尼日利亚王子骗局仍在欺骗人们。原因如下。

在伊丽莎白·霍姆斯 (Elizabeth Holmes) 或 Fyre 音乐节之前，有一位尼日利亚王子。几十年来，这位数字骗子一直在渗透垃圾邮件过滤器，为您提供千载难逢的机会：他写道：“亲爱的，我是一位任性的皇室成员，向您带来一个绝佳的投资机会。先生，他说，您知道您的西联汇款账户中有数百万美元无人认领吗？我可以帮您取出来。他只需要一笔小额现金预付款或一个银行账号来完成电汇。然后，这些意外之财就属于您了。

大多数人都知道这是骗局。尼日利亚王子诈骗又称为 419 诈骗，是几个世纪以来西班牙囚犯诈骗的变种，西班牙囚犯诈骗是法国大革命后出现的预付费骗局，人们寄出手写信件，请求帮助被错误监禁的（不存在的）贵族。虽然尼日利亚王子诈骗与早期互联网密切相关，但它在 20 世纪 80 年代首次走向全球，当时西非诈骗者开始通过蜗牛邮件向世界各地发送诈骗信件。今天，这看起来更像是一个笑话，而不是真正的威胁，但尼日利亚王子仍然能得到报酬：2018 年，仅美国人就为该骗局带来了 70 多万美元的收入。

但诈骗者也在以更具创新性和危险性的方式利用 419 诈骗的基本心理。“15 或 20 年前，我们都曾嘲笑 [尼日利亚王子]，”Agari 首席身份官 Armen Najarian 说。但“那位尼日利亚王子已经长大，上了大学，学到了一两样东西，并找到了一份新的赚钱职业。”曾经看似简单、孤立的诈骗已经演变成一个万亿美元的威胁。

社会工程学

419骗局也许是社会工程学最著名的例子，社会工程学是诈骗分子用来操纵目标用户分享个人或机密信息并发动进一步攻击的一系列策略。

SecureWorks 对手小组全球总监 Jacob Dorval 领导着一支道德黑客团队，他们模拟攻击以识别客户安全协议中的薄弱环节。他说，大多数社会工程攻击都是以网络钓鱼的形式开始的——通过电子邮件、电话，甚至是与看似值得信赖的消息来源进行面对面的互动，而这些消息来源实际上想要窃取您的私人数据。

“目前，冠状病毒就是一个完美的例子，”多瓦尔说。黑客可以创建虚假的公共卫生警告，并将伪造的页面分发给目标公司的员工。“也许它会弹出一个与你的人力资源页面一模一样的页面，上面写着，你必须登录才能查看该建议。或者可能只是一个链接，上面写着，单击此处，”他说。“它看起来一点也不异常，但当你打开该文件时，它可能会启动恶意活动。”

诈骗者不再像那位尼日利亚王子那样索要钱财，而是索要个人信息。而那位尼日利亚王子通常只需几笔电汇就能满足，而获取你的密码和个人身份信息只是他更大计划的第一步。

目前，联邦调查局关注的是商业电子邮件泄露（BEC），这种攻击针对的是可以访问公司金融基础设施的员工，并诱骗他们将钱转移到诈骗分子手中。

其中一种变种被称为“CEO 骗局”，骗子冒充公司 CEO，要求立即汇款。如果下属听从命令，他们就会在不知情的情况下将资金转给骗子。（有些骗子甚至更甚：2015 年至 2017 年间，骗子在精心策划的 Skype 通话中冒充法国国防部长让-伊夫·勒德里昂，骗取了 9000 万美元。）

一种类似的策略，称为供应商电子邮件入侵 (VEC)，也在兴起，Agari 预测它将成为 2020 年的头号攻击类型。在典型情况下，欺诈者会创建一张看起来与真实供应商完全相同的发票，但银行账户信息除外。当公司发出付款时，款项再次进入诈骗者的账户。

过去，这种骗局是一场数字游戏。骗子瞄准的人越多，找到受害者的可能性就越大。现在情况依然如此，但如今的攻击也更加复杂。“尼日利亚王子的邮件实际上是垃圾邮件，”纳贾里安说。“没有什么是专门为它定制的。”现在，骗局非常个性化，即使是最谨慎或最怀疑的员工也面临风险。“只要犯一个小错误就有可能中招，”多瓦尔说。

“网络安全”这个词可能会让人联想到许多电影中描绘的配备尖端机器的国际黑客团伙。但欺诈不一定要采用高科技才能成功，因为社会工程学主要利用的是人性的弱点。“说到安全，人是最薄弱的环节，”多瓦尔说。有些人面临的风险可能比其他人更大——根据联邦贸易委员会的数据，千禧一代的欺诈率实际上高于老年美国人——但任何人都可能成为 CEO 骗局、诱惑或浪漫骗局的受害者。如果你能骗别人开门，为什么要破门而入呢？

无论目标是什么，成功的社交工程都会产生严重后果。预测数字技术趋势的 Juniper Research 估计，2019 年全球因网络犯罪造成的商业损失达到 3 万亿美元。没有人能幸免于难。穆迪最近因一次重大数据泄露事件下调了 Equifax 的评级，这是首次有公司因为影响数亿人的网络安全问题而被下调信用评级。而且，正如洛杉矶网络部门的 FBI 探员 Michael Sohn 告诉 Wired 的那样，“当一家小企业被骗走 20 万美元或 50 万美元时，他们就完蛋了，他们不再营业了。”

反击

正如你不需要复杂的技术来进行社会工程诈骗一样，你也不需要疯狂的计划来打击它。独立网络安全研究员兼顾问 Lukasz Olejnik 表示，多因素身份验证是打击欺诈的良好开端，它需要密码之外的一个或多个级别的身份识别。同样重要的是确保每个帐户的密码都不同，这样如果一个帐户被破解，其他帐户就不会像多米诺骨牌一样倒下。但不要把它们放在便利贴上——数字密码管理器同样简单，而且更安全。

尽管如此，许多公司也在转向人工智能来增强其欺诈检测流程，以完全避免人类参与。据 Agari 称，拥有自动网络钓鱼响应的组织检测到的恶意消息比员工多 44 倍。这很重要，因为 Agari 报告称，60% 的员工报告事件都是误报。人工智能的好处也可能出现在您的个人电子邮件中，因为据报道，Gmail 的机器学习增强平台可以阻止 99.9% 的垃圾邮件。

奥莱尼克说，一种行不通的预防策略就是羞辱。任何人都可能成为社会工程骗局的受害者，因此惩罚、解雇甚至起诉那些这样做的员工不仅不公平，而且无法解决更大的问题。虽然管理层可能觉得自己已经采取了立场，但他们仍然像往常一样脆弱。

这位尼日利亚王子可能不再像以前那么成功，但他仍然是不断演变的威胁的完美隐喻。多瓦尔说，欺诈“通常是一个何时发生的问题，而不是是否会发生的问题”，无论王室是否参与其中。