Мы — трудяги IT-сферы — привыкли думать о себе как о разумных, рациональных и технически подкованных людях. Мы регулярно проходим курсы по кибербезу, тысячу раз читали про цифровую гигиену и осторожность в сети. И все же нет-нет да и кликаем на подозрительные ссылки. Почему так и что с этим делать?
С вами снова Екатерина Косова — бизнес-аналитик в Cloud.ru и по совместительству исследователь когнитивных процессов. В этой статье расскажу о трех главных психологических механизмах, которые делают каждого из нас потенциальной жертвой фишинга, а заодно — о том, как с ними бороться. С конкретными примерами и ссылками на актуальные научные исследования. Погнали?
Три кита подверженности фишингу
Пользователю — декомпозировать задачу и довести до автоматизма
Специалисту по кибербезопасности — внедрить интерфейсные подсказки
Три кита подверженности фишингу
К ним относятся невнимание, перцептивная нагрузка и эвристики мышления.
Невнимание (Inattention)
Основная причина, по которой мы «попадаем» в сети недобросовестных информаторов, — простое человеческое невнимание. В когнитивной психологии наряду с вниманием о нем нередко говорится как о самостоятельном процессе: наш мозг прекрасно умеет не только фокусироваться на информации, но и «блуждать», неосознанно ее игнорируя. Замечательный пример этого феномена — серия экспериментов с «невидимой гориллой» (авторы, между прочим, получили за них Шнобелевскую премию в 2004 году). Если не сталкивались раньше — обязательно посмотрите видео, оно заставит вас задуматься о том, чего вы еще можете не замечать.
Какое отношение невнимание имеет к фишингу? Самое прямое. Гордон Пенникук с коллегами в 2021 году, изучая доверие к фейковым новостям и паттерны их распространения в соцсетях, вывел базовую закономерность: почти никто в здравом уме не хочет верить в неправду и делиться ей с другими. 51% респондентов поделился фейком с другими по причине невнимательности: участники просто забыли проверить, правдива ли новость.
Аналогичный механизм срабатывает и при оценке потенциального фишинга. Neupane с соавторами (2015), используя ЭЭГ (отслеживает электрическую активность мозга) и айтрекер (устройство для отслеживания движения взгляда и его фиксаций), обнаружили, что при анализе опасных веб-сайтов пользователи практически не обращают внимание на основные индикаторы фишинга в интерфейсе. Например, респонденты больше фокусировали взгляд на полях с зоной регистрации/авторизации и логотипом компании, при этом практически не фокусировались на строке URL, которая чаще всего и выдает проблемы.
В этом исследовании есть еще две примечательные находки. Во-первых, помимо реакции участников на фишинговые сайты исследователи оценивали еще и их реакцию на браузерные предупреждения о зловредном ПО, которое распространялось через сайт. И в этом сценарии пользователи наоборот — активно и часто читали предупреждение и в результате покидали опасный сайт.
Во-вторых, при оценке настоящих и фальшивых сайтов у участников эксперимента замечали разную нейронную активность: они демонстрировали большую вовлеченность и меньше отвлекались, когда анализировали настоящие сайты. Похожую особенность раньше находили при оценке «настоящих» и «фальшивых» картин Рембрандта: когда респонденты видели пометку, что картина копия, а не оригинал, у них сильнее возбуждалась фронтополярная кора и правое предклинье (Huang et al., 2011). Первая зона связана с функционированием рабочей памяти — это механизм, помогающий удерживать информацию в течение непродолжительного времени и манипулировать ей для решения задачи. Вторая зона связана с визуальной корой. Возбудимость этих двух областей мозга можно трактовать как активный поиск и проверку гипотез о «фальшивости» картины — респонденты выискивали неточности и шероховатости на полотне.
В контексте фишинга это говорит нам о том, что люди действительно активно — и в том числе неосознанно — ищут подвох, стоит лишь дать вербальный и явный повод усомниться в правдивости и аутентичности информации. Проблема только в том, что создатели фишинга всячески таким поводам препятствуют.
