研究文章 用世界网络犯罪指数绘制全球网络犯罪地理图 MirandaBruce1,2*,JonathanLusthaus1,3,RidhiKashyap1,4,NigelPhair5,FedericoVarese6 1英国牛津大学社会学系,2澳大利亚澳大利亚堪培拉新南威尔士大学堪培拉专业研究学院,3牛津大学全球与区域研究学院,牛津大学,英国牛津,4牛津大学人口科学中心,英国牛津,5澳大利亚维多利亚州莫纳什大学IT学院软件系统与网络安全系 ,6Centred'EtudesEurope'ennesetdepoliquecompare'e,SciencesPo,Paris,France * Abstract 开放访问 引文:BruceM,LusthausJ,KashyapR,PhairN,VareseF(2024)用世界网络犯罪指数绘制网络犯罪的全球地理图。PLoSONE19(4):e0297312。https://doi.org/10.1371 /journal.pone.0297312 编辑:NaeemJan,韩国国立交通大学,大韩民国 已收到:2023年10月11日 网络犯罪是世界面临的重大挑战,估计成本从数百万到数万亿不等。尽管构成了威胁,但网络犯罪在某种程度上是一种无形的现象。在进行虚拟攻击时,违法者经常通过隐藏在线昵称和技术保护来掩盖自己的物理位置。这意味着技术数据不太适合确定罪犯的真实位置,并且网络犯罪地理的学术知识有限。本文提出了一种解决方案:专家调查。从2021年3月到10月,我们邀请了来自世界各地的网络犯罪情报/调查方面的领先专家参加关于网络犯罪罪犯地理位置的匿名在线调查。调查要求参与者考虑五类主要的网络犯罪,提名他们认为是每种类型的网络犯罪的最重要来源的国家,然后根据其影响,专业精神和技术对每个提名国家进行排名罪犯的技能。调查的结果是世界网络犯罪指数,这是围绕五种网络犯罪组织的全球网络犯罪指标。结果表明,相对较少的国家拥有最大的网络犯罪威胁。这些发现部分消除了网络犯罪分子匿名的面纱,可能有助于执法部门和政策制定者应对这种威胁,并有助于将网络犯罪作为一种本地现象进行研究。 已接受:2024年1月3日 已发布:2024年4月10日 同行评议历史:PLOS认识到同行评审过程中透明度的好处;因此,我们可以发布同行评审和作者回应的所有内容以及最终发表的文章。本文的编辑历史可在此处获得: https://doi.org/10.1371/journal.pone.0297312 版权所有:©2024Bruce等人。这是根据知识共享署名许可条款分发的开放获取文章,该文章允许在任何介质中不受限制地使用,分发和复制,前提是原始作者和来源被记入贷方。 数据可用性声明:数据集和相关文档已上传到OpenScienceFramework。可以通过以下URL访问数据: https://osf.io/5s72x/?view_only=ea7ee238f3084054a6433fbab43dc9fb。 Introduction 尽管已经记录了网络犯罪攻击的地理位置,但网络犯罪罪犯的地理位置以及每个国家中存在的相应的“网络犯罪”水平在很大程度上是未知的。许多学者已经注意到,关于罪犯地理的有效和可靠的数据是稀疏的[1-4],并且在建立国家网络犯罪的稳健指标方面存在几个重大障碍。首先,存在与任何隐藏人群研究相关的一般挑战,对于他们来说,不存在抽样框架[5,6]。如果网络犯罪分子本身不能被轻易访问或可靠地调查,那么网络犯罪。 资金:该项目已根据欧盟的“地平线2020”研究和创新计划(赠款协议编号: 101020598-CRIMGOV,FedericoVaresePI)。FV获得了该奖项,并且是主要研究者。ERC在研究设计、数据收集和分析、发布决定或手稿准备中没有发挥任何作用。Funder网站:https://erc.europa./faq-programme/h2020。 