【编者按】4月3日,欧洲刑警组织(EUROPOL)发布报告《网络犯罪、虚假信息和新冠疫情的爆发》(Cybercrime, Disinformation and the COVID-19 pandemic)。报告指出,疫情期间由于人们开始大规模使用远程办公,并且往往使用过时的安全系统,网络犯罪分子借机开始活跃起来,同时网上儿童性剥削犯罪活动有所增加。欧洲刑警组织希望通过这份报告提醒个人、企业、公共机构和其他组织警惕这些犯罪活动。报告从网络犯罪手段、儿童性剥削内容传播、暗网交易和虚假信息四个方面揭示了疫情期间网络犯罪活动的潜在危害。
1 背景
网络犯罪分子最善于利用危机进行各种网络诈骗和网络攻击。在疫情期间,随着大量潜在受害者开始居家办公以及欧盟在线服务访问量的激增,网络犯罪率正成倍增加。该报告的主要发现包括:
● 与其他犯罪活动相比,COVID-19对网络犯罪的影响最为显著;
● 网络犯罪分子已经能够迅速掌握并利用受害者的焦虑和恐惧;
● 钓鱼软件和勒索软件在此次危机中的使用范围和规模将继续扩大;
● 多项指标显示,网络上散播儿童性剥削内容的犯罪活动似乎正在增加;
● 暗网继续提供各种非法商品交易和服务:自欧洲危机爆发之初暗网的交易出现波动后,整个3月交易趋于稳定;暗网供应商试图提供与COVID-19相关的新产品;如果明网出现商品短缺,那么暗网的供求关系将发生变化。
● 犯罪组织、国家利益集团试图利用公共卫生危机牟取私利或增进地缘政治利益:关于COVID-19的虚假信息继续在世界各地扩散,对公共卫生和危机治理产生严重影响。
2 网络犯罪
2.1 勒索软件
勒索软件是一种恶意软件,犯罪分子利用它对用户设备上的文件进行加密,然后拒绝用户访问。用户为了重新访问这些文件,需要向犯罪分子支付赎金。一般情况下,犯罪分子会要求以比特币或其他虚拟货币的形式进行支付。因此,勒索软件的主要动因是经济收益。
在暗网上,勒索软件也被作为一种勒索软件即服务(ransomware-as-a-service)的产品提供。在COVID-19疫情期间,向欧洲刑警组织提交的大多数报告都与此前已知的勒索软件有关,这表明既有犯罪分子仍然活跃。同时,新的勒索软件也层出不穷。
COVID-19如何改变犯罪分子使用勒索软件的方式?
利用COVID-19疫情进行网络犯罪的不法分子之前也非常活跃。据悉他们中的一些人在疫情期间扩大了活动范围,积极招募合作者,试图最大程度地扩大影响。疫情期间,受害者从感染勒索软件到激活勒索软件受到攻击的时间间隔变得更短,犯罪分子不再伺机而动,而是速战速决。
2.2 分布式拒绝服务(Distributed Denial-of-Service,DDoS)
在疫情爆发之后,分布式拒绝服务攻击的数量略有增加。预计在中短期内,DDoS活动会继续增加。由于在家远程办公的人数激增,带宽使用量已到达极限,犯罪分子能够对组织的关键服务和功能进行“勒索”。
DDoS是一种成本较低的犯罪类型,因为它便宜而且容易获得,所以进入门槛很低。
2.3 恶意域名注册
在疫情初期与“corona”和“COVID”相关的注册域名激增之后,目前的数据显示,这种情况似乎已经稳定下来。这些注册域名构成了许多犯罪活动的基础。
展望
过去几年,勒索软件一直是最主要的网络犯罪威胁。当前的危机不太可能改变这种状况。此次疫情可能使某些被攻击的机构受到的破坏性影响成倍增加,从而增加了组织网络抵御能力建设的必要性。钓鱼软件的数量预计也将继续增加。
3 儿童性剥削内容(Child Sexual Exploitation Material,CSEM)
虽然不能直接统计线上CSEM总量,但有几个指标可以用来评估CSEM的范围,以及这些内容的生产/分销是否有所增加。欧洲刑警组织将在未来几周内对以下具体指标进行监测,以评估COVID-19对线上CSEM的影响并支持调查行动。
(1)来自国家失踪与受虐儿童服务中心(NCMEC)/国家儿童虐待案件协调中心(NCECC)的引荐数:引荐数量没有显著增加,这可能是由于远程办公期间的延迟以及使用自动系统在线检测导致的平台手动审核减少所致,而不是实际CSEM发生率下降。
(2)国家执法部门提供的有关CSEM的检索数量信息:多个国家报告称,具有CSEM特征的非法网站的访问量有所增加。
(3)市民向执法机构或其他机构举报的个案数目(热线电话):西班牙报告称,自2020年3月初以来,公众递交的CSEM在线投诉数量显著增加(图1)。2月份投诉数量比1月份增加了100起。丹麦报告称,CSEM非法网站的访问次数有所增加,被搜索的CSEM网站数量从18个增加到55个,一周增加了三倍。
图1:公众对CSEM线上投诉量(2017-2020)
