与金融服务行业的许多IT领导人一样，IT和营销部门高级副总裁Kevin Dougherty同样遇到了垃圾邮件和网络钓鱼骗局。不过，最近一次的遭遇却让他感觉完全被犯罪分子盯上了。
那封电子邮件上的发件人姓名让Kevin Dougherty脊背发凉：这封信来自他所在的中部佛罗里达教师联邦信用合作社（CFEFCU）的一名董事会成员。
电子邮件言之凿凿地声称：换用新的Visa信用卡的过程出现了问题，当时这名董事会成员在向该信用合作社的顾客推销这种信用卡，一个欺诈邮件督促顾客点击一个链接输入账户信息——其实指向了犯罪分子建立的假冒网站。
但真正把Dougherty吓坏的却是星期五下午晚些时候发生的一幕：下午2时左右，信用社网站突然被黑掉，之前，Dougherty已从网站上清除了信用卡换用信息，并发布警示，提醒顾客防范骗局。
这时，Dougherty意识到自己遇到了从没见过的问题，这不是传统的网络钓鱼或者垃圾邮件惯用的伎俩，而是有组织的犯罪集团在攻击他的银行。他说：“这种攻击不是随机性的，他们知道我们在处理信用卡，就对我们发动了猛烈攻击。”
Dougherty的网站因灾难性的分布式拒绝服务（DDoS）攻击而陷入了瘫痪。高峰时期，攻击者调用全球各地的大批计算机，向他的服务器发送的虚假服务请求每秒钟超过60万个数据包。犯罪分子具有一定的技能，能够同时对Dougherty及其顾客两头发动攻击，这清楚地表明网络犯罪在过去几年里得到了迅猛发展。调研公司Gartner声称，如今网络犯罪成了产值达28亿美元的行当。
虽然这个黑色行当的目标基本上是金融服务公司，但有迹象表明犯罪分子开始盯上了新的对象。据反网络钓鱼工作组声称，自今年1月以来，有案可查的网络钓鱼者一直在觊觎“通常不会被盯上的多种类型的网站”，譬如社交网站和赌博网站。
随着网络犯罪迎来第二波狂潮，没有编程经验的犯罪分子也能买到非法的套装软件，从而发动狡猾的攻击。单单使用防火墙再也不足以满足信息安全的需要。这不仅仅成了一种IT风险，还成了业务风险。威胁扩大到了IT系统之外，影响着营销、顾客关系、政府法规遵从、保险成本和法律责任等各个方面。要确保信息安全，除了IT人员和一群值得信赖的安全厂商和顾问外，还需要公司各个级别的所有人员了解情况、参与进来、达成共识，这样才能避免问题发生。对付网络犯罪的安全措施应成为公司的灾难和业务连续性方案的一部分，要根据网络犯罪构成的总体威胁来确定安全开支。
如果公司只是把安全看成是IT部门的成本和责任，那么根本不会真正准备好应对面临的风险。网上经纪公司Scottrade的CIO Ian Patterson说：“要是你果真遇到了攻击，绝对不是数据丢失或者顾客遭殃这么简单，攻击还会对其他各方面，比如营销、顾客服务以及整个公司带来更大的影响。”
网络犯罪的嬗变
骗子们仍以获取金钱为目标，不过他们正在设计更高明的手法来达到目的。他们愿意逗留更长的时间，把目标对准不能立即获利的地方。譬如说，今年年初，零售商TJX披露的安全泄密事件经历了一年多之后才浮出水面，犯罪分子曾多次访问TJX的系统，获取顾客的信用卡号码，使用的技术“使我们迄今为止还无法确定去年失窃的文件中有什么内容。”TJX向证券交易委员会提交的年报声称。美国司法部计算机犯罪和知识产权部门的首席副主管Chris Painter说：“新的攻击并不是大张旗鼓地发动的。”
网络钓鱼攻击日益使用巧妙的方法来获取信息，就连见多识广的计算机用户也不清楚这些方法。据Gartner声称，随着攻击手段越来越高明，贸然点击的消费者其比例从2004年的18.6%增加到了去年的24.9%。安全顾问兼印第安纳大学的信息科学副教授Markus Jakobsson说：“随着更多的人使用非直接攻击手法，网络犯罪会从金融服务业扩大到其他领域。譬如说，你上了假冒的卡通网站后，该网站可能要求你输入信息，随后利用该信息在eBay上冒充你进行交易。”
这种威胁在与日俱增。据Gartner声称，从2004年到2006年，知道自己遭到过网络钓鱼攻击的人的数量翻了一番，从5700万人增至1.09亿人。虽然遭受经济损失的受害者比较少，但每个受害者的损失自2005年以来增加了四倍多，追回经济损失的比例也从2005年的80%下降到了2006年的54%。就算受害者没有遭受经济损失，也面临成本。联邦贸易委员会估计，消费者平均需要30~60个小时才能清理因身份失窃而遭破坏的信用记录。
对企业而言，看不见的成本更高。Ponemon Institute曾对56家遇到过顾客个人数据丢失的公司进行了调查，结果发现：与发现攻击、通知顾客、然后帮助顾客解决问题所需的总成本相比（平均而言，每条安全问题的记录为128美元，总共为260万美元），公司因安全泄密事件而遭受的损失超过了40万美元。