内部威胁那些事儿（四）：内部欺诈

* 本文原创作者：木之千

一、引言

前面三章我们从宏观层面介绍内部威胁现状出发，引入了全面的内部威胁行为模型；之后根据内部威胁动机与破坏目标的不同将当前威胁分成系统破坏、信息窃取与电子欺诈三类基本威胁。

接下来两章我们开始从局部深入分析每种基本威胁类型的特征与行为模式，从系统破坏与信息窃取威胁的分析中，我们获知两类威胁的动机通常是出于不满而实施报复，因此应当从内部人行为与技术特征两方面监测可以表征其心理不满与实际破坏的重要指示器，针对信息窃取威胁还应区分个体威胁与团体威胁两类，后者着重分析检测其行动计划阶段特征。应对两类威胁最重要的建议是最小化员工期望与福利的诉求程度，降低因不满造成威胁的概率，从根本上预防此类威胁。

欲阅读一二三章内容，请点击阅读本文原文查看。

今天我们来一起分析第三类基本威胁：电子欺诈。电子欺诈在实际中有多种表现形式，其中最引人注目的莫过于身份欺诈领域的信用卡欺诈。度娘认为信用卡欺诈是“指故意使用伪造、作废的信用卡，冒用他人的信用卡骗取财物，或用本人信用卡进行恶意透支的行为。”初看起来可能多少有些抽象，我们先看下面的例子：

某天陈小姐在中午吃饭时，突然收到了信用卡刷卡提示，信息提示商户为广东某电信服务。开始陈小姐以为是刷了某种预授权，但是很快不到一分钟信用卡刷了第二笔，陈小姐预感到自己的信用卡被盗刷了。很快招行打来电话，陈小姐陈述了自己身在北京，刷卡地在广东的事实，银行方面也证实了盗刷行为。陈小姐的信用卡额度为4.4w，两次盗刷共消费2.2w，接下来陈小姐开始为了盗刷损失的2万元奔波

虽然国家出台了相应的信用卡盗刷规定，制定了银行赔偿规范，但是信用卡盗刷行为无论对于个人还是银行都是一种不折不扣的直接威胁，其造成的经济损失难以估量。信用卡盗刷所需的数据可能来自于用户申请信用卡与刷卡使用的方方面面，但是银行内部员工参与的用户信用卡数据欺诈则是最具威胁的渠道。我们今天讨论内部电子欺诈，因此只关注内部人参与的电子欺诈威胁，即内部欺诈。

二、基本概念

为了进一步分析内部电子欺诈威胁，我们先给出CERT关于内部欺诈威胁的定义：

内部电子欺诈：内部人出于个人利益，利用信息系统非法修改、添加、删除组织数据（不含程序与系统数据），或窃取信息导致身份欺诈的行为。

从上述定义中我们可以看出，内部欺诈有两类：一是非法篡改组织数据，从而直接牟利，如金融数据、用户驾照、犯罪历史、信用卡逾期记录、消费账单记录等；二是与外部犯罪团伙苟合，窃取内部数据用作身份欺诈，如信用卡欺诈等。通常内部欺诈威胁会导致的严重的经济损失与巨大的潜在个人威胁。如：

负责健康医疗索赔的某客户服务代表，针对那些很少提出索赔的医疗服务机构，修改了其地址，然后伪造了这些医疗机构提出的医疗索赔申请，然后保险公司将保险款寄到了该人自定的地址，由其同伙收取。通过这种方法，该人及同伙在六个月的时间内，骗取了2000万美元医疗保险赔付。

上述示例直接造成了严重的经济损失，另一方面，内部欺诈还会造成巨大的潜在个人威胁，如：

某数据库管理员负责管理公司员工的个人数据库，由于感觉薪酬太低，因而对公司不满，萌生了报复公司，谋取私利的想法。他下载了60000个员工的个人数据，然后辞职，在网上出售这些个人数据，其中包含员工的信用卡号码、社会保险号码等。

除了上述威胁，内部欺诈威胁还会威胁国家安全，不信，请看：

美国移民局管理部门某职员，负责入境人员的审查工作。受利益驱动，其被某组织收买，修改审查拒绝的人员数据，将审查拒绝改为审查通过，从而收取了50000美元，造成30多名高风险外国人员入境，直接威胁国家安全。

CERT数据库中统计的内部欺诈威胁影响：

与系统破坏、信息窃取威胁类似，内部欺诈威胁的威胁也涉及个人、经济以及国家安全，但是整体上内部欺诈威胁与前两类威胁有两点根本不同：

1. 内部欺诈的动机主要是为了获取经济利益，而非系统破坏的不满报复与信息窃取的个人谋求发展； 2. 内部欺诈的攻击人员不再是系统破坏与信息窃取中的系统管理员、科学研究人员等高级职员，而是一些行政秘书、保险专员类的普通员工。

