核心观点
- 网络安全攻击常利用人的心理弱点。
- 网络威胁影响广泛且日益复杂。
- 网络安全是重要的新兴职业领域。
- 媒介心理学是网络安全的基础学科,它研究人们如何感知、处理数字信息并据此行动,能解释人们为何会陷入网络操纵。
媒介心理学应用于网络安全的五大理论
说服理论
- 攻击者在网络钓鱼信息中嵌入权威性、紧迫性和稀缺性等说服线索。
- 实例:COVID-19疫情期间,出现大量冒充公司IT部门的钓鱼邮件,使用“强制密码重置——需立即操作”等主题,利用权威和紧迫感促使用户服从。
注意力与认知混淆
- 人的注意力有限且易受干扰。攻击者通过制造策略性的多任务场景来利用用户的注意力分散时刻。
- 实例:研究显示,当用户因任务和信息过多而认知超载时,点击钓鱼链接的可能性会增加一倍。代码层的混淆设计会提高用户的受骗 susceptibility。
认知偏差
- 固有的认知偏差会影响人们对数字信息的反应,常导致可预测的错误。
- 实例:一次针对UPS/FedEx用户的网络钓鱼攻击之所以成功,是因为攻击者利用了确认偏差(人们预期包裹会延迟)和乐观偏差(认为自己不太可能成为目标)。
情绪唤起
- 情绪化的内容会给决策带来压力,绕过理性分析。
- 实例:技术支持诈骗通过弹出诸如“您的设备已感染——请立即联系支持”等令人恐慌的警告信息,利用基于恐惧的诉求诱使用户服从虚假要求。
社会认同与群体影响
- 人们更信任那些看似来自内部群体、具有熟悉沟通模式的信息。
- 实例:2016年民主党全国委员会的重大数据泄露事件中,部分原因在于钓鱼邮件模仿了合法的内部沟通风格,利用社会认同线索降低了接收者的怀疑。
结论与展望
- 网络安全领域日益重要,提供了“新领”职业机会。
- 网络安全专家在设计保护系统时,必须理解并运用媒介心理学理论。
- 发展网络安全教育项目至关重要,而由于行为因素的关键作用,媒介心理学应成为系统技术设计中的重要学科。
- 美国心理学会下属的“媒介心理学与技术协会”(第46分会)正致力于研究媒介心理学在网络安全设计中的应用。
标签: 认知偏差, 媒介心理学, 网络安全