前同事：最难防的网络攻击

若论网络攻击中哪一类最为棘手，或许不是勒索病毒、APT组织，也不是零日漏洞，而是——你的前同事。

2021年5月，美国休斯敦发生了一起由内部员工引发的攻击事件，直到最近才随着法院审理而全面披露：一家业务遍布全美的大型企业，在极短时间内被打击至“未激活状态”，直接经济损失高达86.2万美元（约人民币613万元），并引发业务连续性危机。

而这一切的始作俑者，竟是一名被解雇的IT外包人员。

外包离职后，轻松重返内网

据美国司法部（DOJ）文件显示，这名IT外包名为Maxwell Schultz，现年35岁，来自美国俄亥俄州，曾作为合约工为一家大型企业的IT部门提供技术支持。尽管DOJ未直接点名，但多家地方媒体推测，这家公司正是美国废物管理公司Waste Management（简称WM）。

2021年5月14日，时年31岁的Maxwell Schultz被原公司解约，其账号权限也按流程被撤销。

按理，故事应在此结束：公司解雇员工或外包时，通常会同步回收账号权限并吊销系统级权限。然而，现实的企业安全管理往往并不“按理”。

大型企业的权限回收流程多依赖人工，跨部门沟通复杂且易出错，外包权限的控制更是公认“管理盲区”。一旦权限回收流程不彻底或身份验证机制存在疏漏，攻击者便能轻易重返网络内部——Maxwell Schultz正是钻了这个空子。

被解雇后不久，Maxwell Schultz利用对内部系统架构的熟悉，冒充另一名外包人员，获取了新的网络登录凭证，重新进入公司网络系统。

一条PowerShell脚本，引发大规模“账号失效”

进入系统后，Maxwell Schultz并未进行复杂的渗透或部署恶意程序，而是选择了一种更暴力、影响全局的方式：运行一段PowerShell脚本，一键重置约2500个账号密码。

法院文件披露，这段脚本由Maxwell Schultz自行编写，调用的是Windows企业环境中极为常见的命令行接口。脚本执行后，WM全公司范围内：

● 所有员工与外包的电脑被踢下线

● 登录尝试全部失败

● 从客户服务部门到现场运维团队，所有业务瞬间停摆

不难想象，这对一家在美国全国范围内布局的大型企业意味着什么——所有依赖内部系统的工作流程同步冻结，业务连续性瞬间被打断。而这，仅仅是几行PowerShell代码的效果。

为了掩盖行为，事后Maxwell Schultz还上网搜索了如何删除系统日志，并成功清除了多条PowerShell事件记录。虽然未能完全抹除痕迹，但也大幅提升了事后的取证难度。

员工停工、客服中断，企业损失超86万美元

司法部公布的信息显示，此次Maxwell Schultz的攻击造成86.2万美元以上的损失，主要来自三部分：

（1）大量员工停工：数千名员工无法登录电脑，自然无法开展任何与系统相关的操作，而企业每天支付的薪酬成本并不会因此暂停。

（2）客户服务体系瘫痪：Waste Management的客服体系高度依赖内部工单与处理系统。密码被重置后，客服无法访问后台系统，导致服务中断。

（3）恢复网络的人工成本：包括重新建立账号、恢复系统、梳理日志、排查可能的额外破坏等所有技术行为。而大规模权限恢复对IT团队来说，往往意味着数日甚至数周的加班。

以上这些损失还不包括公司名誉影响、合同延误等长期成本。某位参与事件调查的工程师形容：“这是普通技术人员不会想到的攻击方式，但对内部结构熟悉的人来说，它简单到令人后怕。”

动机只有一个：“因被解雇而不满”

面对DOJ的调查，Maxwell Schultz坦承了自己的动机：“因为被解雇而不爽。”

没错，他并非为了勒索或受人指使，也没有复杂的攻击流程，纯粹是为了泄愤。

目前，该案件已移交至美国联邦地区法院，预计将于2026年1月30日宣判。届时，Maxwell Schultz可能面临最高10年联邦监禁加25万美元罚款的处罚。

针对此事，网络安全专家指出，“内鬼攻击”（insider threat）正迅速增加。尤其是像能源和科技行业这种依赖外包且外包人员权限较高的地区。美国网络安全与基础设施安全局（CISA）也多次提醒企业，对前员工、前外包人员的权限回收需极度重视。

毕竟，“内鬼攻击”事件层出不穷。例如今年5月美国最大加密货币交易所Coinbase遭遇内鬼勾结黑客勒索2000万美元事件致使平台管理深层漏洞暴露损失超4亿美元；去年5月FinWise银行也因前员工窃取数据导致近70万用户信息泄露。

你能说这些公司的安全管理机制不完善吗？实际上多数公司都会关注防火墙、入侵检测、勒索软件防护但往往忽略了“人”——尤其是那些曾拥有较高权限、了解内部流程并深知系统弱点的工程师。

而他们发起攻击并不需要太高级的技术只要情绪失控就能用最简单的方式造成最严重的后果。