地狱开局的2022，穿好你的安全铠甲

2022年开局，几乎是各种负面新闻和疫情反复的锤炼，很多“心大”的朋友都开始变得焦灼，纷纷表示“蚌埠住了”。疫情第三年，大家的情绪似乎都抵达了一个临界点。

然而，越是令人身心疲惫的危机时刻，越要穿好健康和安全的铠甲，妥善照顾好自己的生活。

除了物理世界需要注意身心安全之外，在大众逐渐适应数字化的工作和生活方式之后，对于数字世界新出现的安全威胁，很多人可能都没什么概念。

所以，我们在本文中尝试预测一下，接下来可能增多的安全威胁，希望大家能够预先采取行动，防患于未然，增强自己在数字世界的“抗体”。

请相信，我们正穿行在一条幽暗的隧道里，已经徒步走了这么远，尽头的光明一定是真实存在的。哪有胜利可言，挺住就是一切。

威胁一：成规模的网络攻击

网络攻击对于企业、政府机构等来说都并不陌生，往往有IT工程人员兢兢业业地防守着。而随着很多人在疫情之后转向长期数字生活，也给网络攻击带来了一些新的变化。

一是网络攻击的收益显著提升。

在很多地区，互联网服务的使用率比疫情前提高了一倍以上，在线办公、视频会议、网络课程、移动支付等也快速在全球范围内普及开来。这就使得黑客的移动攻击面急剧扩大，网络攻击如个人信息泄露、移动钱包电子支付被盗、威胁勒索等等，所获得的收益也就更大了。2021年5月，一家美国保险巨头就向REvil勒索团伙支付了4000万美元的赎金。

高价值、大范围的攻击目标，为投资该技术的犯罪分子提供更大的回报。可以预期，勒索软件和移动攻击的数量将大幅增加。

（FSB拘留了发送勒索软件病毒的黑客）

另一方面，网络攻击规模化的难度却在降低。

很多企业和职工此前都没有考虑过长期在家工作的情况，可能大部分家中的联网设备都不是由企业来进行配置的，安全级别上与企业不同。随着数字化将业务搬迁上云，针对云服务提供商（CSP）的大规模攻击开始增加，放在云上的文档中保存着大量组织的敏感数据，当这些文档被企业员工共享出去以便协作的时候，如果没有密码，或者使用了弱密码，那么被黑客截获的可能性也大大增加了。

卡巴斯基的安全专家曾分享过，2019年约有46%的网络安全事件，是由粗心大意的员工引起的。而随着居家办公的长期化，对漏洞和威胁的监测反而没以前及时了，这让情况雪上加霜。

比如此前视频会议软件Zoom就被揭露存在重大缺陷，允许黑客访问用户的摄像头。还有黑客跟踪麦克风的对话，然后威胁要将它们上传到社交媒体，除非支付赎金等等。

恐慌毫无意义，回到从前也是天方夜谭。认清现实，接受大规模远程工作所带来的安全隐患，并开始着手重新建立安全意识、安全机制、安全壁垒，才是正事儿。

对于个人来说，可以选择禁用麦克风和摄像头，只在必要的时候打开它们，能够有效地保护居家办公的隐私信息。

对于企业和CSP服务商来说，需要采取新的工具和安全机制来测试漏洞、监督访问控制、密码管理、端点加密……在风险日益增加的环境中，在防病毒、反恶意软件和安全工具上投资是有意义且必不可少的。

威胁二：以假乱真的在线欺诈

互联网服务以一种自然的、无感的方式嵌入我们的日常生活中，成为必不可少的工具，这意味着人们必须不断自我学习来提升数字技能。这时候，很多缺乏数字技能的人，就可能成为网络诈骗的重灾区。

一些传统的网络诈骗方式，比如男扮女装、伪装警察、线上卖茶、编造诸如你儿子在我手里之类的谎话，公安部门的反诈App已经帮咱们科普得明明白白了。但随着Deepfake技术的不断升级，并且很容易通过开源平台获得，想要区分真实信息与虚假信息变得越来越困难了。

目前，这种以假乱真的Deepfake伪造诈骗还很难防范。

2019年，就有一名黑客通过AI语音克隆，伪装对方的领导，从阿联酋的一家银行经理那里骗走了3500万美元。2021年，伪造的疫苗接种证书（疫苗护照）流行起来，这些伪造的接种证书不仅带有疫苗接种中心的印章和签名，甚至贴有疫苗编号标签，与真实的国际通用《黄皮书》（国际预防接种证书）几乎没有区别，团购售价为100-120欧元，让多个国家的疫情防控大受困扰。

面部伪造技术也越来越逼真，以前用来识别的耳朵边缘瑕疵也近乎消除。前不久的美版抖音TikTok上，利用Deepfake把汤姆·克鲁斯（Tom Cruise）的脸复制到自己身上并生成视频，也引发了病毒式传播，并且愚弄了很多人。看起来是在娱乐，可是一旦被用在诋毁公众人物，或者在视频通话中冒充他人来筹集资金，会导致人们对音频和视频内容的广泛不信任，这本身就是一种社会危害。

