近员工、提供付款,甚至出示一些假身份证以给予貌似合理的推诿。
有大量地下帖子讨论内部人员执行 SIM 卡伪造的问题。比如恶意行为者在 Verizon 商店寻找内部人员来执行SIM卡伪造。
Telegram 是恶意行为者寻找电信内部人士(也称为innys)最受欢迎的场所。威胁行为者通过 T-Mobile、AT&T、Metro 和 Verizon 等企业的内部人员寻求 SIM 卡伪造。
有时,该帖子的作者甚至会说明他们愿意为掉期支付多少费用,例如这位作者(如下),他的报价为每人 1,200 美元。
该恶意行为者每次伪造费用为2,000 美元,他提供了与内部人士合作的证明,包括AT&T员工门户的屏幕截图以及与内部人士的私信。
除了SIM卡伪造之外,地下活动者还向电信内部人士寻求凭证、客户数据和一般信息。有时我们会发现内部人士伸出援手。例如,一位自称“心怀不满的电信员工”正在出售有关eSIM的信息,这只需运行“云中的脚本”即可实现号码移植。
内部威胁:零售业
地下威胁行为者通常会寻求零售内部人员免费接收商品。他们可能涉及内部人员的一种常见方案是退款欺诈,也称为退款,其中行为者要求对产品进行不应有的退款。
有许多技术可以执行此类攻击,包括报告空盒子或损坏的物品到达或返回空盒子。然而,大多数方法都需要说服员工接受这个故事;如果他们已经是自愿的共犯,那么进行虚假退货会更容易。
一些威胁行为者明确表示,他们正在寻找内部人员进行退款诈骗。其他参与者并没有明确表示希望内部人员协助退款诈骗。
威胁行为者还招募电子商务内部人员。例如,该恶意行为者正在寻找 eBay 内部人员来解锁被冻结的账户。
另一位恶意行为者坚持不懈地寻求乐高网站内部人士提供有关订单的信息,两个月内发布了八次信息。
然而,在许多帖子中,几乎没有任何线索说明为什么要求内部人员提供信息,尽管我们可以假设它们与盗窃有关。一名恶意行为者正在寻找一名亚马逊仓库工人;另一个公司正在寻找一名可以协助处理批量订单的亚马逊印度员工,另一个公司则在众多不同的公司中寻找员工来帮助“客户查找”,以提供敏感且机密的客户数据。
内部威胁:运输和物流
地下威胁行为者招募航运和物流领域的内部人员,主要是为了执行欺诈性跟踪扫描。就像下面的示例一样,攻击者寻找UPS和其他快递公司的内部人员来执行扫描。
内部扫描是退款诈骗的另一种技术。在此方案中,参与者请求将商品退回电子商务商店。运输公司的同伙扫描运输标签,向零售商确认该商品正在运输途中。零售商退款但从未收到包裹。欺诈者还可以利用内部扫描和快递内部人员来简单地“运送”一个消失的包裹,从而使他们能够为自己的损失索赔保险。
许多招聘快递内部人员的帖子,都向恶意员工提供“大笔金钱”。其他人则提供内部扫描服务,在FedEx、UPS、Royal Mail和其他快递公司要求每次扫描60美元。
内部威胁:社交媒体
威胁行为者以社交媒体公司内部人员为目标,禁止、取消禁止和访问客户数据。下面的例子展示了Telegram上的一位恶意行为者如何声称为Instagram或X(以前称为Twitter)上的某人“支付好价钱”,而另一位恶意行为者则如何为Snapchat上的某人提供“$$$$$$”。
如果帖子指定了所需内部人员的职能,则通常与禁止、取消禁止或验证帐户有关。除此之外,攻击者还寻求社交媒体员工提供用户的个人信息。
内部威胁:金融服务
