本文發表於《大眾科學》的前部落格網路,僅反映作者的觀點,不一定代表《大眾科學》的觀點
大約15年前,網路釣魚從一個幾乎不為人知的現象變成了一個日常媒體話題。隨著新使用者湧入網際網路,網際網路的商業化開始認真進行,為網路釣魚者提供了大量機會,他們利用身份欺騙來欺騙電子郵件使用者。由於這種情況以及缺乏技術對策,網路釣魚電子郵件突然出現在每個人的郵箱中。實際上,唯一的防禦措施是安全專家提供的建議:注意拼寫錯誤的電子郵件;並且不要點選連結。
多年來,攻擊的複雜性不斷提高,欺騙性電子郵件的種類也激增,冒充同事(所謂的商業電子郵件洩露或CEO欺詐)等攻擊策略急劇增加。複雜性的提高帶來了更高的收益,誘使越來越多的潛在罪犯嘗試他們的欺騙運氣。
公司和其他組織仍然相信他們可以培訓使用者規避網路攻擊。Gartner 估計,到 2023 年,安全意識計算機培訓市場的複合年增長率至少為 42%,從 2018 年的 4.51 億美元增長。
支援科學新聞事業
如果您喜歡這篇文章,請考慮透過以下方式支援我們屢獲殊榮的新聞事業 訂閱。透過購買訂閱,您正在幫助確保未來能夠繼續講述關於塑造我們當今世界的發現和想法的具有影響力的故事。
但在此時,傳統上對使用者教育的強調是一種資源支出和終端使用者負擔,其結果不再能證明其合理性。隨著線上欺騙技術擴散並變得更加複雜,個人使用者越來越難以檢測到欺詐行為。任何安全意識工作的投資回報率都大幅下降,而使用者做出安全決策的負擔卻增加了。
使用者意識不應再是防禦社會工程的主要手段。事實上,網路犯罪技術已經發展到只能透過對抗技術才能可靠地擊敗它的程度。單靠人類不再能夠充分防禦網絡犯罪,就像弓箭手無法擊敗武裝直升機的敵人一樣。
大多數防禦措施更適合演算法,而不是終端使用者。相反,安全和風險管理專業人員應該只教育終端使用者關於他們可以合理期望發現的威脅,同時主要依靠技術防禦來應對絕大多數攻擊。
早期,“傳統”網路釣魚攻擊據報道收益率約為 3%,這意味著絕大多數目標受害者沒有上當。另一方面,諸如魚叉式網路釣魚等複雜攻擊的收益率據知超過 70%。
精心製作的網路釣魚電子郵件(以及其他型別的欺騙性電子郵件)對於普通使用者來說非常難以識別。
某些型別的攻擊幾乎不可能識別,即使對於技術水平很高的使用者也是如此。例如,考慮這樣一種攻擊,攻擊者入侵了一個合法的電子郵件帳戶(例如,透過釣魚攻擊所有者),然後使用被入侵的帳戶攻擊被釣魚使用者的聯絡人。
其他攻擊,例如那些使用欺騙性顯示名稱來冒充目標受害者的同事的攻擊,使用者更容易發現,至少在理論上是這樣。透過始終檢查發件人的電子郵件地址,並確保這是一個已知的使用者,可以避免落入此類攻擊。然而,增加的審查會帶來高昂的代價:對於新增到日常任務中的每個額外步驟,我們的生產力自然會下降。
此外,考慮到人為錯誤,這些攻擊在實踐中很難檢測到:許多人,至少偶爾,會錯誤地從個人帳戶而不是工作帳戶傳送電子郵件,反之亦然,從而造成關於什麼是可信的和什麼不可信的歧義。安全公司 Barracuda 報告稱,結果,十分之一的使用者會點選帶有欺騙性顯示名稱的電子郵件。
鑑於有限的預算,包括財務成本和注意力方面,公司和個人必須根據人們在哪些方面掙扎以及哪些型別的自動化對策效果良好來決定選擇哪些意識之戰。例如,以“如果它好得令人難以置信,那它可能就是假的”以及變體“如果它壞得令人難以置信,那它可能就是真的”的建議為例。當某些東西屬於這一類時,人們有情感和判斷力來警告他們,但到目前為止,計算機沒有。因此,這是值得發起意識宣傳活動的事情。
另一方面,欺騙性顯示名稱對於人們來說相對難以發現,但對於計算機來說卻很容易檢測到。這是一個自動化防禦比意識努力更適用的問題。
對於數字健康和人類健康而言,行為與技術的相對影響是相同的。從他們還是小孩子的時候起,人類就被教導要避免危及安全的風險:不要吃泥土,過馬路時要左右看,不要吸菸。但是,在過去一個世紀左右的時間裡,壽命的巨大提高主要來自於用於對抗疾病的醫療技術的進步。
處方也是一樣的:為了人類健康,照顧好自己,避免常見風險,但一定要找個好醫生並按時吃藥。對於電子健康,教導您的使用者基本的數字衛生習慣,但在不可避免的技術軍備競賽中,投入您的預算和時間來保持領先於敵人一步。