马克·霍夫曼 是一位备受赞誉的商业心理学家、犯罪和情报分析师,以及行为和网络分析方面的专家。 作为网络安全行业广受欢迎的演讲者、顾问和培训师,他曾协助世界各地的警察、政府机构和非政府组织识别和缓解网络威胁。
我们与他讨论了网络犯罪趋势、典型的黑客特征以及深度伪造的危险。
网络犯罪侧写与其他类型的犯罪侧写有何不同?
网络犯罪画像是一门完全不同的学科,但有一些传统的犯罪画像方法也可以应用于网络空间。 为了 example, FBI 有长期的方法来分析威胁信件以确定其严重性(称为威胁评估)或识别肇事者。 今天,这些信件采用电子邮件或其他加密信息的形式,但基本原则保持不变。 网络跟踪和网络欺凌等现象也不是全新的,因为它们只是现代形式的跟踪和欺凌。
然而,网络空间中的黑客和其他罪犯平均来说比其他罪犯更聪明,也更难抓到。 虽然有一种刻板印象认为连环杀手都非常聪明——就像汉尼拔·莱克特博士一样——但我的工作和研究表明,只有白领罪犯和网络罪犯才能找到具有这种非凡才智的人。 这些人通常为自己的黑客能力感到自豪,并将其视为宝贵的技能组合。
网络罪犯有哪些常见的性格特征或心理特征?
黑客的共同特征是年轻、男性、受过良好教育、智力高于平均水平。 他们从事寻求刺激的行为,并享受击败系统的挑战。 我还将许多(但不是全部)描述为某种旨在“违背”系统的数字无政府主义者或黑客行动主义者。
然而,重要的是要了解大多数黑客在 11 到 15 岁时开始学习这门手艺。他们最初可能会犯一些轻微的罪行,例如监视同学、侵入学校系统或进行信用卡欺诈。 这些 11 岁的孩子是贪婪的精神病患者吗? 不。相反,他们寻求关注、欣赏和确认——成为重要人物、成为重要人物、被人看到。 我很多学校都有乐队,有足球队,有辩论社,但几乎没有对11岁IT人才的赞助。 也不是说他们11岁就能找到实习或者兼职,没人把他放在眼里。 但是当他入侵一家公司时:突然之间,他们开始认真对待他了。 现在他们必须倾听。
大多数黑客在 11 到 15 岁时开始学习这门手艺。他们最初可能会犯一些轻微的罪行,例如监视同学、侵入学校系统或进行信用卡欺诈。 这些 11 岁的孩子是贪婪的精神病患者吗? 不。相反,他们寻求关注、欣赏和确认——成为重要人物、成为重要人物、被人看到。
美国国家安全局 (NSA) 定期提供谜题和加密挑战,让年轻人才有机会善用他们的技能。 这种做法是完全正确的。 因为否则孩子们会学习黑客 YouTube, 在 暗网,并迅速切换到“黑暗面”。
建立准确的黑客档案需要什么样的信息?
在网络分析中,语言是关键——从心理学的角度来看,它通常是唯一可以分析的东西。 而且它经常涉及网络犯罪,例如 钓鱼邮件、钓鱼(语音钓鱼)电话、赎金谈判、威胁信息、聊天和暗网论坛帖子。
虽然许多人都熟悉方言,这是语言使用的区域差异,但还有一个叫做“方言”的概念,这是一种像语言指纹一样的个人方言。 将其与 AI, 并且很有可能根据他们的方言来识别个人。 然而,实际上,如果您能够确定某人来自哪里,他们是否用母语写作,您是否在与一个群体打交道,那已经很有帮助了。
你说过人为错误占成功的网络攻击的 90%。 你能详细说明你的意思吗?
网络攻击发生在点击链接的人、打开附件的人、在手机上泄露密码的人、出于好奇拿起并插入 USB 记忆棒的人、上当受骗的人、大声谈论敏感话题的人在机场,登录外国 Wi-Fi 网络的人,在商务休息室或火车上将笔记本电脑解锁的人。 从勒索软件到间谍活动,人显然是最薄弱的环节。 Bruce Schneier 曾经说过“业余爱好者破解系统,专业人士破解人”。 他是对的。
2019 年,钓鱼邮件被用于窃取超过 1 亿美元的资金 Google 和 Facebook. 如果它可以发生在他们身上,那么它可能会发生在任何公司身上。
Bruce Schneier 曾经说过“业余爱好者破解系统,专业人士破解人”。 他是对的。
您谈到了社会成为抵御网络犯罪的“人体防火墙”的概念。 你这是什么意思?
