社會工程心理學——網絡犯罪的另一面

48%的人會用自己的密碼換一塊巧克力，而91%的網絡攻擊都是從簡單的網絡攻擊開始的，三分之二的人在過去的12個月里經歷過技術支持詐騙。這些有什么共同之處?他們利用了社會工程:當攻擊者利用我們的人性來欺騙。同樣的，這些小小的、非常人性化的行為給全球商業帶來了數十億美元的損失。

人天生是社會性的。我們的決策很大程度上受到他人的影響。我們在海量的信息中尋找捷徑來節省時間。這就是社會工程如此有效的原因。在這個博客中，我將分享Cialdini的六種說服原則背后的心理學原理，來展示他們是如何吸引員工和客戶參與社會工程的黑客活動。我將提供一些技巧來使用這些原則來創建抵制社會工程文化的提示。

Robert Cialdini博士是亞利桑那州立大學(Arizona State University)心理學和市場營銷學知名教授，也是“職場影響力”(Influence at Work)的創始人。他的整個職業生涯都在研究是什么讓人們對請求說“是”。從那次研究中，他發展出說服的六個原則:互惠性、稀缺性、權威性、一致性、好感和共識。所以，讓我們來看看這些原則在社會工程活動中是如何使用的，以及如何將它們永久化。

互惠性

人們都傾向于公平。事實上，收到禮物會觸發與決策相關的大腦區域的神經反應。如果我的朋友在周五請我吃午飯，下次我們出去的時候，我會覺得有義務請她吃午飯。社會心理學家發現，如果人們收到陌生人寄來的節日賀卡，20%的人會回寄。

如何在網絡釣魚中使用互惠:
你可以在網絡釣魚活動和其他騙局中看到互惠原則的證據。例如，攻擊者可能發送一封包含免費優惠券的電子郵件，然后要求用戶注冊一個帳戶。

利用互惠來減少網絡釣魚:
根據Cialdini博士的觀點，“互惠的第一個原則就是給予。例如許多組織會為午餐買單，讓人們來參加培訓，但你也可以考慮贈送咖啡或有趣T恤的禮券。如果禮物是私人的和意想不到的，它甚至更有效。在你付出之后，請人們遵守你的安全原則。許多人會被迫這么做。

稀缺性

為什么有那么多的旅游網站告訴你只有幾個剩余的航班或房間?稀缺性原則。對供應有限的東西給予更高的價值是人類的天性。在一項實驗中，大學生們認為如果罐子里的餅干少一些，那么餅干就更有吸引力。是餅干更吸引人嗎?不是的，只是因為餅干變得少了。

稀缺性如何應用于網絡釣魚:
攻擊者利用我們對似乎稀缺的東西的渴望，在電子郵件中設置時間限制。或者，在另一種常見的策略中，他們告訴人們，如果他們不點擊鏈接解決問題，他們的賬戶將在24小時內停用。

利用稀缺來減少網絡釣魚:
您也可以利用稀缺來促使人們參與安全行為。例如，考慮為前100個啟用多因素身份驗證的人頒發獎品。

權威性

人們傾向于跟隨可靠專家的領導。醫生、教師、老板和政治領導人等等，對人們的行為和行為有著巨大的影響。如果你聽說過米爾格拉姆研究，你可能對這個概念很熟悉。在那個研究中，一個實驗人員說服志愿者對一個沒有正確回答問題的“學習者”進行越來越嚴重的電擊。幸運的是，學習者是一個假裝感覺到疼痛的演員，而在現實中并沒有電擊。然而，它確實顯示了權威原則的強大。

如何在網絡釣魚中使用權威:
使用權威人士來欺騙用戶非常普遍并且非常有效。在一些魚叉式網絡釣魚詐騙中，壞人通過首席執行官(CEO)身份，要求首席財務官(CFO)匯款。緊急情況下，人們常常害怕對他們的老板說不。

學會使用權力減少“釣魚”:
可以在安全程序中使用人們對權威人士的信任。例如，讓企業高層聲明安全的重要性。

一致性

大多數人看重誠信。我們欣賞別人的誠實和可靠，也試圖在自己的生活中踐行它，這就是驅使一致性原則的原因。人們被激勵著保持與先前的聲明或行為一致。如果我告訴你我喜歡戶外活動，我可不想被發現在公園里亂扔垃圾。一項研究發現，如果你要求人們在入住酒店時注意環保，那么他們重復使用毛巾的可能性會增加25%。

網絡釣魚中是如何利用一致性原則：
騙子利用人們堅持一致性的渴望，在最初的郵件中提出小的要求，之后又提出更多的要求。

利用一致性來減少網絡釣魚：
在安全工作中采用一致性原則來要求員工。或者通過書面形式保證言行一致。

喜歡

人們更傾向于對自己喜歡的人說“好的”，這一點可能不會讓你驚訝。如果有朋友尋求幫助，我可能會說“好的”，但是容易拒絕陌生人請求。如果一個陌生人被認為是友善的，那么他也可以很有說服力。例如：在抽獎活動中，如果賣票的人送給人們蘇打水，人們更有可能去買抽獎券，而如果賣票的人只給自己買了蘇打水，人們買獎券的可能性就會降低。

“喜歡”是如何應用于網上釣魚:
當黑客侵入一個人的電子郵件帳戶，然后向此人的聯系人發送釣魚郵件時，他們使用的是“喜歡”原則。他們希望受害者的朋友不花太多時間檢查郵件內容，利用了他們喜歡“發件人”的心理。
利用喜歡的方式減少網絡釣魚：
要對您的員工更具說服力，請養成“內部咨詢”的心態。保持友善并建立人際關系，以便人們在您要求他們改變其行為時想說“ 是”。

共識

當人們不確定時，他們會期待他人幫助他們提出意見。即使他們對自己的信念充滿信心，共識也可能很有說服力。這可以在光點實驗中看到。在這項研究中，人們被問到一個（固定）光點正在移動多少。它似乎由于自身動力學效應而移動。幾天后，將受試者分為幾組。盡管早先的估計有很大不同，但對更大范圍的人群的反應仍“正常化”。如果調回來提供個人估計，則個人繼續提供小組估計。

網絡釣魚中如何使用共識：
對手利用社會熱點。例如，當發生自然災害時，通常會有幾個非法組織冒充慈善機構來募捐。

利用共識來減少網絡釣魚：
突出其他員工中的積極安全行為或報告有利的統計數據，表明大多數人都遵守安全策略。
生活變得越來復雜，人們可能憑借既定的認知做出決策。這需要我們學習應對措施。