入侵人性:利用心理弱點操縱目標
作者:星期三, 九月 25, 20190

“人會犯錯” 是一個常識,但這也是被網絡犯罪分子惡意利用的一點,有更多的人正在利用簡單的人為錯誤成功發動攻擊。

信息安全論壇 (Information Security Forum, ISF) 在今天發布了新報告,探討了 “以人為中心的安全:應對心理弱點” 的主題。人類的弱點,無論是由工作壓力還是攻擊者引發的,都可能會使公司暴露于網絡犯罪中。隨著越來越多的組織機構擔心 “意外的內部人員”,應對人的心理弱點變得至關重要。

ISF 在報告中引用了 FireEye 的一項數據,該公司去年報告稱,10% 的攻擊都涉及到了病毒、勒索軟件和間諜軟件等惡意軟件。90% 的事件更具針對性——例如,冒充詐騙、魚叉式網絡釣魚攻擊和 CEO 欺詐。

ISF常務董事Steve Durbin表示:

我很清楚的一點是,如果我們真的要試圖解決一些針對個人的新興威脅,那么我們需要了解用戶的一些行為模式以及他們為什么會這樣做。他指出可以通過對員工進行管理來優化安全問題,從而實現 “全面轉變”。畢竟,他說大多數人并不是每天都抱著損害公司的意圖來上班的。

在人們做出決定之前,大腦必須處理大量的信息;然而,人類利用現有數據做出選擇的時間是有限的。這就是為什么大腦會尋求認知捷徑,或 “啟發式” 來減輕決策的負擔。啟發式幫助人們更有效地解決問題和學習新事物,但也可能導致認知偏差,導致錯誤的判斷或決策。

研究人員表示,只要企業不理解認知偏差可能帶來的結果,它們就會持續構成重大的安全風險。ISF 的報告列出了 12 種偏差,所有這些偏差都會對安全產生不同的影響。其中一個例子是 “有限理性” (bounded rationality),即某人根據自己必須做出決定的時間做出 “最優” 決策的傾向。

在網絡攻擊期間,有限理性被證明可能是危險的,因為在網絡攻擊期間,緊張局勢加劇,分析師可能會根據手頭的數據和工具做出 “最優” 決策。

在工作場所中另一個常見的偏差是 “決策疲勞”,即在一系列重復的選擇之后可用心理資源的減少。在漫長的一天結束時,員工往往傾向于做出更輕松的決定,而這可能不是最佳決定。Durbin 解釋道:攻擊者知道在下午晚些時候發動攻擊,因為會導致糟糕的決策。

福彩3d试机号码金码:為攻擊者創造優勢

2011年福彩3d走势 www.oykik.tw 上述的每一個心理弱點都給了攻擊者一個發動攻擊的機會。雖然他們大多數人的策略沒有發生什么變化,但他們在攻擊復雜性和成本效益方面有所進步。犯罪分子可以利用 “社會權力” 對他人施加影響,操縱他人犯錯。

社會權力分為六種不同類型:獎賞權力 (Reward Power),承諾在任務完成時給予獎勵;強制權力 (Coercive Power),通過懲罰來影響行為;參照權力 (Referent Power),利用 “個人崇拜” 操縱榜樣的追隨者;信息權力 (Information Power),利用特定的信息使目標相信攻擊者是合法的;以及專家權力 (Expert Power),攻擊者利用這種力量來冒充具備專業知識的人——可以信任的人。

精通心理的攻擊者可以在不同類型的攻擊中利用這些策略。Durbin 表示,魚叉式網絡釣魚最常見,而且越來越流行,但其他技術也越來越流行。例如,網絡捕鯨是釣魚郵件的一種,攻擊往往針對一個高價值目標,通常是高級管理人員或具有訪問權限的人。犯罪分子通過長期的計劃,在一段時間內通過不同的社會權力來建立信任。

誘餌是另一種策略,類似于網絡釣魚,但它會通過獎勵引誘目標:免費的音樂或電影下載可能會泄露某個網站的憑證。短信詐騙,通過短信進行的社會工程可能會越來越流行,因為人們對短信形式的網絡攻擊覺察程度較低。語音釣魚,或者是通過電話進行社交工程,可以讓攻擊者利用他們的聲音來建立一種融洽的關系。一些犯罪分子正在通過人工智能使自己變得更加具有說服力。

我們所見過的商業網絡釣魚和攻擊場景中,手機往往被排除在外。我們現在開始看到針對手機的攻擊出現。

雖然語音模仿策略需要合適的技術,但他預計這一領域將會發展。運用適當的技術,發起攻擊并不困難。

他接著說道關于以人為中心的網絡犯罪,重要的是要記住這與員工不夠聰明或粗心大意無關。

這是人性。如果你在錯誤的日子,或者以某種方式找上了我們,我們就會做出相應的舉動。你實際上并不知道一個人在特定一天的感受。

你能做些什么

研究人員建議,自上往下檢查組織機構的安全文化。這樣可以更好地了解不同部門是如何評估安全性的,并查明哪些地方會發生更多的人為錯誤。安全主管可以從這些環節開始識別威脅,調整響應,并幫助員工應對壓力大的情況。

安全管理員還應該了解員工是如何使用技術、實施控制和利用數據的。思考這些交互行為在不同地點和文化背景下的區別,并集思廣益如何圍繞使用它們的人設計控制和技術。

相關閱讀

五種手段抵御社會工程攻擊

著名的社會工程攻擊:12個狡猾的騙局

理解人類理解犯罪 網絡心理學家打擊網絡詐騙

 


相關文章

寫一條評論

 

 

0條評論