竞争利益:作者宣称不存在竞争利益。 必须通过代理来衡量。这是第二个主要障碍:决定哪种代理数据将产生最有效的网络犯罪衡量标准。虽然有很多关于网络犯罪攻击的技术数据,但这些数据捕获的是网络犯罪分子使用的数字基础设施或代理(混淆)服务的伪像,而不是它们的真实物理位置。非技术数据,如法律案件,可以为少数案件提供地理归属,但这些数据不能代表全球网络犯罪。简而言之,如何最好地衡量网络犯罪罪犯的地理位置的问题是复杂且尚未解决的。 开发网络犯罪的度量标准具有巨大的价值。网络犯罪是世界面临的主要挑战,最清醒的成本估计在数亿[7,8],但高端估计在数万亿[9]。通过准确确定哪些国家是网络犯罪热点,公共和私营部门可以将资源集中在这些热点上,并在问题有限的国家减少用于网络犯罪对策的时间和资金。无论在打击网络犯罪方面采取何种策略(例如,参见[10-12]),它们都应针对产生最大网络犯罪威胁的国家[3]。网络犯罪的衡量标准也将使其他学术调查成为可能。例如,按国家划分的网络犯罪指数将允许在试图评估哪些国家特征(如教育程度、互联网普及率或GDP)与网络犯罪相关的研究中使用真正的因变量[4,13]。这些协会还可用于确定未来的网络犯罪中心,以便在严重的网络犯罪问题发展之前,在风险国家进行早期干预。最后,这一指标将直接与关于网络犯罪和更广泛的有组织犯罪的局部性的理论辩论进行对话[11-14]。我们已经接受的挑战是制定一个既全球性又健壮的指标。以下部分分别概述了本研究的背景要素,方法,结果,然后讨论和局限性。 背景 本文/研究的重点是利润驱动的网络犯罪,社会科学家和计算机科学家都对其进行了研究。它的特点是经验贡献,试图阐明在线和离线网络犯罪的性质和组织[15-20]。但是,如上所述,网络犯罪的地理位置只有少数学者解决,他们已经确定了与现有数据相关的许多挑战。在对这一领域现有工作的回顾中,Lsthas等人。[2]找出现有网络犯罪指标中的两个缺陷:1)他们正确地归因网络犯罪罪犯位置的能力;。 2)除了几个例子之外,他们还能够比较国家之间网络犯罪的严重程度和规模。 将归因纳入网络犯罪指数具有挑战性。通常使用技术数据,网络安全公司,执法机构和国际组织定期发布报告,以确定网络攻击的主要来源(例如,参见[21-24])。其中一些来源已被学者汇总(见[20,25-29])。但是这些报告中包含的技术数据无法准确衡量罪犯的位置。Kigerl[1]提供了一些说明性评论: 网络罪犯居住的地方不一定是网络攻击的来源。来自罗马尼亚的罪犯可以控制僵尸网络中的僵尸,僵尸网络主要位于美国,僵尸网络可以从僵尸网络向世界各国发送垃圾邮件,其中包含与中国网络钓鱼网站的链接。网络罪犯的范围不受国界的限制 (第473页)。 由于网络犯罪分子通常使用代理服务来隐藏其IP地址,进行跨国边界的攻击,与世界各地的合作伙伴合作,并且可以利用不同国家的基础设施,因此肤浅的措施无法捕获这些罪犯的真实地理分布 。Lsthas等人。[2]得出结论,试图使用技术数据按国家编制网络犯罪指数存在有效性问题。“如果它们是对任何事情的衡量,”他们争辩说,“它们是对网络攻击地理的衡量,”而不是对罪犯本身的地理(p。452). 非技术数据更适合纳入归因。法院记录,起诉书和其他调查材料更直接地说明了罪犯的身份 ,并提供了有关其位置的更详细的细节。但是,尽管这种类型的数据与微观层面的分析和案例研究非常匹配,但即使经过整理,这些小样本的代表性也存在一些基本问题。首先,任何样本都只能捕获网络犯罪分子被起诉的案件,而不包括仍然在逃的罪犯。其次,如果目的是按国家计算网络犯罪起诉的数量,这可能反映了各个国家对网络犯罪执法的认真程度或他们所拥有的资源,而不是每个国家内部网络犯罪的实际水平(有关讨论见[30,31])。鉴于这种担忧,法律数据也不是这种研究计划的适当方法。 此外,为了对这一主题进行认真的研究,网络犯罪指标应旨在包括尽可能多的国家,并且样本必须允许变化,以便可以比较网络犯罪高和低的国家。