当执法机构吹捧他们最新的网络刑事逮捕时,被告经常被描绘成一个虚张声势的逃犯,从事着复杂的、有利可图的甚至令人兴奋的活动。但新的研究表明,由于网络犯罪已经变得以付费服务为主,支持这些企业所需的绝大多数日常活动实际上都是令人麻木和乏味的,强调这一现实可能是打击网络犯罪、引导犯罪者走上更好道路的一种更有效的方式。
这一发现来自剑桥大学网络犯罪中心的研究人员发布的一篇新论文,该论文研究了建立、维护和捍卫非法企业所需的质量和工作类型,这些企业在网络犯罪即服务市场中占据了很大份额。特别是,学者们将重点放在僵尸网络和DDoS出租或“引导”服务、地下论坛的维护以及恶意软件即服务产品上。
在考察这些业务时,学者们强调,参与网络犯罪的人的浪漫观念忽略了支持在线非法经济所需做的工作中往往平凡、机械的方面。研究人员得出结论,对于许多涉案人员来说,网络犯罪只不过是一份枯燥的办公室工作,维持着这些全球市场所依赖的基础设施,这项工作的性质与合法系统管理员的活动几乎没有什么不同。
该报告的合著者、剑桥网络犯罪中心主任理查德·克莱顿(Richard Clayton)表示,这些发现表明,政策制定者和执法机构在发布夸张的新闻稿时,可能对任何人都没有好处,这些新闻稿将他们的网络犯罪调查称为针对老练的行为者。
“每个人看待网络犯罪的方式都是,他们都对摇滚明星和所有令人兴奋的东西感兴趣,”克莱顿告诉Krebson Security。“这传达出的信息是,网络犯罪有利可图,令人兴奋,而对于大多数涉案人员来说,情况绝对不是这样。”
“我们发现,随着网络犯罪发展成为工业化的非法经济,一系列乏味的支持性劳动形式也随之激增,就像主流工业化经济体一样。我们认为,发达增长国家的网络犯罪经济体已经开始创造自己乏味的、低成就感的工作岗位,变得不再那么注重魅力、越轨和身份认同,而更多地关注稳定以及风险的管理和扩散。研究文献表明,那些参与其中的人最初很可能是被媒体对黑客和技术偏差的激动人心的描绘所吸引。
“然而,他们实际参与的工作和做法,并不反映早期”黑客“社区的兴奋和探索,而更类似於贩毒团伙的低级工作,即赚取微薄的金钱,为他们有朝一日可能成为主要参与者的抱负而乏味地工作。”这造成了相同的无聊条件…。当现实浮出水面时,这些地位和财务目标在非法经济中就像在正规就业市场一样受阻时,就会出现在主流工作中。“。
研究人员利用了对从事这类企业的人的采访,对前或改过自新的犯罪黑客的案例研究,以及地下论坛和聊天渠道居民的窃取帖子。他们把重点放在保持各种犯罪服务有效运作和不受入侵者、内部冲突、执法或竞争对手干扰所需的活动上。
例如,运行有效的引导服务需要大量的管理工作和维护,其中很多工作涉及不断扫描、征用和管理可用于放大在线攻击的大量远程系统集合。
启动服务(也称为。“压力者”),就像许多其他网络犯罪即服务产品一样,它们的生死往往取决于其正常运行时间、有效性、公平对待客户以及快速响应用户询问或担忧的声誉。因此,这些服务通常需要对客户支持工作所需的员工进行大量投资(通过票务系统或实时聊天服务),当付款出现问题或客户不了解如何使用服务时。
在对一家靴子服务的前管理员的一次采访中,这位老板告诉研究人员,在厌倦了与客户打交道后,他辞职了,继续正常的生活。这些客户认为维持服务运行所需的所有繁琐工作都是理所当然的。采访内容如下:
“在做了将近一年之后,我失去了所有的动力,真的不在乎了。所以我就离开了,继续生活。这根本不够有挑战性。制造压力源很容易。提供运行它的动力是棘手的部分。当你不得不全力以赴,全神贯注的时候。当你不得不坐在电脑屏幕前,每4小时扫描、过滤,然后再过滤超过30安培时,就会变得很烦人。“。
