当蕾切尔 · 威尔逊还是个孩子的时候，她父亲给她讲的睡前故事就是那些扣人心弦的战时密码破解故事，小女孩对此着了迷。 “我开始对制作和破解密码非常感兴趣，还有为我的国家服务，”这位北加州本地人说。

追随她的热情，威尔逊长大后先是领导了美国国家安全局的反恐任务，随后又领导了其网络开发任务。 目前，担任摩根士丹利财富管理公司的网络安全主管威尔逊正在与《巴伦》的顾问讨论欺诈者如何试图在数据盗窃中获得优势，以及财务顾问们如何保持领先地位。 她还透露了一群“德黑兰地下室里”的网络罪犯是如何把她吸引到华尔街的。

问: 你的工作职责是什么？

答: 我的工作是确保我们在600家分支机构、15550名财务顾问和320万客户关系中提供的每个系统、每个网络、每个应用程序都尽可能安全可靠。

我的团队成立于2017年初，因为当时我们认识到我们商业模式的性质正在发生变化。我们希望我们的顾问能够安全地从任何地方来访问摩根士丹利的全部知识产权，我们也希望我们的客户能够通过摩根士丹利在线来做更多的事情。 要实现这些就意味着我们需要保证网络安全。

问: 这些日子里你在防备什么样的阴谋？

答: 想想几年前我们在网络钓鱼活动中的处境，当时我们收到的电子邮件被设计成让你打开一个附件，或者访问一个网站并分享个人信息。

现在我们看到了鱼叉式钓鱼邮件的趋势，这是专门为你设计的。 这些欺诈者会对他们的目标人物进行大量的研究，他们利用真人的电子邮件账户和挖掘社交媒体。 想想你邮箱里的所有内容，如果有人能进入你的邮箱，阅读你所有发送和接收的邮件，那么他们就会知道很多关于你的事情。 他们会对你的金融服务公司、你的顾问、你的沟通方式和你的沟通风格有很好的了解。 

所以我们看到的情况是，假设你是一个理财顾问，你开始收到来自某个看起来像你客户的人的电子邮件，但实际上这个账户已经被欺诈者给劫持了。这就是为什么金融服务公会司如此警惕，拒不接受电子邮件的指示，因为他们很难相信这封邮件真的来自他们所说的那个人。

问: 那么，如果顾问拒不接受客户的电子指令，欺诈者如何还能做到抢先一步呢？

答: 这还是有可能的。 黑客会将自己植入到一个合法的交易中。 例如，黑客进入一封电子邮件，准备进行一项重大交易(可能是购买、转让或资产) ，然后在适当的时候发送将资产转移到其他地方的指令。 我们在业权公司和第三方托管账户中看到了很多这样的例子。

问: 那么这种做法应该如何预防呢？

答: 如果财务顾问询问客户是否发送了指令，而客户说是的，那么交易号码仍然需要逐位验证。

问: 在这些类型的诈骗中，受害者是无意中向罪犯泄露了敏感的个人信息。 如果你非常小心地避免这样做，并进行逐位验证，是否还有其他方法仍然可能让用户导致受攻击？

答: 我们可以看到，那些被恶意软件感染的用户可能。 这个恶意软件位于后台，可以获取他们的点击信息。 它会截取用户所浏览之处的屏幕截图，利用这些截图来获取信用卡登录、银行和投资账户的登录名和密码。 然后，黑客一下子就可以将个人与他们的数字化生活隔离开来。 他们会在凌晨1点进入，更改所有的登录名和密码，然后用户就无法进入自己的账户了。在一些例子中，我们还会看到黑客攻击手机帐户，他们会让用户很难被任何人联系到，他们能够自由操作的时间窗口越长，留给欺诈的余地就越大。

问: 罪犯是些什么样的人？

答: 十年前，网上大部分活动都是由各国的情报机构进行的。 我们在过去五年中看到的是相当先进的网络能力的扩散，曾经属于国家权限的东西现在对传统的个人欺诈者开放了。

两件事情已经发生了: 许多这些高端黑客能力已经被用各种形式被披露，在许多情况下是由安全研究人员发现主权国家正在做的事情时披露的。 他们公布了这些策略，那些使用它们作恶的人就知道了这些策略。 同时，学习这些能力的能力也在不断增长。比如说我的儿子，他是怎么学会做事的？ ——不过就是看了一段 YouTube 视频。

问: 这些骗局起源于哪里？

答: 他们来自四面八方，但很难评估ーー他们努力弄模糊自己的来源。 许多这样的网络行为者在美国执法部门没有很多管辖权和影响力的地区活动，在这些地区我们没有引渡协议。 即使我们确定了他们在哪里，他们试图在哪里汇款，但在许多情况下，他们使用我们所说的“骡子帐户”，也就是说，帐户的主人是一个无辜的旁观者。

问: 听起来似乎就没有希望了，是吗？

这是一场猫捉老鼠的游戏。 我不认为我们一定会输。 在金融服务业，我们意识到我们是如此突出的目标，以至于我们做了大量工作来加强控制。 金融服务业的网络团队不断地把我们的头脑聚集在一起，听取有关最新活动的信息，以及作为一个部门我们可以做些什么来防范它。 这是一个协作性很强的领域。

问: 坏人是不是只追求大客户？ 小一点的客户安全吗？

答: 两者都有。 如果你是一个突出的超高净值个人，公众熟知而且你的财富也是显而易见的，当然这些人也会成为目标。 他们是大鱼，而且可能会带来很大的回报。 与此同时，这些人很精明，也很清醒，所以他们可能会投资更多的保护措施。

