揭秘：网络犯罪团伙如何招募内部成员

网络攻击成功之路上往往少不了组织内部人员的帮助，因为他们已经拥有了经过身份验证的访问权限（可能还是高度敏感数据的访问权限），而且内部人员相当了解自己的组织及其人员、流程和技术。

有时候，攻击者会利用一无所觉的员工，部署社会工程诱骗他们交出访问权限。有时候，内部人员故意勾连外部攻击者，出卖访问权限或数据牟利。内部威胁影响了大量世界知名品牌，最值得一提的是某家医疗保健企业，这家企业的一名员工从客户关系管理（CRM）系统中盗走50多万客户的数据放到暗网上售卖。与此类似，2021年，管理机构指控某大型电信公司的一名员工为恶意团伙提供SIM交换，每张卡牟取500美元。

内部人员也会出于意识形态原因主动共享敏感数据和专有数据。最近，两名特斯拉员工向一家德国报纸泄露了自动驾驶功能的相关数据。共享出去的数据还包含超过7.5万名特斯拉客户的个人信息。

考虑到其天然匿名的属性，深网和暗网简直就是找寻恶意内部人员的绝佳场所。调查结果也充分说明了问题。Cybersixgill的调查报告详细描述了组织如何保护自身免遭各种内部威胁侵害。

01 招募内部人员

类似于外部攻击者惯用的针对性攻击，利用内部人员的攻击往往也是细水长流型，内部人员通常采取多种措施隐藏自己的活动，保持低调行事，不被发现。因为影响力大且执行成本相对较低，内部人员对攻击者极具吸引力。他们能够影响各个行业各种规模的组织，因为内部人员本来就是我们天然信任的人。合同工、IT管理员、个人贡献者、律师、学者和高管，无论他们是第三方承包商、现任员工还是前任员工，都有可能充当恶意内部人员的角色。

02 犯罪团伙倾向于两类常见群体

• 第一种在访问或管理系统方面具有很多权限，因而对攻击者极具吸引力。• 第二种则是有动机的。比如说，呼叫中心员工或零售职员就会因为薪水较低而成为攻击者的招募对象。提供客户记录就能换取1000或2000美元额外收入对他们而言非常有吸引力，尤其是在经济形势艰难的时候。

我们很难预测人的行为。抱着成为内鬼的意图进入公司的情况极其罕见。员工可能会因为文化改变或个人环境的改变导致生活重心转换而被迫为攻击者服务。虽然也有人是贪婪、愤怒或意识形态驱使的，但这并非常态。

攻击者在招募内部人员时会使用各种战术。比如说，他们会使用敲诈和胁迫手段从员工那里勒索自己需要的信息，但调查结果表明，暗网上的大多数内部人员都是通过经济奖励招募的。

大多数情况下，攻击者希望尽量降低可见性并尽快实现远程访问。这样可以更容易招募到内部人员并降低被抓到的风险。

03 被盯上的重点行业

调查人员去年在地下论坛和Telegram上找到了数百个招募帖子，网络犯罪分子在多个行业招募恶意内部人员，目的也是各种各样。亚马逊、Meta、沃尔玛、摩根大通、PayPal、AT&T和Verizon等全球知名大型公司都在网络犯罪分子的狩猎范围内。

尽管不是所有帖子都说明了希望内部人士起到什么作用，但描述了的大致可以分为以下几类（按常见程度排列）：

这个行业排序很有意思。一般来说，金融服务是暗网上最引人垂涎的行业，毕竟攻击者是逐利的。然而，涉及到内部人员骗局，金融服务行业在榜单上的位置就低很多了。促成这种现象的原因有几个。首先，银行员工的薪水相对较高，从事欺诈活动所面临的处罚也严厉得多，所以他们可能不太愿意冒被开除和面临法律诉讼的风险。

其次，由于欺诈性金融交易的利害关系高于零售欺诈等，银行在审查员工和设置反欺诈措施方面投入良多，比如要求某些交易需经过多次签准，以及自动标记可疑活动等。

不过，由于单次零售或发货欺诈（比如申请不应得的iPhone退款）的影响远小于欺诈性银行交易，这些行业的公司可能没有设置类似的严格措施。