(4)在线论坛上讨论CSEM的新增帖子数量和性质:“孤独”和“无聊”的违法分子表示,他们对图像交易兴趣激增,在一些国家,越来越多的成年犯罪分子试图通过社交网络主动与儿童联系。
(5)犯罪分子在论坛上的对话:关于COVID-19疫情的讨论已经出现在暗网的CSEM论坛上。那里的用户表示,他们预计孩子们将花更多的时间上网,他们也将有更多时间下载“可用资源”。
(6)通过点对点文件共享网络下载CSEM的链接数:以西班牙为例,从3月17日到3月31日的两周内,该数据增长了25%,如图2所示。其他国家也报告了类似的趋势。
图2:下载CSEM的IP数量统计
展望
● 犯罪分子可能会利用儿童的情感认知弱点,通过伪装对其进行性威胁和勒索。
● 在无人监督的情况下上网的儿童,将越来越容易通过网络活动(如在线游戏、社交网络、电子邮件等)将自己暴露在攻击者面前。
● 远程办公的成年人无法像以前那样监督孩子的网络活动,也无法积极参与孩子的线下活动。同时,他们也更容易受到网络钓鱼软件的攻击,这些软件会窃取他们的个人和家人的信息,而这些信息将会被不法分子用来伤害他们和他们的孩子。
● 不太安全的在线教育APP可能会使儿童受到更多不必要的关注,他们的个人信息也会被自动识别。
● 有些情况下,儿童可能会倾向于自制CSEM与同龄人交流或寄给包括成年人在内的其他人。
4 暗网
COVID-19对暗网的影响仍在持续。欧洲疫情爆发初期,暗网的交易经历了最初的波动后,在整个3月稳定下来。社交媒体、即时通讯和安全通信应用程序等平台,也可能越来越多地被用于在线分销包括毒品在内的非法商品。
4.1 新的机遇
COVID-19带来了新的商机,例如提供防疫物资,其中口罩和测试包最为常见。在激烈的竞争市场中,供应商通过打折促销促进业务发展,虽然意图可能是好的,但是也为假冒伪劣商品的销售提供了便捷的渠道。
假冒伪劣产品大多在匿名化平台Tor和以隐私保护著称的去中心化平台Openbazaar销售,到目前为止,只有一小部分此类商品在暗网上销售,可能是因为防疫物资的广泛客户群不是传统的暗网用户。但是如果此类物资变得既昂贵又稀缺,而消费者又想从其他渠道购买,那么暗网将成为潜在的分销市场。
4.2 需求
暗网市场用户、供应商和其他平台的用户,包括个人公民和寻求获取非法产品的犯罪集团都存在潜在需求。而暗网的进入技术壁垒很低,任何对在线技术有基本了解的人都可以免费访问。
展望
● 到目前为止,在网上购买非法商品的用户数量并没有显著增加。然而,供求关系的变化是可以预见的。
● 对于与毒品相关的项目,发展前景主要取决于供应链的畅通。如果消费者难以获取某些毒品,他们可能会尝试寻找其他途径。这可能包括某些减少社交距离和增加公共卫生风险的方法。
● 对于防疫物资,需求可能会继续反映在明网上。明网平台上的商品稀缺可能会促使客户在暗网上寻找替代方案。
5 混合威胁:虚假信息和干预行动
混合威胁包括网络攻击、虚假信息、破坏关键服务、破坏公众对政府机构的信任以及利用社会漏洞。关于COVID-19的虚假信息不断在世界各地扩散,对公共卫生和有效的危机治理可能产生严重后果。一些国家利益团体试图利用公共卫生危机来推进地缘政治利益,直接挑战欧盟及其合作伙伴之间的信任关系。
5.1 虚假信息
虚假信息和假新闻的传播是混合威胁中的一个关键因素。由于信息过度饱和,加上人们认为缺乏值得信赖的新闻来源,从而加深了人们的某些先入为主的观念,变得易受攻击并容易接受虚假信息。
在许多情况下,传播假新闻和虚假信息不被视为刑事犯罪。虚假信息的传播主体非常复杂,包括寻求经济利益的网络不法分子和国家利益团体。
5.2 网络犯罪
老练的网络犯罪分子和机会主义者都通过不同的方式传播虚假信息,以从中获利。有些人只是想通过数字广告获得直接的经济利益,因为与COVID-19有关的假新闻的参与度可能很高。最近几周,与COVID-19有关的新网站数量激增。
另一种从COVID-19疫情中获取经济利益的方式是传播关于病毒可能治愈或可以有效预防的假消息。在某些情况下,这些信息相对无害,虽然它们给人一种错误的安全感。但是,这样的信息也可以帮助不法分子出售他们声称可以预防或治愈COVID-19的药品。
根据欧洲对外行动署(EEAS)的说法,某些国家利益团体也参与虚假信息传播,试图破坏政府的稳定。暴力极端分子和恐怖分子也在利用疫情传播他们的信息。
展望
围绕COVID-19传播的虚假信息对公共卫生安全和有效的危机治理具有潜在的威胁。从深层次来看,协调一致的虚假信息宣传可能会加剧人们对民主机构有效应对当前形势能力的不信任。犯罪组织、国家利益团体试图利用公共卫生危机推进地缘政治利益。
编译 | 李顾元/上海社会科学院信息所研究生
声明:本文来自赛博研究院,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。