因此，很有必要专门针对内部欺诈威胁进行研究，分析其行为特征。

三、行为模型

描述内部欺诈行为，可以借鉴犯罪学家Donald Cressey提出的欺诈模型，该模型从三元角度刻画欺诈行为。我们使用同样的方法，刻画内部欺诈行为。

上述模型刻画了一次内部欺诈所必须具有的三个元素，即压力（动机）、机会（能力）以及合理化（态度）。下面我们分别进行分析。

压力（Pressure）：用于刻画内部人欺诈威胁的原因，即我们所说的动机，一般来说都是经济驱动。这些驱动因素常见的有：医疗账单需求、毒品使用、甚至奢侈的生活习惯，异或来自于单纯的经济压力等，动机直接影响内部欺诈的目标以及对象。

机会（Oppotunity）：用于刻画内部人实施欺诈的能力。组织内部薄弱的安全控制以及形同虚设的内部监管都为攻击者提供了行动机会，内部人自身的职能权限也是攻击成功机会的重要组成部分，直接决定是一人单干还是多人协作。

合理化（Rationalizaion）：用于刻画内部人克服自己道德自律的态度。通常内部人做出某种违反道德法律的行为，都会受到良心的谴责而产生犹豫；克服这种谴责就需要某种正当的理由，将接下来的欺诈行为合理化，常见的理由如：为爱牺牲、公司待我刻薄不公、先 借 日后再还以及走投无路等。合理化最终冲破了道德自律的最后枷锁，构建了实施欺诈的 合理 动机。

四、内部特征

在建立了内部欺诈的基本模型后，接下来我们来从内外两个因素进一步分析内部欺诈的特征。内部欺诈中内部人的因素占据主要地位，因此我们首先分析内部特征，即主观特征。内部特征通常刻画内部人自身的条件，出于经济利益驱动，内部人窃取机密数据出售，或修改数据获取利益等。我们用下图来简单表示内部欺诈三要素的具体内容：

内部人的动机驱动可以分为自身与社会关系两类：自身驱动主要是自己的经济问题，如需要支付大额医疗账单、信用卡严重透支等，或本身奢侈的生活习惯导致高额消费账单等；社会关系则来自于家庭与朋友的求助，如家人生病、生活困难或朋友亟需借钱帮助等。

动机一旦形成，接下来需要克服道德自律才可以付诸行动。常见的方法有告诉自己走投无路，除了实施欺诈别无他法；或感觉组织对自己不好，亏欠自己，自己理所应当拿回应得的部分；或自己只是暂时借用，日后定当归还等。

从内部人自身因素分析可以发现内部欺诈的另一个特征：欺诈时间窗口较长。攻击时间窗口的长短也是内部欺诈与系统破坏和信息窃取威胁的典型区别之一。一般内部欺诈攻击平均时间为15个月，超过半数的攻击时间都在5个月之上；对比信息窃取案例，往往是内部人在窃取到目标信息后，总是尽快辞职离开原单位；而内部欺诈攻击者则尽可能长时间的呆在单位内实施攻击，其原因有两个：一个是缘于自身贪婪，想获取更多长期的经济利益，因而只要不被发现，就会尽可能长时间地实施数据售卖或数据篡改；另一个原因是内部欺诈攻击者大多因为经济利益驱动实施攻击，因此本身的经济条件并不好，尽快辞职丧失稳定收入并不是合理选项。

另外一个内部人特征体现在内部人的多人协作，这主要源于内部人在实施欺诈行为时，考虑到行为暴露的可能性而参与的一种降低暴露风向的预防措施。内部人招募同伙主要分担两项工作：

1.招募内部人协助自己进行数据复制或数据篡改，即将原有工作分割，从而使得每个内部人的行为痕迹都限制在一个较小范围内； 2.招募内部人隐瞒自己行为，即招募那些负责内部监管、或可以修改审计记录的内部人，帮助自己消除攻击痕迹，隐瞒攻击行为；

可以说，单纯经济动机、长时间窗口以及招募伙伴行为是内部欺诈的三个典型特征。

五、外部特征

内部欺诈与前两类威胁区别的另一个典型特征是，内部欺诈与外部因素的联系更为紧密。CERT数据库中近半数的内部欺诈攻击与外部因素关联，这种关联体现在外部人帮助或招募内部人实施欺诈攻击。

外部人协助欺诈或者促使内部人实施欺诈的根本原因是可以从欺诈行为中获利，如信用卡欺诈团伙利用内部人得到的用户信用卡信息，伪造信用卡从而巨额盗刷；再如伪造证件团伙通过内部人修改相关数据，达到伪造驾照等相关证件以牟取经济利益的目的。