即使一家公司拥有超级防火墙和先进的 IT 基础设施,黑客只需打电话给员工并操纵他们提供访问数据或假装是老板并指示转账。 您在技术上无法采取任何措施来防止攻击。 重要的是要了解网络安全是一项管理任务,应该是 C 级的优先事项。 网络安全是技术安全和人类网络安全意识的结合。
您是否认为 deepfakes 有可能通过使用令人信服的视觉或音频来欺骗人们,从而使社会工程攻击变得更加危险?
绝对地。 深度造假 将把 CEO 欺诈带到一个全新的水平。 犯罪分子可以从播客、电视采访或讲座中“窃取”某人的面孔和/或声音 YouTube 并使用此身份进行 CEO 欺诈或其他身份盗用。 令人难以置信的是,如今制作精良的 Deepfakes 的质量令人信服——你甚至认不出自己的母亲。
在迪拜,曾发生一起利用深度语音技术抢劫银行3500万美元的案件。 黑客“窃取”银行经理的声音来操纵员工进行交易。 使用深度语音技术的银行抢劫让我们得以一窥未来。
根据您作为网络犯罪分析师的经验,近年来您观察到的网络犯罪趋势中有哪些最显着的变化或转变?
对我来说,网络犯罪和社会工程学的三大趋势是:
- 深度造假 (如上所述)
- ChatGPT,因为它扩大了可能的肇事者的圈子,并通过为他们提供制作文本所需的工具来降低“入门级” 社会工程学 和虚假信息。 它甚至可以自己生成代码。
- 犯罪即服务 结构(即向其他犯罪分子提供网络犯罪工具和服务的商业模式)正变得更加专业。 他们像公司一样运作,但比许多公司更有效率。 他们在黑暗中建立了实体经济。
有哪些关于网络犯罪的常见误解需要被揭穿,我们如何教育公众更多地了解和了解这些问题?
最糟糕的神话是小公司认为他们不会受到网络攻击的影响,因为他们不够有趣或太小。 但那是错误的; 甚至幼儿园和牙医也会受到攻击。 有两种类型的公司:受到攻击的公司和将要受到攻击的公司。 唯一的问题是当有人试图攻击他们时,公司是否做好了准备。 这是一个意识和准备的问题。
最著名的神话是:不,黑客并不总是穿着黑色连帽衫。
为了教育大众,关于网络犯罪的讨论需要更有趣、更激动人心。 我参加了从柏林到迪拜的许多网络会议,专家们在会上就专家话题进行交流。 这很好,但最后是接待员打开链接或泄露密码。 作为演讲者,我尽我所能让人们对这个话题感到兴奋,否则他们可能不会感兴趣。
有两种类型的公司:受到攻击的公司和将要受到攻击的公司。
随着人工智能的兴起,你怎么看 AI 在剖析黑客和识别网络犯罪趋势方面发挥有益作用?
在黑客与安全提供商的较量中,双方都配备了 AI,这加速了竞争。 为了 example,取证研究网站Hacker Factor上有一款名为“Gender Guesser”的工具,可以根据男性和女性在写作上的差异数据,用几句闲聊来做出关于此人性别的概率陈述。
所以,如果一个 AI 已经可以从 10 个单词中识别出我的性别,想象一下它通过分析 10,000 封电子邮件可以做什么。 语言指纹? 可能的。 重要的是要注意 AI 可以给罪犯以及警察和情报机构带来好处。
您认为政府是否需要对深度造假进行监管,如果需要,该监管应该是什么样的?
为了 AI 总的来说,我会说:机会第一,规则第二。 欧洲讨论禁止 ChatGPT. 我认为这是非常愚蠢的。
然而,当谈到深度造假时,我得出了不同的结论。 Deepfakes 就是这样; 假货,虚假身份。 从选举操纵到诽谤,从网络欺凌到 CEO 欺诈,我基本上只能想到你可以用它们做的坏事。 除了搞笑视频。 在这种情况下,某种验证(或者可能使用 NFT)可能就是答案。 最近有一张病毒(假)图片 穿着时髦夹克的教皇. 现在,即使是记者在看到图片或视频时也不得不问自己:这是真的吗? 我们已经到了无法再相信自己眼睛的地步。
Mark T. Hofmann 是行为和网络分析领域的专家。 他是著名的犯罪和情报分析师、商业心理学家和主讲人,曾在 CNN、CBS 和 60 Minutes Australia 等各种新闻平台上发表过专题报道。 凭借对网络安全的热情,他旨在激励全世界的人们成为“人类防火墙”,并与日益增长的网络犯罪威胁作斗争。
通过他的主题演讲,霍夫曼深入研究了网络犯罪的心理学,回答了黑客的动机以及他们最新的社会工程技术是什么等问题。 Hofmann 为想要更多地了解网络安全并更好地保护自己免受网络犯罪侵害的个人提供了宝贵的资源。 访问他的网站了解更多信息。