如果只研究少数广为人知的网络犯罪中心,这将导致选择因变量。提供这种比较量表的明显挑战是缺乏高质量的数据来设计它。作为一个插图,在他们的文献综述霍尔等人。[10]确定网络犯罪分子地理位置的“可靠数据的缺乏”,这意味着他们最终只能包括六个国家(p。285.另见[4,32,33])。 考虑到上述现有技术和法律数据中的弱点,Lsthas等人。[2]主张使用专家调查来建立网络犯罪的全球衡量标准。专家调查数据“可以推断和操作”,并且“只要样本中的参与者对网络犯罪分子及其操作有广泛的了解,归因仍然是调查的关键部分”(第453).到目前为止,还没有进行过这样的研究。这种调查需要非常仔细地设计,以使所得数据既可靠又有效。对过去网络犯罪研究的一个批评是,每当其他数据无法立即获得时,都会使用调查,而且它们的设计并不总是很谨慎(有关讨论见[34])。 Methods 为了回应前面的考虑,我们在2020年设计了一项专家调查,通过焦点小组对其进行了完善,并在2021年进行了部署。调查要求参与者考虑五种主要类型的网络犯罪-技术产品/服务;攻击和勒索;数据/身份盗窃;诈骗;以及兑现/洗钱-并提名他们认为是每种网络犯罪最重要来源的国家。然后,参与者根据在那里产生的犯罪的影响以及在那里的罪犯的专业精神和技术技能对每个提名的国家进行评级。使用专家的回答,我们为每种类型的网络犯罪生成分数,然后将其合并为按国家划分的网络犯罪的总体指标:世界网络犯罪指数(WCI)。WCI实现了我们的最初目标,即设计一种有效的网络犯罪中心位置和重要性衡量标准。 我们更广泛的目标的第一步是了解世界各地网络犯罪生产的本地层面。 参与者 识别和招募网络犯罪专家具有挑战性。就像我们试图研究的隐藏的网络罪犯群体一样,网络犯罪专家本身也是一个隐藏的群体。由于其工作性质,从事网络犯罪领域的专业人员往往对未经请求的通信特别警惕。还有一个问题是确定谁是真正的网络犯罪专家,以及谁只是简单地将自己呈现为一个。我们设计了一种多层采样方法来应对这些挑战。 我们战略的核心是有目的的抽样。对于完全基于专家意见的指数,确保这些专家的质量(以及我们调查结果的质量)至关重要。我们将“专业知识”定义为从事网络犯罪情报,调查和/或归因至少五年,并在同行中享有卓越声誉的成人专业人士。只有当前或最近执业的情报人员和调查人员才被纳入参与者池。虽然参与者可以来自公共或私营部门,但我们明确排除了在网络犯罪研究领域工作的专业人士,他们不积极参与跟踪罪犯,包括作家和学者。简而言之,我们的样本中只包括具有网络犯罪分子第一手知识的专家。为了确保我们拥有来自广泛背景和地理区域的领先专家,我们采用了两种招聘方法。我们通过一系列在线资源进行了广泛的搜索,包括社交媒体(例如ProcedreLiedI),公司网站,新闻文章和网络犯罪会议计划,以识别符合我们纳入标准的个人。然后,我们面临的第二个挑战是必须找到或辨别这些人的联系信息。 作为对这一策略的补充,作者还利用他们与被识别的网络犯罪专家的现有关系,使用“滚雪球”方法招募参与者[35]。这既增强了访问权限,又为我们所知道的真正的专家提供了一种机制,以表彰其他真正的专家。我们的大多数参与者都是以这种方式招募的,要么直接通过我们最初的联系,要么通过随后的一系列推荐。 但重要的是要注意,这个滚雪球抽样属于我们更广泛的目标抽样战略。也就是说,所有原始的“种子”必须满足我们的入选标准,即首先要成为顶级专家。我们提供的任何连接也必须符合我们的标准,否则我们不会邀请他们参与。这种抽样策略的另一个重要方面是,我们不仅依靠一个看门人,而且依靠了许多帮助我们进行介绍的人,这些人通常是无关的。这种方法减少了样品中的偏差。特别重要的是部署一些不同的“雪球”,以确保我们包括来自世界每个区域(非洲、亚太、欧洲、北美和南美)和一系列相关专业背景的专家。我们的抽样策略仅限于说英语的人。调查本身同样是用英语写的。英语的使用部