研究人员指出,这种倦怠是客户支持工作的一个重要特征,“这种工作的特点不是对曾经有趣的活动逐渐解脱,而是一旦达到可以从这项工作中获得的社会和金融资本的低上限,就会逐渐建立起无聊和不抱幻想的感觉。”
运行恶意软件即服务产品也会给开发人员带来损失,当运行良好的服务出现间歇性中断时,他们很快就会发现自己被客户支持请求和负面反馈淹没了。
事实上,臭名昭著的宙斯特洛伊木马(Zeus特洛伊木马)的作者-一个强大的密码窃取工具,为从被黑客攻击的企业窃取的数亿美元铺平了道路-据说已经辞去了工作,并发布了恶意软件的源代码(从而催生了整个恶意软件即服务产品行业),主要是为了将技能集中在不那么乏味的工作上,而不是支持数百名客户。
报告还说:“虽然它们听起来很迷人,但提供这些网络犯罪服务需要与许多非犯罪企业相同水平的枯燥、例行工作,如系统管理、设计、维护、客户服务、打补丁、修复漏洞、记账、回应销售查询等。”
在某种程度上,宙斯的作者经历可能不是最好的例子,因为他想摆脱支持数百名客户的愿望,最终导致他将注意力和资源集中在构建更复杂的恶意软件威胁上-他将基于点对点的Gameover恶意软件租赁给了一小部分有组织犯罪集团。
同样,本月“连线”杂志的封面文章介绍了马库斯·哈钦斯(Marcus Hutchins),他说他“很快就厌倦了他的僵尸网络和托管服务,他发现这些服务涉及安抚许多‘发牢骚的客户’。”所以他辞职了,开始专注于他更喜欢的事情:完善自己的恶意软件。
剑桥大学的克莱顿和他的同事们认为,后两个例子更多的是例外,而不是规则,他们的研究指出了打击网络犯罪的重要政策含义,这些含义往往被忽视或忽视:即关注注意力和无聊经济学的干预措施,以及尽可能使这类工作变得费力和乏味的干预措施。
许多网络安全专家经常说,关闭域名和其他与网络犯罪业务有关的基础设施无异于一场打地鼠的游戏,因为肇事者只是为了恢复运营而搬到其他地方。但剑桥大学的研究人员指出,每一次删除都会给管理员重新建立网站带来更多重复、乏味的工作。
研究人员指出:“最近的研究表明,Booter市场特别容易受到针对这项基础设施工作的干预,这使得这些服务器经理的工作更加乏味,风险也更大。”
该文件特别注意到,它对非法经济中未经培训的管理工作的“无聊”的描述不应被视为指责合法系统管理员的宝贵和复杂的工作。这份文件注意到,它对非法经济中未经培训的管理工作的“乏味”的描述不应被视为指责合法系统管理员的宝贵和复杂的工作。相反,它是要认识到,这是一种与工程工作不同的知识和技能,需要以不同的方式传授、学习和管理。
作者的结论是,执法和政策专业人员围绕网络犯罪使用的主要信息传递形式的改变,可能也会支持以这种方式重新调整干预的重点:
“如果参与这些经济体实际上是基于不正常的愿望,而不是不正常的经验,那么目前占主导地位的信息传递方法往往侧重于这些行为的危险和有害性质,网络犯罪分子拥有的高水平技术技能,在非法网络经济中赚取的大量资金,以及被发现、逮捕和起诉的风险,这可能会适得其反,只会助长推动这项工作的愿望。”相反,通过强调这些工作的繁琐、低技能、低收入和低地位的现实,信息传递可能会劝阻那些参与离经叛道的在线亚文化的人从在论坛上发帖到犯下低级犯罪的飞跃。
“此外,强调合法经济中缺乏系统管理员和‘测笔员’工人的转移注意力的干预措施(”如果你在一份合适的工作中做同样的事情,可能会得到丰厚的报酬“),需要认识到,途径、动机和经历可能比预期的要平淡无奇。”
“事实上,将网络犯罪分子概念化为热爱和理解技术的高技能、有创造力的青少年,可能会误解这些市场所依赖的大多数人的特征,这些人往往是低技能的管理人员,对他们维护和管理的系统知之甚少,他们的方法更类似于维护者的实践知识,而不是软件工程师或安全研究人员的系统知识。找到所有这些无聊的人在合法经济中找到合适的工作,可能既是为了提供基本培训,也是为了让超级巨星空降到关键职位。