1919年,查尔斯·庞齐(Charles Ponzi)在波士顿开设了一家所谓的“证券交易公司”,向外界宣称该公司将从西班牙购入法、德两国的国际回邮优待券,加上一定的利润转手以美元卖给美国邮政局,以此赚取美元与战后货币严重贬值的法、德两国货币的“价差”。
事实上这个计划根本赚不到钱,但还是有些人冲着一个半月内能获得50%的回报率去尝试投资,让那些初期投资者感到狂喜的是,他们如期获得了红利。狡猾的庞齐把新投资者的钱作为快速盈利付给最初投资的人,以诱使更多的人上当。由于获得了难以置信的赢利,这一“消息”大范围地扩散开去,庞齐成功地在几个月内吸引了数万名投资者,累积获得的投资就超过了1500万美元。
后来当波士顿媒体的报道造成新投资者对公司的质疑和观望,使公司没有新的资金来源去支付先期投资者的利息时,他关掉店门,带着约4万名投资人的毕生积蓄逃之夭夭。这就是后人津津乐道的经典“庞氏骗局”(Ponzi Scheme),它也被称为金字塔计划。庞氏的伟大创新不是在骗人——这和时间一样古老。相反,它是在招募人们将他的欺诈性股票出售给朋友和邻居。他招募他的朋友卖给他们的朋友,等等。他的创新是利用人们的信任天性。
这些骗局今天仍然存在,只是更加复杂。对于诈骗者来说,它们非常成功。那么,庞氏骗局可以告诉我们什么有关网络安全的信息?
几年前,我和一些商业领袖一起参加了一个公安机构举办的网络安全课题。其中一名网络专员问我,“我们防止用户点击恶意内容?”我笑着说:“砍手才行!”尽管我的回答令人毛骨悚然,但是却是非常真实和无奈的,因为无法阻止人们想要与其他人建立联系。为什么这么说呢?很简单,人们容易上当受骗。人类天生就会信任他人,尤其是朋友、家人和权威人物。这是因为人类文明依赖于信任。
人类社会进化到当今,是建立在相互信任的基础上发展和繁荣起来的。当人们相互信任时,每个成员都可以在其中发挥作用,这样社会才能如马列主义所讲的那样,有大的分工及协作。此外,信任是社区团结起来抵御外来威胁的方式,也是文明的基础。
如果人们不能信任他们的领导人或邻居,那么国家和社会就会崩溃。当人们对社会及其领导人失去信心时,人类历史上充满了文明崩溃的故事。对此,昆明亭长朗然科技有限公司网络安全研究员董志军表示:黑客利用人们的信任天性,电信诈骗、网络钓鱼和社会工程骗局一直成功,并不是因为人们没有意识到威胁,而是因为信任是与生俱来的。
最近,我们经常能够听到很多网络安全人员表示需要加强“人员防火墙”。这个术语背后的想法是,我们必须建立人们的防御机制,以抵御对恶意软件的点击或陷入网络钓鱼的骗局。
对人类防火墙的日益关注部分是对重大漏洞(弱点)的反应。在所有那些重大漏洞中,真正的防火墙(以及其他安全技术)未能阻止攻击。大多数违规行为始于网络钓鱼电子邮件或社会工程攻击。西方有实践已经反复证明:利用社会工程学骗术平均成功率远远超过50%。在最近进行的一次“护网行动”的红队测试中,利用社会工程学的攻击让攻击方轻松进入了防守方的大门。
当在技术上花费几百万甚至上千万元,却仍然能阻止一次渗透测试攻击时,网络安全负责人能怎么办?能对大领导说些什么?“建立人类防火墙!”无疑是无法逃避的了!然而,人心不是软件代码,人性漏洞的修复是文化习俗的修复,总不能搞到社会缺乏信任吧?