银行或其他金融服务公司的内部人员可能是执行大型欺诈计划的必要环节。地下活动者利用银行内部人士批准付款和转账,使欺诈者能够转移和洗钱。在下一个示例中,恶意行为者声称自己在Metro、Santander和Barclays拥有内部人士,可以批准高达90,000英镑至200,000英镑的付款(具体取决于银行)。该恶意行为者指出,这些付款看起来是合法的,并且不会烧毁帐户。
据称,内部人士还协助“加载”,这是一项涉及将资金转移到恶意行为者控制的账户的活动。
同样,参与者试图利用内部人士进行金钱兑换。攻击者还寻找有权访问SWITCH应用程序服务器的银行内部人员。
内部威胁:政府和军队
从网络犯罪到间谍活动,我们发现了一些帖子,其中行为者征求政府或政府附属内部人员提供信息。这包括如下图所示的个人,他们可以提供国家公民数据库来协助人肉搜索。一名恶意行为者正在寻求法国政府内部人士提供公民数据。
其他职位则寻求能够提供机密信息的个人。一篇文章在多个论坛和Telegram上多次出现,来自一家自称为“情报分析公司”的公司,为能够将他们与美国军事承包商的内部人士联系起来的人提供1,000至2,000美元的发现费。
还有帖子声称出售十六组机密政府数据,其中包括属于雷神公司和埃尔比特公司等国防制造商的专有数据。该帖子还列出了一份有关五眼联盟军事演习的秘密文件,价格为300美元,并指出该文件是由一名内部人士获得的。
我们必须强调,征求内部人士提供机密信息的帖子很少见。对此类活动的处罚非常严厉,而且大多数暗网用户都是出于经济动机。即便如此,内部人士在深网和暗网上泄露机密信息的情况也并非闻所未闻。最近,一名马萨诸塞州国民警卫队士兵被指控在Discord服务器上发布机密文件。
如何防御内部威胁
员工可能对企业构成独特类型的威胁。大多数员工并没有恶意,他们应该被信任可以访问执行任务所需的数据和系统。然而,那些被各种方法引诱利用职务之便协助犯罪团伙的人可能会给雇主造成重大的财务和声誉损失。
根据2023年Verizon数据泄露调查报告,大约19%的已知数据泄露事件是恶意内部人员所为。虽然无法确定其中有多少攻击源自深网和暗网上的合作伙伴关系,但公司可以采取多种做法来保护自己。
- 最小权限原则:员工权限应仅限于其任务所需的权限。
- 工作轮换:员工在任务之间定期轮换,以揭露欺诈活动。
- 多重签署:敏感操作的执行应需要多名员工批准。
- VIP帐户保护:拥有敏感帐户或更有可能成为目标的客户应该能够选择更严格的帐户保护。
- 员工意识:员工应该了解威胁行为者试图招募同事并实施欺诈。如果他们发现可疑情况,应该报告。
- 自动检测:使用软件标记可疑活动。
- 暗网监控:企业必须了解招募内部人员的对抗性努力。来自明网、深网和暗网的实时网络威胁情报对于收集暴露内部威胁带来的企业风险所需的信息至关重要。
流氓员工可能会严重影响企业的运营、财务、网络安全和品牌。它们不仅仅是一个“IT问题”,甚至不仅仅是一个“安全团队问题”。适当的企业防御需要技术和非技术参与者(从SOC到HR)之间的协调,以确保公司的安全。
总结起来,暗网招募内部人员已经成为网络犯罪分子的一种常见策略,它们可以渗透各种行业并导致重大风险。招募内部人员通常通过经济奖励进行,但有时候威胁行为者会使用勒索、胁迫或其他技术。不同行业受到不同程度的威胁,但金融服务、电信、零售、运输和物流、社交媒体、金融服务以及政府和军队都面临风险。
为了减轻内部威胁,企业可以采取一系列措施,包括最小权限原则、工作轮换、多重签署、VIP帐户保护、员工意识、自动检测和地下监控。这些策略有助于提高企业内部的网络安全,减少内部威胁的风险,保护数据和声誉。