前沿 Idea Watch

---

理论

如何防御
网络钓鱼攻击

BOOST YOUR RESISTANCE TO PHISHING ATTACKS

贾慧娟 | 译 蒋荟蓉 | 校 孙燕 | 编辑

瑞安·莱特（Ryan Wright）和马修·延森（Matthew Jensen）在过去的十年里通过网络钓鱼获取了成千上万人的信息，短期内也不打算收手。

他们并不是瞄准钱财或想利用数据牟利的黑客，而是与全球各地的公司、政府和大学合作的研究人员，目的是了解为什么我们经常被网络钓鱼攻击所欺骗，以及组织如何减轻这种威胁。企业安全部门花了很大的力气来教育人们防范网络钓鱼，但还是有约30%的欺诈性电子邮件会被打开，网络钓鱼占了所有数据被盗事件的90%。一次成功的攻击平均会造成380万美元的损失，代价之高令人不安。随着网络犯罪分子对疫情所造成破坏的利用，及在家办公人数的激增，这种情况可能会增加。在家工作的人注意力容易分散，可能会因此放松警惕。

根据研究结果，莱特［弗吉尼亚大学C·科尔曼·麦吉（C. Coleman McGehee）教席商科教授］和延森（俄克拉荷马大学管理信息系统首席副教授）已经确定了几种提高安全培训有效性的方法。

增加思维模式指导

许多组织要求员工定期完成现成的培训模块——通常是每年一次或两次。研究人员说，这样可以提醒人们注意常见的威胁，并提供基本指导，帮助他们评估自己收到的信息。但研究人员也提醒说，单纯地重复进行只有条条框框的培训，不一定能增加员工对攻击的抵抗力。事实上，这种培训过了某个临界点就会适得其反，使人们失去敏感度，给他们一种已经完全吸取了教训的错觉——然后他们就不再保持警觉。

问题部分在于，以规则为主的培训容易引起诺贝尔奖得主心理学家丹尼尔·卡尼曼（Daniel Kahneman）所说的“系统1思维”。这种快速、自动化的处理方式是有效的，但可能导致粗心的决策，而且会让员工在遇到非常规攻击时容易上当受骗。莱特说：“与其让人们记住一长串不断变化的线索，不如采取更全面的策略”，增加思维模式指导。这一指导的目标是鼓励系统2思维——一种更具有反思性和分析性的思维方式。

在一项涉及355名大学生、大学教师和工作人员的实地研究中，研究人员比较了三组参与者的表现，这些人都接受过基本的安全培训。第一组接受了额外的基于规则的指导。第二组被教导使用简单的思维技巧：如果一封邮件要求你去做一件事，就停下想一想这个要求的性质、时间、目的，判断要求是否正常；如果有任何疑点，就去咨询第三方。第三组没有接受任何额外的培训。十天后，研究人员发起了一次模拟钓鱼攻击。他们发现，接受额外规则培训的人中有13%上当，没有接受额外培训的人中有23%上当，而接受思维模式培训的人只有7%上当。另一名研究人员克里斯托弗·阮（Christopher Nguyen）在后续研究中也得到了类似的结果，并表明这种增强的抵抗力可以持续几个月。

采用团队方法

安全措施经常受到“最薄弱环节”问题的阻碍：只要有一个人对攻击做出回应，攻击就可能成功。为了了解群体动力学机制能否降低这一脆弱性，莱特及其他研究者在一所规模较大的大学中有180人的财务部门进行了为期两年的实地实验。研究人员绘制了员工在工作小组和社交网络中的位置，并对他们进行了多次网络钓鱼，发现越是在工作和社交两种群体中处于中心位置、与他人交往密切的人，遭受攻击的可能性就越小。例如，在工作网络中处于中心位置的员工点击钓鱼信息链接的几率只有14%，而处于底部的员工点击链接的几率为35%。研究人员还发现，一个团队的整体电脑熟练程度越高，每个成员抵御网络钓鱼攻击的能力就越强。

这些发现表明，员工会从团队同事那里以正式或非正式的方式学到有价值的安全教训——管理者可以利用这种现象。“管理者可以指导团队培训，并让每个团队对结果负责，”莱特说，“而不是对员工说，‘又到了每年大家各自抽空完成IT培训的时候’，然后就再也不提。”组织也可以使用网络分析来确定特别易受攻击的员工，并给处于团队外围的人员或新成员提供额外培训。

这项研究还有一个让研究人员吃惊的发现：员工与IT部门的互动越多，甚至信任越深，就越有可能在网络钓鱼中上当。研究人员认为，这些员工可能会觉得自己得到了“保护”，不会受到威胁。

“如果信用卡被盗，信用卡公司会弥补损失，那么人们就会不那么担心如何保护自己的信用卡；我们推测，这个结果也是一样的道理，”莱特解释说，“如果人们认为，‘我点错了什么东西，IT部门会保护我的安全’，他们并不会保护自己的数据，也没有从与IT部门的互动中学习如何保护。”他说，管理人员可以将安全合规作为年度评估的一部分，以此激励员工提高安全意识，而IT部门也可以提醒员工重视自己忽略的警告信号，而不是像以往一样简单地帮助员工解决问题。

采用竞争化培训

另一个利用团队动力学机制的方法是在网络安全演习中加入竞争元素。研究人员进行了三项实验，有568人参与。参与者扮演实习生的角色，被教导如何识别和报告可疑信息，然后接受各种任务，其中包括管理老板的邮箱。参与者在工作中会收到五封钓鱼邮件。前两个实验中，每个人的可疑信息报告都要发在不同设计的排行榜上。第三个实验中，研究人员将排行榜的效果与其他几种反网络钓鱼措施单独进行或组合使用的效果做了比较，如培训视频、在外部邮件上添加“外部”标记，以及给可能是网络钓鱼的可疑邮件加上警告标签。

对比发现，排行榜既能鼓励参与者报告可疑信息，也能非常有效地减少错误报告；只有明确警告电子邮件可能是钓鱼的标签效果比排行榜更好。与培训配合使用时，排行榜的作用尤其强大。但事实证明，有些排行榜的设计效果更好。最理想的设计是，所有人都可以看到报告者的姓名，如果报告是正确的，报告者可以获得加分，误报则会扣分。延森说：“事实证明，外部激励远比内在激励更有效。”

没有人会为了好玩而花时间去搜寻网络钓鱼邮件。但是，组织可以采取以上措施来强调辨别和报告可疑信息的重要性，让网络安全措施发挥更大的作用，借此获得回报。提起员工轻信欺诈性信息的问题，延森说，“这个真的很难杜绝。必须采取分层应对的方法。”

关于本研究 《超越个人：IT安全合规的团队视角》（Beyond Individuals: A Group Perspective of IT Security Compliance），作者：瑞安·莱特、史蒂文·约翰逊（Steven L. Johnson）和布伦特·基臣（Brent Kitchen）（工作论文）；《筑起人为防火墙：使用排行榜，用集体行动打击网络钓鱼》（Building the Human Firewall: Combating Phishing Through Collective Action of Individuals Using Leaderboards），作者：马修·延森等，《管理信息系统杂志》（Journal of Management Information Systems），2017年。