以色列人质谈判专家如何智胜勒索软件黑客——彭博社

克里斯特尔在特拉维夫的办公室。

摄影师：阿米特·埃尔卡亚姆为《彭博商业周刊》拍摄2015年，网络犯罪分子瞄准了几家货币交易公司，窃取了敏感数据并留下勒索信。他们收到了一位名叫海伦娜的女性发来的回复，她自称是其中一家公司负责处理谈判的欧洲高管。在WhatsApp上越来越慌乱的交流中，海伦娜恳求他们降低赎金价格。

黑客们不知道的是，这些信息的作者并非高管，也不是女性，更没有真正惊慌失措。屏幕背后其实是莫蒂·克里斯特尔，一位经验丰富的以色列人质谈判专家，他更习惯于与哈马斯和真主党的激进分子对话，而不是犯罪团伙。采用海伦娜这个角色是克里斯特尔首次尝试的一种技巧，这成为他在过去十年中代表全球公司进行数百次高风险勒索软件谈判的标志性手法之一。

彭博商业周刊特朗普上任100天你可能错过的100个瞬间Labubu玩偶热潮能否在特朗普关税政策下存活？埃隆·马斯克上任100天特朗普推广的美国制造手推车如今产自中国57岁的克里斯特尔戴着许多以色列人佩戴的狗牌，以表达对被哈马斯扣押人质的声援，他看起来严肃，散发着长期担任以色列安全官员的自信，解释他是如何运用他的技巧的。“有时我是老板的女儿，”他在特拉维夫一栋摩天大楼39层的办公室里说道，当与黑客谈判时。“有时我是一个困惑的IT人员，被要求处理谈判，因为他们不想与董事会分享。有时我是法律团队中一个非常有野心的成员，必须证明自己。关键是，像任何人质谈判专家一样，要明白键盘的另一边是一个活生生的人。”

若企业决定与黑客谈判，克里斯特尔通常会在遭遇攻击后的三到四天内加入应急团队。摄影：阿米特·埃尔卡亚姆（为彭博商业周刊拍摄）在转向勒索软件谈判之前，克里斯特尔拥有二十年以色列军队人质谈判专家经验。他曾参与以色列与约旦及巴勒斯坦的和平谈判，操盘2011年用千余名巴勒斯坦囚犯交换以军士兵吉拉德·沙利特的行动，并长期在俄罗斯高校讲授谈判技巧。仅凭文字交流智胜狡猾的网络罪犯，对他而言是充满诱惑的新挑战。

市场需求极为旺盛。勒索软件攻击——黑客通过加密或窃取敏感数据索要赎金（通常要求加密货币支付）——据美以网络安全公司Check Point Software Technologies Ltd.研究显示，这已成为2024年全球企业面临的重大网络安全威胁之一。美国区块链分析公司Chainalysis记录显示，2024年勒索支付金额达8.13亿美元。美国联邦调查局虽建议企业不要支付赎金，认为这会助长更多攻击且未必能解决问题，但此类支付行为通常并不违法。

日益增长的威胁催生了私人勒索软件谈判专家的兴起，他们负责与黑客周旋，同时为企业争取时间评估风险、对黑客攻击进行数字取证、咨询律师意见，并让IT团队尝试在不向网络犯罪分子支付赎金的情况下恢复数据。

克里斯塔尔在其他谈判领域的经验让他占得先机。现实中，他具有与这一行当完美匹配的戏剧天赋——他能假装愤怒提高嗓门作为施压手段，或是像2016年那段仍挂在YouTube的演讲视频里令人捧腹的表现那样，用夸张口音嘲讽网络罪犯。但由于其早年练就的谈判技巧（个人魅力、眼神交流、语气把控、策略性示好或冷落）在书面沟通中基本失效，他不得不开发新手段。

这需要学习过程。当克里斯塔尔得意地向妻子展示与海伦娜的短信记录时，妻子嘲笑说那些简短信息根本不像女性口吻。据他回忆，2015年那场谈判最终因客户拒绝支付赎金而失败——尽管涉及高度敏感数据，这种情况在他经手的案例中相当罕见。

