为什么聪明人也会上当?
2025-01-05 21:25:19 · chineseheadlinenews.com · 来源: 煎蛋网
我们是否都曾经历过点击可疑链接时的恐慌感?我相信我不会孤单一人。
我在过去一年里也多次遭遇了这种情况。幸好,这些事件发生在我公司内部网络安全专家定期进行反钓鱼培训的环境中。虽然这让我感到有些尴尬,但更重要的是意识到即使是像我这样的人也会被骗。
这篇文章将探讨大脑疲劳是如何成为钓鱼攻击利用的关键漏洞的。
什么是钓鱼?
钓鱼是一种欺诈行为,通过伪装成来自可信来源的合法通信来获取个人信息或敏感数据。根据 Verizon 2024 年数据泄露调查报告,钓鱼仍然是最主要的攻击途径之一,其中近 70% 的攻击都涉及社会工程学手段。令人担忧的是,68% 的数据泄露事件与非恶意的人为因素有关,例如个人受到社会工程攻击或犯下错误。 另一个有趣的事实是,用户中招的平均时间不到 60 秒。因此,紧迫感几乎总是出现在钓鱼邮件中。
这些统计数字或许令人惊讶,但它们并没有完整地揭示问题本质。让我们深入了解为什么我们的大脑会在最关键时刻背叛我们。
疲劳的大脑
钓鱼攻击利用了我们每个人都会经历的三种状态:
认知枯竭: 经过 8 小时的知识工作后,我们识别欺骗的能力显著下降。
任务切换成本: 如果没有适当的休息,每次任务切换都会产生一个脆弱的瞬间。
决策疲劳: 知识工作者每天要做出超过 300 个重大决策。每一次决策都会消耗我们的心理防御力。孙子的话“数战而胜”现在比以往任何时候都更具现实意义了。
大脑自动驾驶和认知疲劳
研究表明,在学习倦怠和管理学学生学术表现中,对英语课程进行纵向研究发现,在认知耗尽时,我们的决策质量会显著下降(高达 50%)。这对司机、医务人员以及我们接下来要探讨的被钓鱼攻击所困扰的人来说都是一个警示信号。
如果我们感到“过去几分钟发生了什么事,我一点也不记得”,那通常是一个迹象。这个话题很复杂,不在我的专业范围内。不过,我从对大脑的研究中了解到的一点是:大脑总是试图实现稳态。
当我们执行一项任务或做过的很多事情时,大脑会自动进入自动驾驶模式。由于涉及的神经通路变得如此常见,它们在不费意识力的情况下就能正确地激活,从而进入了自动驾驶状态。当预测出现意外情况时,我们的大脑就会退出自动驾驶模式。例如,如果你开着你多次行驶的道路,大脑会自动进入自动驾驶模式,不断预测未来并准备必要的行动。你开车走在你的车道上,看到红灯,大脑就预先制定了下一步动作:踩刹车,切换挡位(如果手动),然后慢慢驶近前方的车辆。如果出现不可预测的情况,比如前面的车减速但又加速并越过红灯时,大脑会立即关闭自动驾驶模式,你就会进入“意识”状态。
我们的专注力就像肌肉一样运作。经过数小时的紧张精神工作后,疲劳就会袭来。在大脑达到极限之前,它只能持续工作一段时间。每个人的能力都有所不同,取决于休息时间和长期累积的压力程度等因素。
我们可以用健身房的比喻来理解这个问题,因为我认为它更容易理解。如果我仅仅思考神经元和突触,我很快就会失去对现实的把握。
我们可以训练我们的肌肉使其产生更多结果,也可以训练我们的脑力,使之变得更加坚韧,但就像任何好的健身计划一样,我们都需要考虑休息和工作间隙。
我们还需要考虑是否需要以奥运会运动员的方式全力以赴训练,因为即使在体育运动或举重中,除了比赛日当天你倾尽全力之外,训练时做得越少越好,同时还要考虑到持续进行锻炼的需求。
关于这个主题有很多研究。即使只是了解大脑运作方式的一点点的知识,也能帮助我们更好地协作,即使我们和我们的大脑只是一个。
你不必对自己的内心进行深度分析,但有一些可以帮助你评估疲劳程度的方法以及一些照顾自己的建议:
大脑进入自动驾驶模式: 我们之前探讨了大脑的自动驾驶模式,因此,当我们精神疲惫时,也会出现类似的自动驾驶模式。疲劳会导致“自动驾驶错误”,即熟练学习的神经通路会发生故障或交叉连接。
分析之前的任务: 我们可能匆忙地完成它们。问问自己一些重要的问题:这项任务是挑战性的、复杂的,但与我以前的工作相似吗?它很简单,但我花了太多时间吗?这些练习有助于我们反思和评估接下来要处理的任务,并避免一次接一次进行复杂的任务,而没有管理内部资源。
退一步,考虑更广泛的局势: 你在这方面工作了多久了?你什么时候休息了?你的计划如何才能在未来做得更好?它本身并不会解决倦怠问题,因为等到疲劳过后再休假往往为时已晚。
我们并没有真正休息: 理解即使是短暂休息也可能过度刺激大脑。要让休息有效,我们需要在工作日内频繁休息,至少 5 分钟到一个小时。许多欧盟合同规定休息时间为 10 分钟到一个小时,但谁有这种奢侈? 当我们停止工作来使用手机并查看社交媒体时,这可能会感觉像是休息;然而,我们仍然用信息过载大脑,让它们进行分析和思考,本质上是在做些轻度的工作。
问问自己: 我过去几天做了多少有氧运动或任何锻炼?这里取决于个人情况,但每天做一些轻松的锻炼比一周两次高强度锻炼更好。别误会我,任何运动都比没有运动好,只是要确保。所以从小开始,或者增加量,但我们在研究中看到过,并且亲身体验过:运动有助于缓解压力,对大脑非常有益。随着我们年龄的增长,它变得更加重要。
现在回到钓鱼问题上。
理解为什么钓鱼有效
现代钓鱼攻击利用了我们的思维方式,骗子会使用各种心理技巧:
权威陷阱: 当信息看似来自高层(你的老板、IT 部门等)时,大脑会自然地产生对等级制度的尊敬。
紧迫陷阱: 骗子制造这种人造时间压力,因为他们知道它会阻断我们的分析思考。
熟悉游戏: 现代攻击看起来很个人化,因为它们往往是如此。骗子会从社交媒体和数据泄露中收集信息来撰写感觉真实的邮件。
上下文技巧: 提到真正的项目、同事或事件会创造一种真实感。
以上四点都触及了我的要点,现在我意识到,原本可能更容易辨别出来。但同时,我也不会低估它们。