2022年开局,几乎是各种负面新闻和疫情反复的锤炼,很多“心大”的朋友都开始变得焦灼,纷纷表示“蚌埠住了”。疫情第三年,大家的情绪似乎都抵达了一个临界点。
然而,越是令人身心疲惫的危机时刻,越要穿好健康和安全的铠甲,妥善照顾好自己的生活。
除了物理世界需要注意身心安全之外,在大众逐渐适应数字化的工作和生活方式之后,对于数字世界新出现的安全威胁,很多人可能都没什么概念。
所以,我们在本文中尝试预测一下,接下来可能增多的安全威胁,希望大家能够预先采取行动,防患于未然,增强自己在数字世界的“抗体”。
请相信,我们正穿行在一条幽暗的隧道里,已经徒步走了这么远,尽头的光明一定是真实存在的。哪有胜利可言,挺住就是一切。
威胁一:成规模的网络攻击
网络攻击对于企业、政府机构等来说都并不陌生,往往有IT工程人员兢兢业业地防守着。而随着很多人在疫情之后转向长期数字生活,也给网络攻击带来了一些新的变化。
一是网络攻击的收益显著提升。
在很多地区,互联网服务的使用率比疫情前提高了一倍以上,在线办公、视频会议、网络课程、移动支付等也快速在全球范围内普及开来。这就使得黑客的移动攻击面急剧扩大,网络攻击如个人信息泄露、移动钱包电子支付被盗、威胁勒索等等,所获得的收益也就更大了。2021年5月,一家美国保险巨头就向REvil勒索团伙支付了4000万美元的赎金。
高价值、大范围的攻击目标,为投资该技术的犯罪分子提供更大的回报。可以预期,勒索软件和移动攻击的数量将大幅增加。
(FSB拘留了发送勒索软件病毒的黑客)
另一方面,网络攻击规模化的难度却在降低。
很多企业和职工此前都没有考虑过长期在家工作的情况,可能大部分家中的联网设备都不是由企业来进行配置的,安全级别上与企业不同。随着数字化将业务搬迁上云,针对云服务提供商(CSP)的大规模攻击开始增加,放在云上的文档中保存着大量组织的敏感数据,当这些文档被企业员工共享出去以便协作的时候,如果没有密码,或者使用了弱密码,那么被黑客截获的可能性也大大增加了。
卡巴斯基的安全专家曾分享过,2019年约有46%的网络安全事件,是由粗心大意的员工引起的。而随着居家办公的长期化,对漏洞和威胁的监测反而没以前及时了,这让情况雪上加霜。
比如此前视频会议软件Zoom就被揭露存在重大缺陷,允许黑客访问用户的摄像头。还有黑客跟踪麦克风的对话,然后威胁要将它们上传到社交媒体,除非支付赎金等等。
恐慌毫无意义,回到从前也是天方夜谭。认清现实,接受大规模远程工作所带来的安全隐患,并开始着手重新建立安全意识、安全机制、安全壁垒,才是正事儿。
对于个人来说,可以选择禁用麦克风和摄像头,只在必要的时候打开它们,能够有效地保护居家办公的隐私信息。
对于企业和CSP服务商来说,需要采取新的工具和安全机制来测试漏洞、监督访问控制、密码管理、端点加密……在风险日益增加的环境中,在防病毒、反恶意软件和安全工具上投资是有意义且必不可少的。
威胁二:以假乱真的在线欺诈
互联网服务以一种自然的、无感的方式嵌入我们的日常生活中,成为必不可少的工具,这意味着人们必须不断自我学习来提升数字技能。这时候,很多缺乏数字技能的人,就可能成为网络诈骗的重灾区。
一些传统的网络诈骗方式,比如男扮女装、伪装警察、线上卖茶、编造诸如你儿子在我手里之类的谎话,公安部门的反诈App已经帮咱们科普得明明白白了。但随着Deepfake技术的不断升级,并且很容易通过开源平台获得,想要区分真实信息与虚假信息变得越来越困难了。
目前,这种以假乱真的Deepfake伪造诈骗还很难防范。
2019年,就有一名黑客通过AI语音克隆,伪装对方的领导,从阿联酋的一家银行经理那里骗走了3500万美元。2021年,伪造的疫苗接种证书(疫苗护照)流行起来,这些伪造的接种证书不仅带有疫苗接种中心的印章和签名,甚至贴有疫苗编号标签,与真实的国际通用《黄皮书》(国际预防接种证书)几乎没有区别,团购售价为100-120欧元,让多个国家的疫情防控大受困扰。
面部伪造技术也越来越逼真,以前用来识别的耳朵边缘瑕疵也近乎消除。前不久的美版抖音TikTok上,利用Deepfake把汤姆·克鲁斯(Tom Cruise)的脸复制到自己身上并生成视频,也引发了病毒式传播,并且愚弄了很多人。看起来是在娱乐,可是一旦被用在诋毁公众人物,或者在视频通话中冒充他人来筹集资金,会导致人们对音频和视频内容的广泛不信任,这本身就是一种社会危害。