Перцептивная нагрузка
Откуда вообще берется невнимательность? Одно из основных объяснений — проблема ограниченных возможностей нашего мозга. Давайте признаем: наша «оперативка» не бесконечна — мы просто не можем одинаково эффективно обрабатывать всю информацию окружающей среды одновременно.
В 1973 году будущий нобелевский лауреат Дэниэл Канеман выдвинул «ресурсную» модель внимания. Мы знаем, что внимание небезгранично (это, пожалуй, главная характеристика внимания как когнитивного процесса), так давайте представим, что оно — ресурс. Каждая активная задача, особенно контролируемая сознанием, расходует некоторое количество этого ресурса, и в какой-то момент наш «резервуар» внимания может совсем опустеть. Не переживайте, он по крайней мере частично восполняется во время сна или отдыха (поэтому так важно иногда отвлечься от дел и потупить), но в моменте его может не хватать на всё и вся.
Нилли Лави (2004) пошла еще дальше и предложила оценивать любую задачу, которую мы выполняем, в терминах ее перцептивной (воспринимаемой) нагрузки: условно, сколько ресурса задача «сожрет» в процессе выполнения. Таким образом, наша внимательность и невнимательность по большому счету определяются двумя факторами: индивидуальным объемом внимания и тем, насколько сложна (перцептивно нагружена) основная задача, которую мы сейчас выполняем.
Что интересно: на самом деле, чем сложнее основная задача, тем легче игнорировать все остальное. Банальный пример: когда вы просто прокрастинируете и втыкаете в телефон (да, это тоже задача), отвлечь вас может практически что угодно. А вот когда вы пытаетесь решить сложную рабочую задачу, которая никак не хочет поддаваться, и уже чувствуете скрип шестеренок в мозге — тогда и горилла, бегущая по open space, может остаться вами незамеченной.
Лави с коллегой Софи Фостер (2008) обезьян по офисам не запускала, а придерживалась более классической и строгой экспериментальной парадигмы: просила респондентов ответить, есть ли определенный символ (например, N) в кругу из других символов (одинаковых в условиях легкой перцептивной нагрузки и разных в условиях сложной), а потом в случайный момент одновременно с основным заданием показывала на экране мультяшного персонажа. Этот персонаж выступал в роли отвлекающего элемента, напрямую не связанного с заданием, — в когнитивной психологии их еще называют дистракторами. Оказалось, что в условиях легкой когнитивной нагрузки дистрактор сильнее тормозил выполнение основного задания (= больше отвлекал), чем в условиях сложной нагрузки.
То же самое валидно и для ситуации распознавания фишинга. Чем больше вы погружены в другие задачи, тем, с одной стороны, меньше вероятность, что вы в моменте отвлечетесь на фишинговое письмо (и это хорошо), с другой — выше вероятность, что вы не обратите внимания на маркеры фишинга в письме, если откроете (это плохо).
Эвристики мышления
Поскольку резервуар внимания не бездонен, а мозг еще и довольно ленив сам по себе, он придумывает способы экономить ценный ресурс. Самый простой способ экономить — создавать «шорткаты» реакций на типовые ситуации. Например, всегда брать трубку, когда звонит мама, или всегда скептически относиться к исследованиям британских ученых. Эти стратегии в литературе получили название «эвристик» мышления. И эти самые эвристики ой как хорошо помогают нам попадаться на фишинг. Вот самые проблемные из них.
Аффективная (эмоциональная) эвристика
При принятии решений, особенно в условиях нехватки времени, мы активно опираемся на эмоции. Например, изначально позитивное отношение к предмету или событию приводит к тому, что мы начинаем переоценивать выгоду и недооценивать риски (Finucane и др., 2000). Например, если вам кажется, что серфить по даркнету — классное занятие, вы скорее всего проигнорируете большинство связанных с этим проблем и угроз.
