Киберпреступники уже достаточно давно используют в своих схемах знание психологии. Однако она же может объяснить, почему те или иные методы злоумышленников срабатывают, а самое главное – какую стратегию защиты выбрать. Многие психологи анализируют схемы атак и причины их эффективности. Расскажу о гипотезе, пытающейся объяснить, почему при всей эффективности антифишинговых технологий письма-ловушки все равно порой могут причинять значительный ущерб. А главное – что с этим делать.
Организация мер по защите от спама и фишинга, пожалуй, одна из самых нужных для большинства компаний. При расследовании киберинцидентов наши эксперты чаще всего обнаруживают, что проблемы начались именно с письма – как в случае массовых рассылок, так и при целевых атаках. Сейчас почтовые фильтры умеют достаточно точно выявлять типичные фишинговые письма. Но порой злоумышленникам удается прорваться и доставить послание человеку – самому слабому звену в цепи защиты (например, захватив реальный почтовый ящик партнера). И вот тут оказывается, что чем эффективнее фильтры, то есть чем реже человек встречается с фишингом, тем выше у прорвавшегося письма
шансы на успех.
Эксперимент психологов
О прямой зависимости между частотой встреч пользователя с вредоносными письмами и их успешным распознаванием задумались два американских исследователя – Бен Д. Сойер из Массачусетского технологического института и Питер Хэнкок из Университета Центральной Флориды. Они опирались на давно известный в психологии эффект распространенности. Его суть заключается в том, что человек скорее пропустит (или не выявит) сигнал, если тот менее распространен, чем сигнал, который встречается часто.
Исследователи решили проверить свою теорию на практике и провели эксперимент, в ходе которого участникам присылали письма, часть из которых содержала вредоносные вложения. Опасные письма встречались подопытным с разной вероятностью: у кого-то всего 1% посланий имел вредонос во вложении, у кого-то – 5%, а у кого-то – 20%. В результате исследователи подтвердили свою гипотезу и выяснили, что чем реже встречается угроза, тем сложнее ее распознать.
Следует отметить, что экспериментаторы работали с достаточно небольшой выборкой – 33 испытуемых. Кроме того, все участники были студентами, поэтому слепо верить выкладкам ученых преждевременно. Однако в психологии эффект распространенности считается доказанным, так почему бы ему не работать и в отношении фишинговых писем? В любом случае авторы обещают доработать гипотезу.
Возможное объяснение феномена, от которого отталкиваются исследователи, – это усиление доверия к безопасной системе. Получается, что работа антифишинговых технологий, с одной стороны, ограждает пользователя от опасностей, а с другой – усыпляет его бдительность. Сами исследователи, кстати, говорят, что злоумышленники могут знать об этом эффекте и потому специально присылать вредоносы пореже.
Как вы наверняка догадываетесь, мы не призываем отказываться от автоматизированных защитных систем. Однако если гипотеза Сойера и Хэнкока верна, то пользователям, возможно, иногда полезно сталкиваться с фишинговыми письмами – разумеется, не настоящими. В ходе этих проверок обучающиеся получают прививку от фишинговых писем и должны верно на них отреагировать. Это поможет держать сотрудников в тонусе, чтобы они не забывали, как выглядят опасные сообщения. Не повредят такие письма и в том случае, если гипотеза американских ученых несостоятельна. По крайней мере, человек, руководящий обучением, узнает, кто слабое звено.