研究稱心情愉悅時更易被黑客欺騙網絡釣魚反擊戰仍任重道遠
佛羅里達大學的一支團隊,對黑客如何利用受害者的心理來實施網絡電子郵件釣魚一事,展開了比較深入的研究。結果發現,那些心情比較愉悅的人們,相對更容易被誘騙點擊釣魚鏈接。換言之,如果你的心情不太好,就會相對更少地上釣魚郵件的當。
(圖自:Google,via Cnet)
該校教授Daniela Oliveira 與Natalie Ebner 博士一起帶領了這項研究,並在本週三於拉斯維加斯舉辦的黑帽網絡安全會議上公佈了他們的研究成果,此外谷歌反濫用研究團隊負責人Elie Burszstein 也出席了會議。
作為肆虐互聯網的一大禍害,網絡釣魚攻擊被黑客頻繁使用,以期闖入各個機構內網、或獲取密碼等個人敏感信息。根據Verizon 的年度報告,電子郵件是網絡釣魚的高發地、也是導致數據洩露的主要原因。
Elie Burszstein 表示,谷歌每天都會阻止大約1 億封網絡釣魚郵件,但欺詐者的變化實在太快,有些變種甚至只間隔了7 分鐘。
攻擊者不斷地改變和更新他們的設計,以使之發揮出最大的效率。其能夠迅速適應較少的目標用戶,使之很難被各種檢測措施給發現。
鑑於網絡釣魚攻擊的極度複雜性,除非啟用多因素認證,否則絕大多數人還是很容易受到攻擊的。亞馬遜首席技術官Werner Vogels 也曾在AWS 峰會上表示:“總有愚蠢的人會去點擊那個鏈接”。
然而Daniela Oliveira 的研究表明,即便你點擊了網絡釣魚鏈接,也不該被被愚蠢羞辱,因為這是“是個人就會犯的錯誤”。
在為期三週的實驗期間,158 名參與者被告知他們正在參與一項有關’人們如何使用互聯網’的研究,且他們每天都會收到一封網絡釣魚郵件。
釣魚郵件的內容,基於谷歌在網絡上檢出的真實案例,而研究人員會追踪他們是否點擊了釣魚郵件。結果發現,釣魚郵件深深地利用了人性的弱點。
Daniela Oliveira 指出,釣魚郵件依賴於人們在不假思索的情況下作出的快速決策,點擊鏈接似乎成為了一種條件反射、而不是由基礎的認知所決定的。
她表示:“我們很容易受到網絡釣魚的攻擊,因為它會欺騙我們的大腦做出決策”。而在決策方面,人腦會通過兩種方式來工作(參考雙重過程理論)。
你的大腦會自動推進日常的活動,比如刷牙。而像購買房子這樣的重大決策,則需要經過深思熟慮。以點擊郵件鏈接為例,黑客主要利用了’快速決策’這個人性的弱點。
谷歌反濫用研究團隊負責人Elie Burszstein 補充道:在美國、英國和澳大利亞的近半受訪者中,約有一半互聯網用戶不知道什麼叫’網絡釣魚’。
這意味著在“防止網絡釣魚攻擊”這件事上,谷歌面臨著一場艱難的戰鬥。即便這家科技巨頭千方百計地開展了宣傳活動,實際效用依然慘不忍睹。
Oliveira 表示:“當你心情愉悅時,身體會自然地放鬆戒備。但在網絡釣魚麵前,你並不需要時刻保持壞心情或緊張情緒。畢竟後台的保障措施,還是相對比較完善的”。