編輯導語:隨着數字技術的快速發展,人們在獲得更加便捷的生活方式的同時,也同時面臨着一定的數字安全威脅,正所謂事物皆有雙面性。那麼當下的我們需要避免什麼形式的數字威脅?不妨看看作者的總結吧。
2022年開局,幾乎是各種負面新聞和疫情反覆的錘鍊,很多“心大”的朋友都開始變得焦灼,紛紛表示“蚌埠住了”。疫情第三年,大家的情緒似乎都抵達了一個臨界點。
然而,越是令人身心疲憊的危機時刻,越要穿好健康和安全的鎧甲,妥善照顧好自己的生活。
除了物理世界需要注意身心安全之外,在大眾逐漸適應數字化的工作和生活方式之後,對於數字世界新出現的安全威脅,很多人可能都沒什麼概念。
所以,我們在本文中嘗試預測一下,接下來可能增多的安全威脅,希望大家能夠預先採取行動,防患於未然,增強自己在數字世界的“抗體”。請相信,我們正穿行在一條幽暗的隧道里,已經徒步走了這麼遠,盡頭的光明一定是真實存在的。哪有勝利可言,挺住就是一切。
一、成規模的網絡攻擊網絡攻擊對於企業、政府機構等來説都並不陌生,往往有IT工程人員兢兢業業地防守着。而隨着很多人在疫情之後轉向長期數字生活,也給網絡攻擊帶來了一些新的變化。一是網絡攻擊的收益顯著提升。
在很多地區,互聯網服務的使用率比疫情前提高了一倍以上,在線辦公、視頻會議、網絡課程、移動支付等也快速在全球範圍內普及開來。這就使得黑客的移動攻擊面急劇擴大,網絡攻擊如個人信息泄露、移動錢包電子支付被盜、威脅勒索等等,所獲得的收益也就更大了。2021年5月,一家美國保險巨頭就向REvil勒索團伙支付了4000萬美元的贖金。
高價值、大範圍的攻擊目標,為投資該技術的犯罪分子提供更大的回報。可以預期,勒索軟件和移動攻擊的數量將大幅增加。
另一方面,網絡攻擊規模化的難度卻在降低。很多企業和職工此前都沒有考慮過長期在家工作的情況,可能大部分家中的聯網設備都不是由企業來進行配置的,安全級別上與企業不同。隨着數字化將業務搬遷上雲,針對雲服務提供商(CSP)的大規模攻擊開始增加,放在雲上的文檔中保存着大量組織的敏感數據,當這些文檔被企業員工共享出去以便協作的時候,如果沒有密碼,或者使用了弱密碼,那麼被黑客截獲的可能性也大大增加了。
卡巴斯基的安全專家曾分享過,2019年約有46%的網絡安全事件,是由粗心大意的員工引起的。而隨着居家辦公的長期化,對漏洞和威脅的監測反而沒以前及時了,這讓情況雪上加霜。
比如此前視頻會議軟件Zoom就被揭露存在重大缺陷,允許黑客訪問用户的攝像頭。還有黑客跟蹤麥克風的對話,然後威脅要將它們上傳到社交媒體,除非支付贖金等等。
恐慌毫無意義,回到從前也是天方夜譚。認清現實,接受大規模遠程工作所帶來的安全隱患,並開始着手重新建立安全意識、安全機制、安全壁壘,才是正事兒。
對於個人來説,可以選擇禁用麥克風和攝像頭,只在必要的時候打開它們,能夠有效地保護居家辦公的隱私信息。
對於企業和CSP服務商來説,需要採取新的工具和安全機制來測試漏洞、監督訪問控制、密碼管理、端點加密……在風險日益增加的環境中,在防病毒、反惡意軟件和安全工具上投資是有意義且必不可少的。
二、以假亂真的在線欺詐互聯網服務以一種自然的、無感的方式嵌入我們的日常生活中,成為必不可少的工具,這意味着人們必須不斷自我學習來提升數字技能。這時候,很多缺乏數字技能的人,就可能成為網絡詐騙的重災區。
一些傳統的網絡詐騙方式,比如男扮女裝、偽裝警察、線上賣茶、編造諸如你兒子在我手裏之類的謊話,公安部門的反詐App已經幫咱們科普得明明白白了。但隨着Deepfake技術的不斷升級,並且很容易通過開源平台獲得,想要區分真實信息與虛假信息變得越來越困難了。
目前,這種以假亂真的Deepfake偽造詐騙還很難防範。
2019年,就有一名黑客通過AI語音克隆,偽裝對方的領導,從阿聯酋的一家銀行經理那裏騙走了3500萬美元。2021年,偽造的疫苗接種證書(疫苗護照)流行起來,這些偽造的接種證書不僅帶有疫苗接種中心的印章和簽名,甚至貼有疫苗編號標籤,與真實的國際通用《黃皮書》(國際預防接種證書)幾乎沒有區別,團購售價為100-120歐元,讓多個國家的疫情防控大受困擾。
面部偽造技術也越來越逼真,以前用來識別的耳朵邊緣瑕疵也近乎消除。前不久的美版抖音TikTok上,利用Deepfake把湯姆·克魯斯(Tom Cruise)的臉複製到自己身上並生成視頻,也引發了病毒式傳播,並且愚弄了很多人。看起來是在娛樂,可是一旦被用在詆譭公眾人物,或者在視頻通話中冒充他人來籌集資金,會導致人們對音頻和視頻內容的廣泛不信任,這本身就是一種社會危害。