Эвристика аффекта работает в разных областях человеческой деятельности — и в сфере кибербеза тоже. Например, Пол ван Шайк с коллегами (2020) выяснили, что на то, как мы оцениваем риски кибербезопасности влияет даже не сила эмоций, а то, позитивная она или негативная. Кроме того, мы знаем, что фишинг часто маскируется под рекламу — и исследования показывают, что реклама с позитивным настроем сильнее мотивирует к действию (Yousef et al., 2023).
Что это значит для нас: если сообщение пытается апеллировать к сердцу, а не рассудку, и вызывает много позитива — лучше перепроверить его дважды. И еще — не стоит принимать никаких решений на эмоциях.
Эвристика доступности
В большинстве своем мы не очень хорошо справляемся с интуитивной оценкой вероятностей. Например, имеем свойство оценивать как более вероятные те события и явления, которые быстрее вспоминаются. Подумайте секунду: какие слова встречаются в английском языке чаще, те, у которых буква R стоит в начале или в середине?
Ответ
Скорее всего первый «интуитивный» ответ был «в начале», хотя вы наверняка почувствовали подвох. И правильно почувствовали — слов с R в середине больше, но вспомнить их сложнее.
Это называется эвристикой доступности и распространяется не только на оценку вероятностей, но и, например, на оценку рисков (потому что они — тоже про вероятности), а через них и на массу других феноменов, включая доверие к фальшивой информации и сайтам. И злоумышленники нередко пользуются этой «фичей», интегрируя в свои материалы хорошо знакомые нам названия и логотипы компаний, шаблонные типовые фразы и форматы сообщений. Кроме того, большинство из нас довольно редко слышит о масштабных кибератаках (если только вы не из кибербеза или это не ваше хобби), что приводит к снижению воспринимаемого риска, что фишинг произойдет прямо здесь, прямо сейчас и прямо с вами.
Вывод простой: если вы давно не видели и не слышали суслика, это не значит, что его нет. То же самое и с фишингом.
Эвристика источника
Доверие как психологический конструкт имеет интересную особенность — мы переносим его с объекта на объект, и даже из среды (например, аналоговой) в другую среду (например, цифровую). Например, если я доверяю «физическому» банку (скажем, отделению возле дома), то и сайту этого банка в интернете я буду доверять с большей вероятностью (Lee et al., 2007).
Как это срабатывает в фишинге: злоумышленники мимикрируют под компании и людей, которых мы знаем или которым мы готовы доверять: популярные онлайн-магазины, госорганы, коллег по работе, родственников и т. п. — и при этом нередко используют нетипичные для них каналы связи. Кому-нибудь еще гендиректор компании писал в телеграм? А Почта России на WhatsApp звонила и угрожала штрафом за неполучение заказного письма? Вот это как раз оно. Предполагается, что неймдроппинг самого псевдо-источника сообщения вызовет у вас интуитивное желание доверять. А очнетесь вы уже тогда, когда переведете свои сбережения мошенникам.
Как со всем этим бороться
У меня есть два ответа: один честный и неприятный, другой — более мягкий, зато воодушевляющий.
Начну с первого: никак. Механизмы невнимания, игнорирования и эвристики — не баги, а фичи нашего мозга и нашей человечности. Важно понимать, что без них мы бы, возможно, меньше велись на фишинг, но и любое решение принимали бы в разы дольше и болезненнее. А решения мы принимаем постоянно. Например, когда вы приходите в офис и плюхаетесь на стул, вы принимаете автоматическое решение верить в то, что стул выдержит. Это тоже шорткат из группы эвристик репрезентативности — большинство стульев, которые вы встречали, под вами не ломались, значит, и этот не должен. И так во всем.
Поэтому рьяно бороться с особенностями работы нашего мозга в целом бессмысленно. Можно пытаться его прокачивать, например, повышать объем внимания. На этот счет существует много всевозможных техник (та же Pomodoro, где на каждые 25 минут работы обязательно выделять 5 минут отдыха — ну-ну, попробуйте во время часовых созвонов) и прикольных исследований (знали, что видеоигры повышают объем внимания?). Останавливаться на них не будем — это тема для отдельной статьи.
