据外媒报道，美司法部对三名前美国家安局(NSA)雇员处以罚款，据悉，这三名雇员在阿联酋一家网络安全公司担任雇佣黑客。49岁的Marc Baier、34岁的Ryan Adams和40岁的Daniel Gericke违反了美国出口管制法律，该法律要求公司和个人在向外国政府提供国防相关服务之前必须从国务院国防贸易控制理事会(DDTC)获得特别许可证。 资料图 根据法庭文件了解到，三名嫌疑人帮助阿联酋公司开发并成功部署了至少两种黑客工具。 这三人今日（当地时间9月14日）跟美司法部达成了一项史无前例的暂缓起诉协议，他们分别同意在三年的刑期内分别支付75万美元、60万美元和33.5万美元以避免入狱。 虽然法庭文件被大量修改，但Baier、Adams和Genicke的故事是众所周知的，他们的行为由一名告密者最先曝光并在2019年1月的一项路透社调查中被记录下来。 根据路透社的报道和美司法部官员的说法，这三人在2016年1月至2019年11月期间为阿联酋公司DarkMatter担任承包商角色。 这些前NSA分析师曾在“乌鸦计划(Project Raven)”中工作，“乌鸦计划”是DarkMatters内部的一个团队，由十几名前美情报人员组成。 在这个项目中，他们三人帮助开发了两个iOS零点击漏洞Karma和Karma 2。 路透社指出，这两个漏洞都是针对iPhone手机设计的，阿联酋官员利用它们监视持不同政见者、记者和政府反对派领导人。 除了罚款，美司法部的协议还包括以下条款： 与相关部门和FBI部门充分合作； 立即放弃任何外国或美国安全许可； 终身禁止未来通过美国安全审查； 未来的就业限制，包括禁止涉及CNE（计算机网络开发）活动或出口国防物品或提供国防服务的就业（如CNE技术）； 对某些阿联酋组织的就业限制。 美代理助力总检察长Mark J. Lesko表示：“这项协议是对两种不同类型的犯罪活动进行调查的首个此类决议：提供未经许可的出口控制的国防服务以支持计算机网络开发–以及一家商业公司创建、支持和操作专门用于允许他人未经授权从世界各地（包括美国）的计算机访问数据的系统。” 另外，他还补充道：“雇佣黑客和那些支持此类违反美国法律的活动的人完全有可能因为他们的犯罪行为而被起诉。” “这些人选择无视警告，并利用他们多年的经验来支持和加强外国政府的进攻性网络行动，”FBI华盛顿外勤办公室主管助理局长Steven M. D ‘Antuono指出，“这些指控和相关处罚表明，FBI将继续调查此类违规行为。”   （消息及封面来源：cnBeta）

谷歌与加利福尼亚大学圣地亚哥分校的研究人员上周公布的研究显示，大多数网上提供的黑客雇用服务都是诈骗或者无效的。 Hack for Hire: Exploring the Emerging Market for Account Hijacking 研究人员通过伪装成有所需求的买家，直接与 27 个提供黑客服务的买家接触，并要求他们针对所选择的 Gmail 账户进行攻击。 这些受害 Gmail 账户其实是研究人员与谷歌一起协调设计好的蜜罐，用来进行此次研究，账号允许研究人员记录其与受害者的关键互动行为，以及为此次研究创建的角色的其它方面信息，如商业网络服务器、朋友或合作伙伴的电子邮件地址。 研究结果表明，在参与的 27 项黑客服务中，有 10 项从未回复过研究人员的请求，12 项做出了回复，但并没有真正尝试过发动攻击，只有 5 位黑客最终发起了针对测试 Gmail 帐户的攻击。在响应请求但没有发动攻击的 12 人中，有 9 人表示他们不再攻击 Gmail 帐户，而其他三人似乎是诈骗份子。 Hack for Hire: Exploring the Emerging Market for Account Hijacking 研究人员表示，这些黑客攻击服务的收费通常在 100 美元到 500 美元之间，而且没有人使用自动化工具进行攻击，所有攻击都涉及社会工程，黑客使用鱼叉式网络钓鱼来微调针对每个受害者的攻击。在实验中，一些黑客询问了研究人员要攻击的受害者的详细信息，而其它人则不过问，并且选择使用可重复使用的电子邮件网络钓鱼模板。 研究人员的结论是，当前 Email 劫持服务出售尚未成熟到其它犯罪细分市场的水平。可以查看原报告，了解该研究的具体细节： Hack for Hire: Exploring the Emerging Market for Account Hijacking   （稿源：开源中国，封面源自网络。）