一种新的黑色产业正进入爆发期——网络勒索。 美国是全球受网络勒索最严重的国家。 2021年3月,美国最大的保险公司CNA被勒索,最终支付赎金4000万美元;2021年,笔记本生产巨头广达被勒索,MacBook的工程图纸被盗,被勒索了5000万美元;2021年5月,美国最大的成品油管道运营商被勒索,石油运输管道被迫关闭,导致美国政府宣布进入国家紧急状态,最后支付了97个比特币,约合当时的500万美元。 导致今年赎金支付激增的罪魁祸首是两笔数百万美元的勒索,始作俑者分别是Quantum Locker和LockBit 2.0。前者崛起势头迅猛,后者是今年到目前为止在双重勒索泄密网站上最活跃的勒索软件团伙。 绝大部分勒索软件是以钓鱼邮件和钓鱼网址形式安装进电脑的,有黑客表示,哪怕是保密制度做到了顶尖的企业,也很容易被攻破。只要在他们公司门口扔几个大容量的U盘,过不了两天,你做的勒索软件就顺利安装到那家公司办公区的电脑里了。因为人的好奇心实在太旺盛了,捡到一个256GB的U盘,总忍不住插到电脑上,看看里面有什么。 最常见的网络勒索是这样的:当你打开电脑,发现屏幕上的图标都不能点开了,点任何一个都弹出对话框,告诉你电脑已经被锁定,需要向一个地址汇多少个比特币才会帮你解锁。或者是告诉你,你的数据库已经被拷贝走了,请在某日之前交纳多少多少赎金,如果没有收到,就会在暗网上拍卖这些数据。 网络勒索爆发,使它形成了一个和传统世界里的毒品、偷渡、走私类似的黑色产业,并且规模还将快速扩大,不久后,可能会成为全球公敌。 网络勒索从默默无闻到爆发的三个外部条件——产业的数字化、虚拟币的发达、疫情下的货币滥发。 数字化越深的企业,被勒索以后就越倾向于交纳赎金,毕竟长期停工带来的损失更大。 今天,超过半数的企业是会同意支付赎金解决问题的。 换句话说,产业数字化程度越深,受网络勒索的伤就越重。 虽然中国企业今天还没有被盯上,但产业数字化是一个大趋势,被勒索这件事无国界,只要条件满足了,早晚都会发生。咱们也得有所警惕。 2020年和2021年,通过加密货币支付的赎金总额连续翻倍。2020年大约是1.1 亿,2021 年大约是3.5亿,占比加密货币总交易金额的7%左右。2020年,比特币迈入新的体量,华尔街金融集团的进入让币值大涨,真正成为了一个主流的国际投资品。甚至不少知名学府的学费、房地产公司的房屋,都可以用比特币支付。 如此匿名又方便的支付手段,今天已经是网络勒索必选的途径。 全球货币的滥发,提高了黑客心中的价格预期。 疫情开始后,很多国家都在给在家的民众发钱、给工厂补贴。这两年,增发的货币是如此之多,多到了全球所有大宗商品的价格都在猛涨,多到了虚拟币的价格成百上千倍的涨。 这同样刺激了勒索的金额。2021年发生的勒索事件,平均勒索金额是80万美元,最高一笔是7000万美元。 如何防止网络勒索? 个人或者公司把重要信息存储到云服务器上,能不能解决网络勒索的问题呢? 加强监管、加重制裁,是不是管用呢? 简单地说,云服务并不能解决网络勒索的问题,加强监管、加重惩罚的效果可能也很微弱。 现在,除了巨型的公司在建设自己的云服务网络之外,95%以上的中小企业的服务器都已经在云上了,很少有企业自己搭建服务器。 其实,国内不少机构也被勒索过,而且都是通过交赎金解决的。 有的公司选择不交赎金,但贼不走空,既然你不打算交赎金,那把盗取的数据在暗网上卖掉,这次勒索,他们也没白忙活。 想要解决这个问题,只能靠加密技术的变革或存储技术的变革。 现在是“道高一尺,魔高一丈”的阶段,我们期待“道高十丈”的那一天早点到来。 (本文首发于微信公众号“科学强国”) 作者:苏枫 编辑:郭玲 审校:龚紫陌 视觉:龙昊 |