如果衝浪達人都可能上當受騙,無法區分真實視頻與虛假視頻,那麼要求老年人、新觸網羣體完全靠自己來規避這種風險,顯然是強人所難了。總的來説,目前已知的Deepfake偽造技術攻擊,包括幽靈欺詐(犯罪分子竊取死者的身份進行詐騙),身份模仿(如前面提到的語音克隆案例),虛擬身份欺詐(犯罪分子通過組合來自多個人的信息和圖像來為自己“創建”新身份)。
防範這種網絡威脅,大致可以分為三種層級:
首先,個人要對一切網絡上發生的交易活動保持“零信任”。沒錯,在不確定對方毫無威脅之前,都先判定是有威脅的,直到它證明自己。加州大學伯克利分校(University of California, Berkeley)教授、數字取證專家哈尼·法裏德(Hany Farid)也呼籲,對你所看到的、聽到的和讀到的東西保持懷疑,是應對Deepfakes非常強大的武器。
無論對方是發信息,還是用語音甚至視頻要求你轉賬或分享數據,全部要求用其他方式進行額外驗證,比如再發送電子郵件、給你的社交媒體留言等等。沒有任何一個辦法能夠保證你識別出Deepfake,因為技術一直在進步,關鍵是改變你的安全意識,用“零信任”來增加犯罪分子的成本和難度。
一般情況下,這些詐騙信息都是自動化發送的,可能多要求對方驗證幾次就不攻自破了。
其次,企業和互聯網平台有責任必要的技術來應對威脅,審查可能被偽造的身份和內容。比如有黑客運用一些個人信息來開設賬户,向金融平台貸款,從而導致真人莫名其妙地背上了債務,金融機構也將遭受直接的損失。
目前,微軟和Facebook等一些頂級科技公司正在開發自動化軟件來標記Deepfake內容,比如YouTube就在前不久刪除了烏總統Volodymyr Zelensky的Deepfake視頻。
只能依靠企業自身提升安全級別,在驗證身份信息時,引入虹膜、DNA、靜脈等生物識別手段,或者採用更高精度的3D人臉識別,開發AI算法來研判圖片資料是否有PS偽造痕跡等等。
一般情況下,犯罪分子都需要提交身份證件和自拍,而大多數不願意使用自己本人的面部照片進行欺詐,這就與偽造的身份證件有衝突,這種交叉驗證很容易暴露身份偽造。
而保底的方案,則是將火眼金睛的人類員工作為最後一道防線,來協助安全技術儀器工作,因為機器視覺在識別紙質身份證中的欺詐行為方面,魯棒性還是達不到人眼的水平。一旦光照、環境發生變化,效果就未必理想。培訓人類員工來把關,與數字技術構成一個強大的人機協作系統,才能對抗Deepfake技術日益嚴重的威脅。
三、威脅三:零工時代的勞工困境如果説前面兩種威脅都是實打實的財產或信息損失,可以通過有力的政策和技術工具來規避,那麼有一種威脅可能是悄無聲息、但傷筋動骨的,那就是零工經濟引發的勞工問題。
零工經濟,以前是個很時髦的詞,是由在線平台推動的,以臨時合同和非正式身份僱傭員工。uber、Airbnb以及印度的Ola和Swiggy都是這類模式。疫情之後,不確定的外部環境推動了零工經濟規模的擴大,一些停滯或縮減的行業職員都有可能流動到零工崗位上去,也給零工羣體蒙上了一層無奈的陰影。此前,國內某商超就曾暫時接收過其他O2O平台的配送員。
隨着疫情威脅的消退,以及遠程辦公、數字遊民成為趨勢,零工人員數量可能還會迎來大規模的增加,並從出租、配送、代駕等領域,擴展到設計、新媒體等白領崗位。
(歐盟遠程辦公工作的員工比例)
這種“分佈式”新組織結構,確實具備更高的靈活性,同時也存在“黑暗面”,那就是企業承擔了更少的保障義務,零工羣體的抗風險能力也不如以往,進而驅動遠程協作的激勵體系重新設計。
同時,因為可以隨時工作,員工很容易超負荷,而且必須學習使用數字設備的新技能,以及處理多線程任務的能力,自己平衡壓力並持續學習……這些都對零工人口提出了新的工作挑戰。如果你是一個開着網約車的前程序員,或者改為線上接單的設計師,就需要努力地適應變化,並妥善考慮自身的財務抗風險能力和長期保障規劃。
對於政府來説,面對零工經濟、遠程協作的趨勢,提高學習的節奏並加速相應政策法規的出台,或許會讓風雨飄搖中的零工們少一點難題。
在人類歷史中,最大的突破往往也來自最具破壞性的危機時期。關注並超越危機,能夠確保我們在疫情之後的數字未來裏比以前更加自由、更加強大。
那些殺不死我們的,一定會讓我們更加堅強,與君共勉。
#合作媒體#腦極體,微信公眾號:腦極體。寫讓你腦洞大開且能看懂的人工智能、流媒體、海外科技
本文原創發佈於人人都是產品經理。未經許可,禁止轉載
題圖來自 Unsplash,基於CC0協議