CERT数据库中的内部欺诈主要涉及身份犯罪行为，相对于数据篡改，外部人招募内部人更多地是为了获得数据，一方面是因为获取数据要比修改一个组织的数据获利更容易；另一方面则是通常获取到数据进行身份犯罪获利比后者更大。

通常来说，受外部人雇佣的内部人位于单位中较低职位，因此妄图通过欺诈行为来获取经济利益；攻击的目标主要是复制关键数据或篡改数据库，具体包括窃取客户信息实施身份犯罪，伪造驾照等证书证件。

欺诈攻击大多发生在工作时间，内部人利用自身的权限复制、篡改、删除组织系统中的关键数据，常见方法如下：

• 利用社工获取信任和信息：如某执法机构离职的内部人，说服同事搜索收集目标企业信息，以帮助自己和同伙进行内部交易。
• 利用合法获得的访问权限：如内部人利用自己的权限访问客户信用信息出售给信用卡欺诈团伙；
• 绕过安全机制：如某组织规定必须两人同时签字确认退税单，但是碰巧该两人都受雇于某犯罪团伙，从而虚开退税单；
• Hack其它账户：如内部人Hack同事账户密码，登录后修改客户信用记录报告从而获取利益，使用同事账户隐藏了自己的欺诈行为；

内外协作的内部欺诈攻击通常比前两类威胁危害更大，CERT中心曾经对此类威胁进行了统计分析，给出了损失对比：

六、初步建议

内部欺诈威胁值得引起我们的高度重视，数据泄露导致的身份犯罪影响潜在而巨大。那么我们应当如何应对内部欺诈威胁呢？

答案当然是要建立个体与行为的主客观结合的指示器，但是具体到内部欺诈威胁，我们还可以重点关注以下事项：

上图反映了一项调查中企业给出的应对内部欺诈的关注点，纵轴表示了认为应当关注该项的企业数，因此值越高，越表明该指示器在现实中具有普遍性。这些指示器从左至右分别是：

1. 关键事务过程审计； 2. 雇员受雇可能分析； 3. 关键数据修改监控认证； 4. 雇员经济背景调查； 5. 用户过度访问权限调查； 6. 非法数据导出； 7. 职能分离； 8. 根据经验划定的重点行为； 9. 独立事件的联合审计； 10. 来源不明的财富； 11. 伪造或遗漏信息； 12. 非法活动隐瞒； 13. 密码安全性分析； 13. 社工风险分析； 14. 关键数据保护； 15. 关键数据访问认证； 16. 伪装攻击； 17. 最小权限策略；

简单分析上述关注点，可以总结出几个基本的应对建议：

1. 建立全面的内部事务审计，不仅审计关联事务，还要审计独立事务间的关联性以及时发现存在数据非法复制与篡改行为； 2. 针对关键数据建立强保护、强认证策略，尤其是关键数据的修改、复制操作； 3. 人力部门应统计员工全面信息，分析其经济情况以及人格特征，判断其实施欺诈以及被外部收买的可能性； 4. 建立健全员工职能划分以及权限分割策略，落实最小特权原则，避免权限滥用；

最后，我们给出完整的内部欺诈行为模型：

七、参考文献

1 信用卡盗刷： http://bank.cngold.org/c/2016-06-13/c4164157.html

2 百度百科：http://baike.baidu.com/link?url=V-roBHUt4AaFz2BbTkSDBcklw3mUD0fbRHY6DqUglDVMDdUjv7qdmdLqSsTTxBfidvaCbZ7ZPTPSj3XqPmpxjK

3 Lawrence A. Gordon, Martin P. Loeb, William Lucyshyn, and Robert Richardson. CSI/FBI computer crime and security survey, 2006

4 Kroll and Economist Intelligence Unit, "Annual Global Fraud Survey, 2011/2012," 2012

5 The Seven Largest Insider-Caused Data Breaches of 2014, C Preimesberger, , 2014

6 2014 US State of Cybercrime Survey, US CERT, Camegie Mellon University, 2014

7 The CERT Guide to Insider Threats, 2012

8 A Survey of Insider Attack Detection Research, Malek Ben Salem, Shlomo Hershkop, Salvatore J.Stolfo, 2008

9 Detecting Insider Threats in a Real Corporate Database of Computer Usage Activity, Ted E.Senator, Henry G. Goldberg, Alex Memory etc. KDD'13

10 Understanding the Insider Threat: Proceeding of a March 2004 Workshop, Technical report, RAND Corporation, SantaMonica, CA, March 2004, Richard P. Brackney and Rober Helms Anderson.

* 作者：木之千，本文属FreeBuf原创奖励计划文章，未经许可禁止转载