Во второй — воодушевляющей — части ответа я расскажу о двух вещах, которые действительно могут помочь, и наука это подтверждает. Первый прием помогает на индивидуальном уровне и требует от вас самостоятельных усилий. Второй вы вряд ли сможете устроить себе сами, а вот организации могут взять на заметку.
Пользователю — декомпозировать задачу и довести до автоматизма
Тут все просто в теории и сложно на практике, поэтому я расскажу про теорию. Как мы выше обсудили, корни нашей ведомости в отношении фишинга и другой дезинформации часто лежат в невнимании, которое в свою очередь часто вызвано дефицитом ресурса.
Поэтому можно работать в двух направлениях:
-
повышать объем ресурса (чаще играть в шутеры и качать внимание, ееее!);
-
снижать уровень перцептивной нагрузки задачи по выявлению фишинга.
Снижение перцептивной нагрузки задачи происходит за счет научения. Чем лучше научились что-то делать — тем проще нам становится, тем меньше мыслительного ресурса на это нужно. А высший уровень научения — доведение до автоматизма, когда задача выполняется без раздумий, намерения и особых усилий. К этому и стоит стремиться.
Только есть две загвоздки. Первая: нужно очень много тренировок. В классических экспериментах Шнайдера и коллег по такому научению респондентам требовалось около 600 проб, чтобы научиться автоматически запоминать один символ перед чередой дистракторов, а эта задача сильно проще распознания фишинга. Вторая, к сожалению, вытекает из первой: не все задачи в принципе можно довести до автоматизма, слишком сложные просто не поддадутся.
Поэтому практически бесполезно натаскивать себя на проверку каждой ссылки и каждого файлика специальным антифишинговым софтом (если вы смогли, я преклоняюсь, меня, честно, не хватает). Зато соблюдение как минимум базовых правил самозащиты вроде быстрой проверки URL-адреса, формата письма или сообщения, имени отправителя и других типовых вещей — вполне автоматизируемы, просто на стадии обучения нужно попотеть и не сдаться. Как при формировании любой привычки.
Специалисту по кибербезопасности — внедрить интерфейсные подсказки
В противодействии фишингу подсказки тоже работают — и это даже подтверждено исследованиями (Nasser et al., 2020). Штука в том, что полагание на интерфейсные подсказки — тоже эвристика, такой поддерживающий интерфейс становится как бы расширением нашего мышления, мы буквально выносим в него частичку критического анализа и заставляем думать за нас (ладно, обычно все же не интерфейс, а кибербезовцев, внутриком и дизайнеров).
У нас в Cloud.ru, например, действует очень простая и действенная подсказка внутри почтового клиента: на всех письмах от внешних адресатов висит плашка «Внимание! Внешний отправитель!» — либо красная, если отправитель не проверен, либо голубая, если источник знакомый и ему можно доверять.
С подсказками, впрочем, тоже не без загвоздок: сначала важно научить ими пользоваться. Как мы помним из блока про невнимание, мы часто проскальзываем взглядом действительно важные элементы интерфейса (такие, как URL), а внимание обращаем на что-то совсем другое и, пожалуй, более функциональное на первый взгляд: поля, которые нужно заполнить, кнопки, логотип компании и т. п. И это лечится только осознанным приобретением базовых навыков диагностики фишинга — тогда подсказки распознаются автоматически, вызывая из памяти полезные паттерны поведения и ведя нас «правильными» эвристиками к решению о доверии или недоверии информации.
Итого
Четыре главных вывода для тех, кто долистал:
-
Наша подверженность фишингу фундаментально не лечится — это негативная сторона компенсаторных фич мозга по снижению объема информации, которую приходится обрабатывать для постоянного принятия решений и адаптации к среде.