如果冲浪达人都可能上当受骗,无法区分真实视频与虚假视频,那么要求老年人、新触网群体完全靠自己来规避这种风险,显然是强人所难了。
总的来说,目前已知的Deepfake伪造技术攻击,包括幽灵欺诈(犯罪分子窃取死者的身份进行诈骗),身份模仿(如前面提到的语音克隆案例),虚拟身份欺诈(犯罪分子通过组合来自多个人的信息和图像来为自己“创建”新身份)。
防范这种网络威胁,大致可以分为三种层级:
(1) 首先,个人要对一切网络上发生的交易活动保持“零信任”。没错,在不确定对方毫无威胁之前,都先判定是有威胁的,直到它证明自己。加州大学伯克利分校(University of California, Berkeley)教授、数字取证专家哈尼·法里德(Hany Farid)也呼吁,对你所看到的、听到的和读到的东西保持怀疑,是应对Deepfakes非常强大的武器。
无论对方是发信息,还是用语音甚至视频要求你转账或分享数据,全部要求用其他方式进行额外验证,比如再发送电子邮件、给你的社交媒体留言等等。没有任何一个办法能够保证你识别出Deepfake,因为技术一直在进步,关键是改变你的安全意识,用“零信任”来增加犯罪分子的成本和难度。一般情况下,这些诈骗信息都是自动化发送的,可能多要求对方验证几次就不攻自破了。
(2) 其次,企业和互联网平台有责任必要的技术来应对威胁,审查可能被伪造的身份和内容。比如有黑客运用一些个人信息来开设账户,向金融平台贷款,从而导致真人莫名其妙地背上了债务,金融机构也将遭受直接的损失。目前,微软和Facebook等一些顶级科技公司正在开发自动化软件来标记Deepfake内容,比如YouTube就在前不久删除了乌总统Volodymyr Zelensky的Deepfake视频。
只能依靠企业自身提升安全级别,在验证身份信息时,引入虹膜、DNA、静脉等生物识别手段,或者采用更高精度的3D人脸识别,开发AI算法来研判图片资料是否有PS伪造痕迹等等。一般情况下,犯罪分子都需要提交身份证件和自拍,而大多数不愿意使用自己本人的面部照片进行欺诈,这就与伪造的身份证件有冲突,这种交叉验证很容易暴露身份伪造。
(3) 而保底的方案,则是将火眼金睛的人类员工作为最后一道防线,来协助安全技术仪器工作,因为机器视觉在识别纸质身份证中的欺诈行为方面,鲁棒性还是达不到人眼的水平。一旦光照、环境发生变化,效果就未必理想。培训人类员工来把关,与数字技术构成一个强大的人机协作系统,才能对抗Deepfake技术日益严重的威胁。
威胁三:零工时代的劳工困境
如果说前面两种威胁都是实打实的财产或信息损失,可以通过有力的政策和技术工具来规避,那么有一种威胁可能是悄无声息、但伤筋动骨的,那就是零工经济引发的劳工问题。
零工经济,以前是个很时髦的词,是由在线平台推动的,以临时合同和非正式身份雇佣员工。uber、Airbnb以及印度的Ola和Swiggy都是这类模式。疫情之后,不确定的外部环境推动了零工经济规模的扩大,一些停滞或缩减的行业职员都有可能流动到零工岗位上去,也给零工群体蒙上了一层无奈的阴影。此前,国内某商超就曾暂时接收过其他O2O平台的配送员。
随着疫情威胁的消退,以及远程办公、数字游民成为趋势,零工人员数量可能还会迎来大规模的增加,并从出租、配送、代驾等领域,扩展到设计、新媒体等白领岗位。
(欧盟远程办公工作的员工比例)
这种“分布式”新组织结构,确实具备更高的灵活性,同时也存在“黑暗面”,那就是企业承担了更少的保障义务,零工群体的抗风险能力也不如以往,进而驱动远程协作的激励体系重新设计。
同时,因为可以随时工作,员工很容易超负荷,而且必须学习使用数字设备的新技能,以及处理多线程任务的能力,自己平衡压力并持续学习……这些都对零工人口提出了新的工作挑战。如果你是一个开着网约车的前程序员,或者改为线上接单的设计师,就需要努力地适应变化,并妥善考虑自身的财务抗风险能力和长期保障规划。
对于政府来说,面对零工经济、远程协作的趋势,提高学习的节奏并加速相应政策法规的出台,或许会让风雨飘摇中的零工们少一点难题。
在人类历史中,最大的突破往往也来自最具破坏性的危机时期。关注并超越危机,能够确保我们在疫情之后的数字未来里比以前更加自由、更加强大。
那些杀不死我们的,一定会让我们更加坚强,与君共勉。