关注网络与数据安全

忘记密码
“游侠安全网”创建了网络安全从业者QQ大群(群号:389710688) ,欢迎各位同仁加入!有其它问题,请联系站长“网路游侠”,QQ:55984512


【BlackHat 2017】网络钓鱼的心理探究

2017-07-29 11:11 推荐: 浏览: 122字号:

摘要: 关于网络钓鱼,大家早已见怪不怪了。这种传统的攻击方式虽然屡见不鲜,但总能达到成效。在 BHUSA 2017 分享会中,来自 Stripe 的安全工程师 Karla Burnett 发表议题 “Ichthyology: Phishing as A Science...

关于网络钓鱼,大家早已见怪不怪了。这种传统的攻击方式虽然屡见不鲜,但总能达到成效。在 BHUSA 2017 分享会中,来自 Stripe 的安全工程师 Karla Burnett 发表议题 “Ichthyology: Phishing as A Science”,分享了自己对网络钓鱼进行的科学研究,揭示了网络钓鱼的心理学原理,以及钓鱼攻击总能取得成功的原因。

Burnett 表示,一般人们见到的网络钓鱼多半是钓鱼邮件,比如某个尼日利亚王子想让你提供银行账号和明细,帮他一个忙,然后他就互给你一大笔钱作为答谢。这种邮件一看就是攻击者懒得花心思,而受到邮件的用户也大多能够辨别出来,可以置之不理。但事实上,每年上钩的人还是有很多。

那么为什么人们容易受到钓鱼攻击呢? Burnett 指出了心理学派的思想,这表明有两种思维方式:模式1(快速)和模式2(慢)。

她解释说,快速思考着非常相信本能和直觉(就像突然间转过头去避开高速公路上的一辆汽车)。 “运用这种思维模式的人是非常情绪化和容易受骗。”

模式2慢速思考着是一种比较慢和有条理的思维方式(比如在做商务决定时,写下支持意见与反对意见的列表,帮助思考)。 “这类人比较理性的,通常对失误持怀疑态度(较不容易受骗),”Burnett 补充说。

但是,在如今生活节奏飞快的时代,我们往往没时间事事都采取慢速思维,所以看到钓鱼网址或链接等时,很容易采用快速思维,直接点开,最后难免中招。

现如今,反钓鱼培训面临的问题在于,它要求人们去观察 URL 地址或者在点击链接之前停留一下,这就要求人们采用第二种思维模式而非第一种。这种培训仅在人们对一封邮件产生怀疑时才会产生作用。如果某封邮件看起来和其他邮件差不多,是无法训练某个人用第一种思维模式去判断这封邮件是否可疑。

 

Karla Burnett  认为,不论一个人自身技术水平有多高,都难免受到钓鱼攻击的影响,因为钓鱼攻击深深利用了人们的心理和思维弱点。所以, Burnett 对于反钓鱼培训其实表达了一种悲观的态度:无论如何,每个人都会被钓鱼。

END

本文来源于freebuf

 


深圳市极限网络科技有限公司专注于系统底层和网络攻防技术研究,是一家将网络安全与大数据人工智能运用相结合的信息安全运营服务商,成立至今为我国关键信息基础设施、政府部门、大中型企事业单位以及重点行业提供了全方位的网络安全解决方案以及专业的安全服务。


 

联系站长租广告位!

中国首席信息安全官
Copy link