内部威胁升级:犯罪团伙以高价购买员工敏感系统访问权
网络犯罪集团正日益放弃暴力破解攻击,转而采用一种更高效但令人不安的策略:招募内部人员。暗网广告和加密通信渠道激增的现象揭示,威胁行为者正在积极招揽大型银行、电信公司和技术巨头的内部员工,为获取网络访问权限或敏感数据提供3000至15000美元不等的报酬。
这种转变代表了网络威胁格局的关键演变。攻击者不再花费数周时间试图利用软件漏洞,而是利用人性的弱点——贪婪、不满或经济绝望——来完全绕过外围防御。
这些招募活动通常非常复杂,将高额经济激励与心理操控相结合。虽然许多暗网帖子是交易性的,但另一些则使用旨在为背叛行为辩护的情感语言。例如,七月份观察到的一个引人注目的活动针对心灰意冷的员工,敦促他们通过与网络犯罪分子合作来“摆脱无休止的工作循环”。这些帖子通常将内部合作描述为通往财务自由的捷径,而非犯罪行为,并承诺为长期访问权限提供五到六位数的报酬。
高价值目标:加密与金融 金融领域,尤其是加密货币平台,仍然是这些招募活动的主要目标。最新情报显示,威胁行为者已专门针对Coinbase、Binance、Kraken和Gemini等主要交易所以及Accenture和Genpact等全球咨询公司的内部员工。
被盗金融数据的市场利润丰厚。虽然标准访问费用在3000至15000美元之间,但高价值数据集的价格要高得多。例如,一个包含加密货币交易所3700万用户记录的数据集最近标价25000美元,这些数据可用于推动高度针对性的网络钓鱼和账户接管活动。
传统的银行机构同样面临风险。暗网上的列表曾提供报酬,以换取与美国联邦储备系统相关的系统的直接访问权限以及中欧银行的交易历史记录。一些计划甚至提出“类似工资”的安排,向税务机构的内部人员提供每周1000美元的报酬,条件是这些人持续提供数据流。
作为其他行业支柱的科技公司,正面临着激进的招募尝试。已发现针对Apple、Samsung和Xiaomi员工的广告。在一个案例中,犯罪分子向云服务提供商的内部人员提供高达10000美元的报酬,旨在破坏供应链。
技术公司面临威胁
电信提供商因其能够促进SIM卡交换攻击而成为特定目标。犯罪分子向愿意拦截短信的电信员工提供10000至15000美元的报酬,这是针对高价值受害者绕过双因素身份验证的关键步骤。
按行业划分的内部招募报酬
| 目标行业 | 期望的访问/行动 | 预估报酬 |
|---|---|---|
| 加密与金融 | 用户记录、交易历史、交易所访问权限 | 3000 – 25000+美元 |
| 电信 | SIM卡交换、短信拦截(用于绕过2FA) | 10000 – 15000美元 |
| 技术与云 | 账户重置、供应链访问 | 高达10000美元 |
| 物流 | 海关检查操纵、货物转移 | 500 – 5000美元 |
勒索软件集团扩大覆盖范围 这种招募活动不仅限于数据盗窃;它正在成为勒索软件集团的标准操作程序。访问权限经纪人和勒索软件附属机构现在正在使用Telegram等平台直接招募内部人员。
勒索软件集团扩大招募
一个拥有超过400名成员的团体最近宣传可以访问一个勒索软件门户,鼓励渗透测试人员和企业员工从自己组织内部部署加密工具,以分享赎金。
为了应对这种日益增长的威胁,组织必须超越技术层面的防御。
- 行为监控:实施用户和实体行为分析,以检测异常的数据访问或传输模式。
- 暗网监控:主动监控暗网论坛和通信渠道,查找提及本组织或泄露专有数据的情况。
- 访问控制:执行最小权限原则,以限制单个受损内部人员可能造成的损害。
随着攻击者继续将员工视为“最薄弱环节”,公司必须将员工忠诚度和监控视为其防御策略的关键组成部分。