如果冲浪达人都可能上当受骗，无法区分真实视频与虚假视频，那么要求老年人、新触网群体完全靠自己来规避这种风险，显然是强人所难了。

总的来说，目前已知的Deepfake伪造技术攻击，包括幽灵欺诈（犯罪分子窃取死者的身份进行诈骗），身份模仿（如前面提到的语音克隆案例），虚拟身份欺诈（犯罪分子通过组合来自多个人的信息和图像来为自己“创建”新身份）。

防范这种网络威胁，大致可以分为三种层级：

首先，个人要对一切网络上发生的交易活动保持“零信任”。没错，在不确定对方毫无威胁之前，都先判定是有威胁的，直到它证明自己。加州大学伯克利分校（University of California， Berkeley）教授、数字取证专家哈尼·法里德（Hany Farid）也呼吁，对你所看到的、听到的和读到的东西保持怀疑，是应对Deepfakes非常强大的武器。

无论对方是发信息，还是用语音甚至视频要求你转账或分享数据，全部要求用其他方式进行额外验证，比如再发送电子邮件、给你的社交媒体留言等等。没有任何一个办法能够保证你识别出Deepfake，因为技术一直在进步，关键是改变你的安全意识，用“零信任”来增加犯罪分子的成本和难度。一般情况下，这些诈骗信息都是自动化发送的，可能多要求对方验证几次就不攻自破了。

其次，企业和互联网平台有责任必要的技术来应对威胁，审查可能被伪造的身份和内容。比如有黑客运用一些个人信息来开设账户，向金融平台贷款，从而导致真人莫名其妙地背上了债务，金融机构也将遭受直接的损失。目前，微软和Facebook等一些顶级科技公司正在开发自动化软件来标记Deepfake内容，比如YouTube就在前不久删除了乌总统Volodymyr Zelensky的Deepfake视频。

只能依靠企业自身提升安全级别，在验证身份信息时，引入虹膜、DNA、静脉等生物识别手段，或者采用更高精度的3D人脸识别，开发AI算法来研判图片资料是否有PS伪造痕迹等等。一般情况下，犯罪分子都需要提交身份证件和自拍，而大多数不愿意使用自己本人的面部照片进行欺诈，这就与伪造的身份证件有冲突，这种交叉验证很容易暴露身份伪造。

而保底的方案，则是将火眼金睛的人类员工作为最后一道防线，来协助安全技术仪器工作，因为机器视觉在识别纸质身份证中的欺诈行为方面，鲁棒性还是达不到人眼的水平。一旦光照、环境发生变化，效果就未必理想。培训人类员工来把关，与数字技术构成一个强大的人机协作系统，才能对抗Deepfake技术日益严重的威胁。

威胁三：零工时代的劳工困境

如果说前面两种威胁都是实打实的财产或信息损失，可以通过有力的政策和技术工具来规避，那么有一种威胁可能是悄无声息、但伤筋动骨的，那就是零工经济引发的劳工问题。

零工经济，以前是个很时髦的词，是由在线平台推动的，以临时合同和非正式身份雇佣员工。uber、Airbnb以及印度的Ola和Swiggy都是这类模式。疫情之后，不确定的外部环境推动了零工经济规模的扩大，一些停滞或缩减的行业职员都有可能流动到零工岗位上去，也给零工群体蒙上了一层无奈的阴影。此前，国内某商超就曾暂时接收过其他O2O平台的配送员。

随着疫情威胁的消退，以及远程办公、数字游民成为趋势，零工人员数量可能还会迎来大规模的增加，并从出租、配送、代驾等领域，扩展到设计、新媒体等白领岗位。

（欧盟远程办公工作的员工比例）

这种“分布式”新组织结构，确实具备更高的灵活性，同时也存在“黑暗面”，那就是企业承担了更少的保障义务，零工群体的抗风险能力也不如以往，进而驱动远程协作的激励体系重新设计。

同时，因为可以随时工作，员工很容易超负荷，而且必须学习使用数字设备的新技能，以及处理多线程任务的能力，自己平衡压力并持续学习……这些都对零工人口提出了新的工作挑战。如果你是一个开着网约车的前程序员，或者改为线上接单的设计师，就需要努力地适应变化，并妥善考虑自身的财务抗风险能力和长期保障规划。

对于政府来说，面对零工经济、远程协作的趋势，提高学习的节奏并加速相应政策法规的出台，或许会让风雨飘摇中的零工们少一点难题。

在人类历史中，最大的突破往往也来自最具破坏性的危机时期。关注并超越危机，能够确保我们在疫情之后的数字未来里比以前更加自由、更加强大。

那些杀不死我们的，一定会让我们更加坚强，与君共勉。

关键词： 网络攻击 犯罪分子