尽管勒索软件谈判从未成为他的主业，但此后他不断精进技艺。去年9月起，他担任阿姆斯特丹AI基础设施公司Nebius Group NV的商业外交主管，负责政府关系事务。作为以色列国防军预备役中校和该国最资深的谈判专家之一，他仍会接到政府咨询电话，近期还参与了加沙地带人质危机处理。而勒索软件谈判只是他的兼职工作，通常每晚只投入几小时。

当今主流的勒索软件团伙是高度专业化的犯罪组织，主要活跃于东欧和拉丁美洲地区，拥有实体办公室、人力资源部门和技术支持团队。部分团伙与附属机构合作，以"勒索软件即服务"模式短期出租恶意软件。专家指出，近年来许多黑客转向"双重勒索"模式，不仅窃取数据还威胁若不支付赎金就将公开数据。

谈判专家表示，约半数遭遇勒索的企业最终会支付部分费用。“可能是需要解密工具，也可能是为了阻止数据泄露，“GuidePoint安全公司的马克·兰斯解释道。他承认存在支付赎金后犯罪团伙仍不归还数据的风险，但补充说：“这些网络犯罪集团也需要维护自己的品牌声誉。”

勒索谈判行业本身也面临质疑，批评者指出其效果存疑且顾问收费高昂。犯罪团伙通常会精确研究勒索金额。“赎金要求往往与网络安全保险的承保额度吻合，某种程度上谈判是徒劳的，因为他们非常清楚能获取多少赔偿，“Check Point威胁情报研究总监洛特姆·芬克尔斯坦表示。

谈判从业者辩护称，在执法部门和政府无法协助恢复加密数据时，这是无奈之举。“这是犯罪行为。当政府无法提供帮助时，犯罪受害者能怎么办？“克里斯托尔反问道。

马丁·哈斯伦德·约翰森是两家遭黑客攻击的丹麦小型网络托管公司的首席执行官，这两家公司于2023年8月被入侵并在48小时内破产。他通过电子邮件直接与黑客谈判，此前他曾联系过一位收费超出其预算且接近赎金数额的专业谈判人员。后来他以更合理的价格找到另一位专业谈判人员，但为时已晚。

“从哲学层面讲，我认同不该支付赎金，”他表示，“但从人性化商业角度，如果支付后能确保取回数据，这当然是个可行选项。”

若企业决定谈判并联系克里斯托，他通常会在事件发生后的三到四天内介入，加入应对攻击的全方位响应团队。首要工作之一是判断攻击是否属于他所说的勒索软件黑客“常春藤联盟”——那些收钱后倾向于恢复数据的成熟持久组织。若对方是所谓“初级附属团伙”（向大型团伙购买勒索技术的小型组织），则需评估其可靠性。若发现谈判对象受美国政府制裁，他会立即终止对话。

过去语言特征常是识别黑客的关键，但AI翻译工具消除了这些痕迹。克里斯托提到，有时他会发现自己在和机器人谈判，这时他会采用许多人在线客服时熟悉的策略：通过非常规请求迷惑系统，迫使电脑转接真人接线员（他拒绝透露具体技巧）。

目前，网络犯罪分子仍不放心让AI完全接管谈判，克里斯托表示。“我确实看到俄罗斯人使用AI进行编码和翻译，但没发现他们用AI全程参与谈判。他们需要掌控局面，因为钱才是他们的目标。”

克里斯托还经常需要安抚高管，协调公司内部各决策者的意见。他指出，谈判往往因内部相互指责而破裂。经过四五天后，企业通常已决定是否愿意达成交易。“决定权不在我们手中，“网络安全初创公司Sygnia Consulting Ltd.企业发展副总裁盖伊·西格尔说，“我们要确保客户理解支付的好处、拒绝支付的利弊、我们对威胁行为体的判断及其可信度。如果这些信息到位，就是客户自己的商业决策了。”

克里斯托称自己直接借鉴了人质谈判经验，即使不信任对方也会努力建立融洽关系。他认为关键在于始终保持对话。“尊重不等于信任，你可以在不信任对方的同时展现尊重。无论是哈马斯、著名勒索软件团伙Akira，“他说道，“甚至是你岳母。"继续阅读：以色列立志成为全球军火商