内部人员在搞鬼？

    也许更加让人不安的是，攻击者了解公司的安全系统很可能意味着对方就在公司工作，要不就是认识之前或者如今在公司工作的人员。

    Hyppönen 估计，F-Secure在近两年观察到了20到25起这样的攻击。他说：“这不是很普遍，但是一旦发生这样的情况，确实是一个严重问题。有时候，系统管理员查看防火墙日志以及用户在何处连接网络、查找异常情况时，才发现安全泄密事件。他们有可能发现，研发部门的某两个工作站连接到了东欧国家的服务器，其实它们不应该连接。”

    在其他情况下，由于漏洞有时候使用软件rookit，用户可能开始会遇到PC问题。然后，IT人员运行F-Secure的BlackLight或者另一款rookit检测工具来进行调试、查找问题，结果他们怀疑可能是恶意软件在作祟。

    那么这些犯罪分子到底是哪些人？他们想用公司主管们的数据来干嘛？

    对许多犯罪分子来说，窃取数据只不过是数字游戏而已。一个有效的信用卡号码能卖一定数目的价钱。而一名有钱高管的信用卡连同驾照号码和社会保障号码却可能价值10倍或者20倍。

    赛门铁克公司的Ramzan说：“一个信用卡号码通常能卖到50美分到5美元，具体取决于信用额度等。如果你想购买带有社会保障号码的身份，可能要花10到150美元。”

    MessageLabs公司的Sargeant认为，不法分子更有可能是有组织网络犯罪团伙的成员，而不是公司间谍。Sargeant说：“获取所有这些信息，然后汇集起来牟取暴利，这无疑是纯粹的有组织的犯罪活动。直觉告诉我，这本身不是什么公司间谍行为；而是大量信息的买卖及交易行为，企图闯入账户。”

    这倒不是说，公司间谍行为并不是这类活动的一个目标――Sargeant认为，只是说不法分子最有可能是第三方，而不是直接竞争的对手。“如果你设法弄到了某家公司（比如尼康）的具体信息，可能会试图把信息卖给这家公司的某个对手――你可以说‘佳能也许会感兴趣。’但我没有看到这一幕开始出现在诸多公司内部。”

    F-Secure公司的Hyppönen不是这么肯定。他说，不法分子可能是有组织的犯罪分子、公司间谍或者两者的某种结合体。F-Secure受理的攻击大部分集中在某些类似行业，而针对的信息更多的是公司信息，而不是个人信息。

    他说：“我们其实并不知道这是外包行为还是间谍行为。受到影响的公司大多数都从事于同一个行业领域。”不过他不愿指明欧洲的哪些行业受到了影响。他又说，有些政府组织也成了攻击目标，包括某些国家的国会议员。

    想揪出网络犯罪分子的老巢很困难。他们通常借助一系列“DNS跳跃器”（DNS bouncers）来传送收集而来的数据。这种跳跃器把数据从一台服务器发送到跨越国界的另一台服务器，以掩盖最终目的地。

    他强调：“起初，信息好像是传送到某个东欧国家，所以马上想到‘这肯定是东欧国家。’但事实并不这么简单。”