问: 骗子如何锁定潜在的受害者？

答: 他们在互联网上大范围地进行欺诈，看看谁最容易受到攻击，然后他们致力于变现。 最近的焦点集中在一些地区和区域性的银行、经纪人和顾问。 黑客们知道他们没有相同的投资池，他们也没有像许多大公司那样雇佣同等水平的网络安全专家。 我正在花越来越多的时间在地方一级的工作上。

问: 勒索软件攻击最近频频出现在新闻中，它让巴尔的摩和亚特兰大等城市陷入瘫痪。 金融公司容易受到冲击吗？

答: 欺诈者完全是机会主义者; 从地方政府到学区，所有东西都成为了攻击目标，但许多公司也经历过这种情况，从全球性的大公司到小公司、律师事务所、会计师事务所，任何地方，只要有重要数据，欺诈者都能拿到，以换取赎金。甚至是使用个人电脑的个人用户。

我从不建议支付赎金。 我们建议对数据进行适当备份。 我们看到很多人付钱，接下来你用等价的比特币来支付第一笔5万美元，他们给你一点点数据，然后他们要求你提供更多的数据，到那个时候就没有回头路了。

勒索软件攻击今年比以往任何时候都有利可图。 实际上，现在有些人在讨论将支付赎金定为非法行为，因为支付赎金的人越多，就越能刺激犯罪分子。

问: 所有的顾问都应该关心网络安全吗？

答: 是的，鉴于他们负责并有权获得客户信息，而且可以在账户之间转移资产，他们绝对应该关注并与他们沟通。

问: 他们能做点什么？

答: 在发生任何事情之前，与客户谈论网络安全都是至关重要的。 一分预防胜过十分治疗。 对电子邮件持怀疑态度，谨慎下载任何东西。 除了顾问参与对话，金融服务公司还试图向客户提供强大的认证技术。 多因素身份验证是我们能做的最好的方法，它可以大大有助于防止欺诈。 这超出了登录和密码的范围。 我们为客户提供了不同的选择，让他们知道如何验证自己的帐户。

即使是简单的行为也很重要，比如不要在网上其他地方使用相同的银行或经纪账户密码，为重要的账户设置一个独一无二的密码。

问: 客户是否普遍了解这些程序的重要性，他们会合作吗？

答: 我们每年都会调查我们的客户，问问他们最关心的是什么。 过去两年的答案不是波动性、自然灾害，而是数据保护。 个人越富有，他们越有可能回答网络安全和数据保护的问题。

问: 你能量化网络犯罪问题吗？

答: 数字是惊人的。 到2021年，网络犯罪造成的损失预计将达到6万亿美元 .

问: 还有其他新型欺诈行为需要注意吗？

答: 我们看到的情况有点违反直觉：这些新型欺诈行为围绕着纸张展开。 公司意识到网络欺诈是如此之大，所以他们引入了诸如多因素认证、回调验证等控制。 但这就像挤压一个气球。 这迫使欺诈者回到了1986年左右的传统欺诈: 洗白支票。 如果他们能在支票上找到姓名和地址，他们就会记下姓名、账号和路由号码，然后打印新的支票。 这是一个巨大的问题，因为支票上的签名没有数位鑑识。

当一个顾问让你投资时，你看的的是回报的基点。 我们用同样的方式看待欺诈: 我们在一个支付渠道上经历了多少个基点的欺诈？ 比如支票，甚至借记卡，都比许多数字交易方式有更高的欺诈基点。 如果客户使用电子账单支付，你就减少了路由号和账户号的暴露，当通过在线流程时，他们使用强大的身份验证，我们有美国数位鑑识交易委员会给我们更高程度的保证，该活动是合法的。

问: 美国金融服务公司的网络安全前景如何？

答：我们培养新的网络安全专家的速度还不够快。 我们没有足够的人手来填补这些空缺。 这让我很担心。 我们需要让更多的人，无论男女，尽早参与到 STEM 中来，把网络安全作为一种选择。 我花了很多时间在学校讨论网络安全，告诉年轻人这是一个非常值得的领域。

问: 在美国国家安全局工作多年后，是否有一件事促使你考虑进入金融世界？

答：这从来不在我的计划之内，我还以为我要在政府里干一辈子呢，但是有一刻我改变了主意。 那是在2012年到2014年这段疯狂的时期，伊朗政府将报复围绕其核计划的经济制裁作为反击战略的一部分，他们开始进行分布式的拒绝服务型攻击。 这意味着他们向网站抛出一大堆数据包，这样客户就不能登录了。 他们永远不会驾驶着一艘航空母舰入侵纽约港，但他们把一群人关在德黑兰的一个地下室里，制造了一些破坏。这也是一种反击的方式。

这令人沮丧，因为金融部门与政府实体之间的关系不够牢固。 现在，我们共同努力，更好地保护自己。 但在此之前，我们很难袖手旁观眼睁睁地看着这些攻击发生，而无法帮助保卫华尔街，因为华尔街是美国基础设施的关键部分。

我想，如果我离开政府，我会进入金融服务业。 我们在保护华尔街，实际上也是在保护大众。 这是人们的生命遗产，这也是我爱国之旅的下一步。

问: 谢谢你，蕾切尔。

声明: 这篇文章已经更新，增加了网络安全风险投资作为到2021年网络犯罪损失估计来源。

翻译 | 小彩

版权声明：

《巴伦》(barronschina)原创文章，未经许可，不得转载。英文版见2019年10月31日报道“Rachel Wilson: Cyber Cop at Morgan Stanley Wealth Management”。

（本文内容仅供参考，投资建议不代表《巴伦》倾向；市场有风险，投资须谨慎。）