-
Мы можем декомпозировать процесс базовой проверки сообщения на фишинг на более мелкие и простые подзадачи, как-то: хотя бы зрительно проанализировать URL ссылки перед кликом на нее, еще раз проанализировать URL перед совершением значимого действия на сайте, проверить автора письма на наличие ошибок и странностей в самом адресе, если это корпоративное письмо — чекнуть стиль коммуникации (например, у нас общаются на «ты» и письма на «вы» сразу вызывают подозрения), загуглить незнакомый номер телефона (ладно, это уже сложнее) и т. п. Эти мелкие задачи путем тренировок вполне можно довести до автоматизма — тогда они перестанут загружать вашу мозговую «оперативку». К сожалению, универсального рецепта по автоматизации таких привычек нет.
-
Хорошая практика — внедрять в интерфейсы антифишинговые подсказки. Например, автоматически добавлять к письмам от незнакомых адресатов пометки, сигнализирующие о потенциальной опасности, или на незнакомые входящие номера вешать маркер «Потенциально спам».
-
Чтобы антифишинговые подсказки работали, нужно прицельно обучать сотрудников ими пользоваться. И тогда к базовым общечеловеческим эвристикам аффекта, доступности, источника и т. п. добавится эвристика подсказок — они начнут приносить пользу.
Пишите в комментариях, какие средства борьбы с фишингом действуют у вас в компаниях, какие привычки вам удалось выработать и довести до автоматизма у себя и какие самые забавные фишинговые истории с вами случались!
Моя «забавная» история
Пару лет назад у меня в Париже вытащили из кармана айфон, а через пару дней родителям в WhatsApp начали спамить таким сообщением. Уровень доверия к нему, конечно, зашкалил, и я до сих пор в восторге от того, что текст на русский перевели неплохо, а с родом прилагательного в начале не справились. Ну да главное, что искренне!
Источники
-
Pennycook, G., Epstein, Z., Mosleh, M., Arechar, A. A., Eckles, D., & Rand, D. G. (2021). Shifting attention to accuracy can reduce misinformation online. Nature, 592(7855), 590-595.
-
Neupane, A., Rahman, M. L., Saxena, N., & Hirshfield, L. (2015, October). A multi-modal neuro-physiological study of phishing detection and malware warnings. In Proceedings of the 22nd ACM SIGSAC Conference on Computer and Communications Security (pp. 479-491).
-
Huang, M., Bridge, H., Kemp, M. J., & Parker, A. J. (2011). Human cortical activity evoked by the assignment of authenticity when viewing works of art. Frontiers in human neuroscience, 5, 134.
-
Lavie, N., Hirst, A., De Fockert, J. W., & Viding, E. (2004). Load theory of selective attention and cognitive control. Journal of experimental psychology: General, 133(3), 339.
-
Forster, S., & Lavie, N. (2008). Failures to ignore entirely irrelevant distractors: the role of load. Journal of Experimental Psychology: Applied, 14(1), 73.
-
Finucane, M. L., Alhakami, A., Slovic, P., & Johnson, S. M. (2000). The affect heuristic in judgments of risks and benefits. Journal of behavioral decision making, 13(1), 1-17.
-
Van Schaik, P., Renaud, K., Wilson, C., Jansen, J., & Onibokun, J. (2020). Risk as affect: The affect heuristic in cybersecurity. Computers & Security, 90, 101651.
-
Yousef, M., Rundle-Thiele, S., & Dietrich, T. (2023). Advertising appeals effectiveness: A systematic literature review. Health Promotion International, 38(4), daab204.
-
Lee, K. C., Kang, I., & McKnight, D. H. (2007). Transfer from offline trust to key online perceptions: an empirical study. IEEE Transactions on Engineering Management, 54(4), 729-741. https://doi.org/10.1109/tem.2007.906851
-
Schneider, W., & Shiffrin, R. M. (1977). Controlled and automatic human information processing: I. Detection, search, and attention. Psychological Review, 84(1), 1–66. https://doi.org/10.1037/0033-295X.84.1.1
-
Nasser, G., Morrison, B. W., Bayl-Smith, P., Taib, R., Gayed, M., & Wiggins, M. W. (2020). The role of cue utilization and cognitive load in the recognition of phishing emails. Frontiers in big data, 3, 546860.
Автор: ekatherinekosova
