社交工程心理學-網路犯罪的「軟」性面(soft-side)
48% 人會以他們的密碼來交換微小好處,[1] 91% 的網路攻擊就始於簡單的網路釣魚,[2] 而三分之二的人在過去 12 個月內曾經歷了技術支援詐騙。[3]這些事件有什麼共通點呢?他們都使用到社交工程:攻擊者利用人性來騙取資料。另一個共通點是在於這些小型的人類行為都會導致全球商業數十億美元的損失。
人類自然都有社交性,我們在做決定時經常高度受他人影響,也會因為過量的資訊轉而尋求捷徑以節省時間,這就是為什麼社交工程如此有效率。在這篇部落格文章中,我將分享 Cialdini 的文章── Principles of Persuasion背後的心理學,並解釋他們如何讓員工或顧客落入社交工程的圈套。同時,我會採用這些原則提出建議,告訴大家如何拒絕社交工程。
Robert Cialdini 博士是亞利桑那州立大學心理學與行銷學名譽教授,也是 Influence at work 的創辦人。他的職業生涯都在研究人們對於要求回覆「是」的原因,從研究中,他提出了說服的六個原則:互惠、稀有性、權威、一致性、喜好、共識。我們現在就來看看這些原理是如何應用於社交工程活動,以及您該如何避免。
互惠原則
人們傾向於公平,事實上,獲得利益會觸發大腦中與決策相關的神經反應區塊。倘若我的朋友在周五請我吃頓飯,我會認為自己有義務在下次一同出門時,請他吃頓飯。社會心理學家也指出若人們從陌生人手上獲得節慶賀卡, 20% 的人會回寄一封。[4]根據這個原理,服務生若在顧客飯後提供薄荷糖,也能增加約 18% 至 21% 的小費。
互惠原則如何應用在網路釣魚:您能在網路釣魚和其他詐騙中,找到互惠原則的證據。舉例來說,一個攻擊者會寄內含免費折價券的電子郵件給使用者,並要求使用者註冊帳戶。
利用互惠原則減少網路釣魚: Cialdini 提到,「互惠原則的第一步是先給予…」。許多組織會在培訓時提供餐點,但您也可以考慮發送禮物券或有趣的 T-shirt 等,若禮物是個人化或出乎意料的將會更有成效。在發送禮物後,要求人們遵從您的安全原則,許多人都會認為他們必須這麼做。
稀有性
為什麼許多旅遊網站會告訴您它們僅剩少數可訂購的班機和房間?根據稀有性原則,將限量供應的商品賦予更高的價值是人類的天性。在一個實驗中,大學生認為若罐中有較少的餅乾時,它們更吸引人。什麼更吸引人呢?當大量的餅乾逐漸減少為到稀有時。
互惠原則如何應用在網路釣魚:攻擊者利用我們渴望稀少物的習性,在電子郵件的中放置限時優惠。另一個手段是它們會告知使用者,若在 24 小時內沒有點選連結,使用者的帳戶會被停用。
利用稀少性減少網路釣魚:您可以利用稀少性讓人們做到安全行為。舉例來說,獎勵前 100 名啟用Multi-Factor Authentication的使用者。
權威
人們傾向於遵從可信專家的引導,醫生(想一下 Fauci 醫生)、教師、老闆和政治領導者,相較於其他人,在人們的動作和行為上有更大的影響力。若您聽過米爾格倫實驗,[6]您會對這個觀念更加熟悉。在該實驗中,實驗人員說服自願者受驗者向未正確答題的「學生」施加更高伏特的電擊。幸運的是,學生實際上沒有受到任何電擊,僅是假裝感受到疼痛的演員。然而,實驗顯示出權威原則有多強大。
權威原則如何應用在網路釣魚:使用權威人物來欺騙使用者的行為既常見又很有效。惡意行為者欺騙 CEO 要求 CFO 在一些魚叉式網路釣魚活動中迅速電匯資金。當處於急迫狀態時,人們會更害怕拒絕他們的上司。
利用權威減少網路釣魚:在安全系統中,您可以善加利用人們對於權威人物產生的信任的天性。例如,請資深的經理人聲明安全性的重要。
一致性
大部分的人都重視誠信。我們欣賞他人身上的誠實與可靠,也試著在我們的生活中實踐這些特質,這就造成了一致性原則的存在。人們會保持與過去陳述或行為的一致性,若我告訴您我重視環境,我就不會希望被發現在公園中亂丟垃圾。一篇研究發現,若您在人們入住旅館時,要求他們實踐環境保護行為,高於25%的人會重複使用他們的浴巾。[7]
一致性原則如何應用在網路釣魚:詐騙者利用人們對於一致性的習性,在最初電子郵件中要求一些微不足道的事物,並在後續要求更多。
利用一致性減少網路釣魚:要求員工致力於安全性,是一個能在您安全系統中應用一致性原則的方式。如何做到更加強大呢?讓他們以書面方式寫下。
喜好
人們更可能向他們喜歡的人說「是」這件事情,可能不會讓您吃驚。如果一個朋友尋求我的幫助,我會說好;但對一個陌生人,我會更容易拒絕。但陌生人若被辨認為好人,仍有說服力。在獎券實驗中,若賣獎券者向人們提供汽水,則人們更有可能向他購買;反之,若賣獎券者只準備了自己的汽水,人們就較不可能向他購買。[8]
喜好原則如何應用在網路釣魚:當惡意行為者欺騙禍害入個人的信箱帳戶,並寄送釣魚郵件給被害者的連絡人,他們便是在利用喜好原則。他們期待其中一位受害者的朋友,因為喜歡這位「寄件者」,而不會花費太多時間仔細研究郵件內容。
利用喜好減少網路釣魚:若要在您的員工前更有說服力,您需要養成「內部諮詢(internal consulting)」的心態。您必須表現出有好的一面,並建立關係,讓人們會願意在您要求他們修正行為時願意說「是」。
共識
當人們不確定時,他們在產生想法時會尋求他人協助,儘管他們對於自己的想法感到有信心,共識觀點仍是有說服力的,這點可以在光點實驗中發現。在這個研究中,每個人都被詢問有多少(靜止的)光點在移動。因為自動知覺效應,這些光點看起來都在移動。幾天後,這些受驗者被分在不同組別。儘管現在的結果與幾天前大相逕庭,受驗者的回覆都回歸團體的「正常」想法;就算個別要求這些受驗者提供其個人估算;每個人卻都提供了團隊的結果。
共識原則如何應用在網路釣魚: 詐騙者利用文化趨勢,例如: 自然災害發生時,通常會有許多非法組織冒充慈善機構來募集捐款。
利用共識減少網路釣魚: 凸顯出員工正向的安全行為,或提供報告顯示大多數人都遵守安全策略的有利數據。
當生活變複雜化時,人們就可能依賴認知捷徑去做決定。告訴您的員工,惡意行為者會如何使用 Cialdini 的六個原則來欺騙他們,試著在您的溝通和培訓計畫中加入這六個原則以提高合規性。隨著時間加長,你就能建立較不易落入社交工程活動陷阱的文化。
在 InfoSec World v2020. 收看 “The psychology of social engineering: the soft side of cybercrime” 簡報 。
將 Security blog 設為您的書籤來關注我們在資安層面上的專家報導,同時,在@MSFTSecurity 上追蹤我們來獲得網路安全的最新消息和更新,或者在 LinkedIn 或 Twitter 上聯絡我們。
延伸資料: CISO series、網路安全、網路釣魚