所有,安全效率平衡论又起,“没有绝对的安全,只有相对的安全。”这种论调无疑是给自己找个台阶。风险接受、风险转移论再上台面,“没必要为了微弱的、残留的风险而花费太大的成本,可以考虑购买网络安全保险来转移风险!”不愿意承担责任,找借口是最容易的了,指责人们过于轻信和容易上当,只需一句话。而要解决这些,就需要实施“安全意识计划”,使人们保持怀疑,固守流程和不相信任何人,再来一场“文化大革命”,让人人自危吧。
的确,“安全意识培训”和“模拟网络钓鱼”将帮助人们认识世界之“恶”,让人们知道不法分子的技俩以及防范方法。并非所有人都是可被信任的,然而,当一切都变得不确定和不稳定之时,人们的生活会变得一团遭。如果走在大街上闲逛时,时刻担心窃贼、抢劫犯或恐怖分子,并时刻盯着街道上的行人,假想着紧急情况时,该如何躲避、逃遁或抵御,那可能会防止万一,不过逛街还有什么意义!不过,话说回来,安全意识计划要发挥作用,安全专业人员和领导者需要负责共同构建,让安全真正保护业务,而不是阻止业务成长、繁荣和创新。
当人们感到安全时,他们就会更加信任。信任促进创新、创造力和繁荣。这就是为什么我们有公安警察、保安人员和机场安检的原因。他们可能无法阻止所有犯罪,但是却为我们的社会提供了一层安全保护。透明、规矩和信任,是防范社会安全事件和电信诈骗的法宝。
信息安全专业也是如此。例如漏洞管理、访问控制或加密等安全控制措施是必须的,如果能够在关键时刻,扫描用户,让用户明白其在进行的操作,即使是一个骗局,用户也得承担后果!教导最终用户如何不要轻信他人,这种“关爱”是永远不足的。因此,再多的“人类防火墙”培训也无法弥补薄弱的安全控制措施。拿银行为例,钱是储户的,储户自己愿意把钱转给了骗子,关银行个甚事儿!非要银行设置ATM转款不能及时到账,给设置一个“反悔期”,看似多了一种安全保障,其实这个小动作对于防骗是永远不够的,只是把骗子推到别的路子上了,反而影响了正常人通过ATM机转款的快捷,这是啥道理!
骗局之所以有效,是因为我们是人,是人就有天生的弱点。轻信他人、贪小便宜,这些永远都是人类的天性。我们作为安全专业人员所做的任何事情都不会改变这一点,除非人们自己主动认识到这些。经典的“庞氏骗局”经久不衰的原因,就在于人类不涨记性,所以韭菜总是一拨一拨地成长,总有人一拨一拨地收割。聪明的安全专业人员是人性弱点的认识者和披露者,并非改变者。记住:防范社会工程学诈骗,最佳的方法是认识世界的欺骗性,进而接受,继而不参与,即可获得自由与安全。说到底,打击新型电信诈骗,只会“野火烧不尽,春风吹又生。”只会肥了网络安全人员,于世事无补,受害者的钱财追不回来,骗局也不会因此而变得少一些。尽管这冷的令人毛骨悚然,然而这就是现实世界的残酷之处,外力只能改变一时的表象,内心的强大才是永远。
大到人类社会治理如此,小到一家组织机构来讲,人为错误是不可避免的,即使在像网络安全这样彻底且技术上高效的领域也是一样。虽然有一些机制可以防止和检测此类社会工程学及欺诈事件,但有时,即使是通常运行良好的公司企业也可能成为由于人为因素而引起的漏洞的受害者。幸运的是,通过识别常见问题领域并相应地解决它们,组织机构可以将人为错误降至最低并确保业务照常运作。对此,董志军补充说:尽管人为因素是网络安全及保密工作的主要非技术性绊脚石,但是如果员工遵守明确、定义明确的安全保密政策,积极实践并参与例行的网络安全保密培训和演习,那么,组织的网络和数据可以得到有效的保护,即使员工泄露了敏感或秘密信息,或者被社会工程学骗子骗走了金钱,那也得心甘情愿地赔偿,至少付出巨大的代价。总之,只要防范措施得当,员工违规泄密不是问题,防止、降低或减少由此而带来的损失才是关键。当员工们知晓了在网络安全方面违规,或者泄露秘密将带来的后果时,不用多讲,他们会从内心还始,提升觉悟,并参与到恶意内容和社会工程学防范的行动之中。
