本質上係心理戰
接近 90% 嘅網絡攻擊都係 social engineering(社交工程)。換句話講,hacker 基本上放棄搞你部腦,直接搞你個腦。研究指出,social engineering 本質係一種心理攻擊,利用人類認知功能嘅弱點去達到目的。
好耐好耐以前,人類大腦係為生存而設計:見到威脅要即刻反應、面對壓力會「注意力收窄」、忙亂時只靠直覺做決定。而 social engineering 正正就係利用呢個特點:佢只需要你喺某個瞬間「唔夠冷靜」,跟住 click、入 OTP、轉錢,一次就夠。
我先唔會咁中招 係啲人蠢/貪心之嘛
呢句好多人都識講,But please, don’t get me wrong. 件事本質唔係蠢唔蠢,而係「人腦點樣運作」。當人處於壓力、恐懼或時間限制,決策準確度顯著下跌,即係話你再醒都係有機會中。有研究甚至提出,值得考慮將認知心理學嘅框架擴展到網安情境,專門研究 social engineering。因為如果只用「受害者太大意/太貪心」去解釋,其實會阻礙真正有效嘅防守設計。
更有趣嘅係,英國 2023 年一項研調查發現,更高教育程度嘅人反而有可能因為過度自信(Overconfidence Bias)更容易被欺騙。星加坡 2022 年亦有調查指,25歲以下人士比65歲或以上人士更易受騙。
呢個唔係智商問題 係心理問題
我哋嘗試從心理學家 Maslow 嘅需求層次理論出發,將 social engineering 分成三個層次:
第一層:基礎生存本能 – Safety Needs(安全需求)
第二層:社會本能 – Belongingness(歸屬需求)+ Esteem(尊重需求)
第三層:高級認知 – Self-Actualization(自我實現需求)
今日集中講第一層,因為佢最「快」:你未諗清楚,身體已經入咗狀態。
第一層:點樣令你理性 offline
唔駛心理學講,大家都知道壓力會影響注意力同決策能力,例如會出現注意力嘅 tunneling(隧道視野)只集中睇某一點,無視其他 red flags。同時更傾向用快速自動化決策,缺乏controlled reasoning。攻擊者就係要你進入呢個模式,佢唔想畀你諗、唔想你搵人商量、要你即刻做決定。
威脅恐懼:Amygdala Hijack(杏仁核劫持)
當你睇到「你將被凍結」、「你涉嫌違規」呢類訊息,你嘅大腦入面負責處理恐懼同威脅嘅杏仁核會即刻被激活,而杏仁核嘅反應速度比負責理性思考同計劃嘅前額葉皮質快得多。當杏仁核發送信號時,佢會阻斷前額葉皮質嘅能力,所以當你面對「威脅」,你嘅身體會先進入 fight or flight 模式,用直覺反應而唔係理性分析。你第一時間會諗「救火」(解決威脅),而唔係驗證。
時間壓力:Cognitive Load & Decision Fatigue(認知負荷與決策疲勞)
「最後一次通知」、「過期即失效」,呢啲訊息製造嘅唔單止係「急」,而係一種叫 time scarcity(時間稀缺)嘅心理狀態,增加認知負荷,即係增加你大腦需要同時處理嘅資訊量。當認知負荷過高,人嘅工作記憶容量會下降,從而開始捨棄某啲需要額外時間嘅動作,例如「核實來源」。同時,當大腦嘅執行功能資源有限,被迫快速決策時,會傾向用 satisficing 策略,即係搵個「好似夠好」嘅答案就算,而唔係搵最好嘅答案。結果係,你會跳過驗證,直接行動。
稀缺感/FOMO:Loss Aversion & Scarcity Bias(損失規避與稀缺偏差)
心理學上,人類對失去嘅痛苦感受,係得到嘅快樂感受嘅2倍,亦稱為 Loss Aversion(損失規避)。當「只剩最後幾個」,大腦諗嘅唔係「值唔值」,而係諗「錯過咗點算」。你嘅焦點由「得到」轉移到「失去」,而失去會觸發更強烈嘅情緒反應,觸發 Scarcity Bias(稀缺偏差):當資源變得稀缺,人類會自動假設其更有價值。亦會同時觸發 FOMO (Fear of Missing Out),擔心自己錯過咗重要嘅機會或者經驗。FOMO 會令決策能力下跌,因為你會被情緒主導,而唔係邏輯主導。結果係,你嘅風險評估框架完全被扭曲,你會用「怕錯過」去代替「怕受騙」。
核心機制:你唔需要蠢,只需要一秒鐘嘅認知脆弱
你會發現,三種手法都係利用同一個核心機制:令理性思維暫時 offline,由快速反應接管。攻擊者唔需要你蠢。佢哋只需要你一秒鐘慌、一秒鐘急、一秒鐘唔想輸。呢一秒鐘,就夠佢哋入侵。
下篇預告:當信任變成武器
恐懼係最直接嘅武器,但唔係最古惑。之後我哋會講點解「權威」同「熟悉感」可以令一個理性成年人,心甘命抵將自己嘅信任交出去,甚至主動幫騙徒解鎖條路。信任,可能先係最危險嘅漏洞。
Eric C房解密 