技術交流

【資安課程推薦】運用駭客最常利用9種認知,進行資安教育訓練

82% 的資料外洩是由人為錯誤造成的,駭客擅長利用人們的恐懼以及認知偏誤來獲取資料,或是針對特定員工進行攻擊。網路釣魚(Phishing)是最常見也最難以防範的攻擊方式,攻擊者通常使用電子郵件中的連結引導使用者連到極為相似的釣魚網站,進而騙取電子郵件帳號、密碼及信用卡資訊等機密個資,或是將惡意程式、勒索軟體直接下載到用戶端電腦。

KnowBe4 從員工意識阻擋網路釣魚攻擊

財務部門的一名員工收到執行長寄來的電子郵件,要求他立即支付供應商發票。該電子郵件包含發票附件以及執行長的電子郵件簽名。由於電子郵件中傳達了急迫性,員工支付了發票並繼續他們的工作。不幸的是,執行長的電子郵件被駭了。無論人們的科技技術水平如何,還是會因為這些騙局的熟悉性和急迫性而被欺騙。企業可以透過了解駭客如何欺騙員工,識別潛在的認知偏誤,提供真正改變行為的培訓計畫,減少資安事件發生。

KnowBe4 是全球最大的資安意識培訓和模擬網路釣魚平台,擁有 1,400 多個資訊安全意識課程項目,並支援 30 多種語言。可協助企業培養員工安全意識,降低釣魚攻擊、勒索軟體、惡意軟體與社會工程攻擊風險。

駭客常使用的 9 大認知偏誤

為了保留認知資源(cognitive resource),人的大腦在任何時候、任何地方都會下意識地使用心理快速方法,稱為「認知偏誤」。雖然這些先入為主不一定反映現實或理性,但我們依靠它們來加快和簡化資訊處理。這些偏見不僅影響我們的思考和行為方式,也影響我們的決策。

駭客利用人類的認知偏見,透過不相關或誤導性的資訊來影響他們的決策。員工可能會受到誘導點擊詐騙連結或偽造的折價卷,或收到「主管的虛假訊息」分享敏感公司資料。以下是駭客經常利用的 9 種常見認知偏誤:

1. 誇張折扣

傾向於選擇當下立即獲得的獎勵,即便這些只是小獎勵,而不是稍後未來可能獲得的獎勵。例子:「這裡有一張免費的優惠券。」

2. 習慣

利用人們遵從重複習慣的傾向,鎖定可能定期發送的電子郵件或其他通訊進行社交工程攻擊。例子:「這是您的每日交付報告。」

3. 近期影響

通常是最近呈現的資訊或最近發生的事件。類似的攻擊像是利用全球性事件,如 COVID-19 大流行,誘使目標採取行動。例子:「避免冠狀病毒。點擊這裡預約您的疫苗接種。」

4. 光環效應

這是一種個人對某人、公司、品牌、產品或服務產生正面印象的傾向。在這類攻擊中,網路犯罪分子假冒成目標認識的可信對象。例子:「蘋果公司關於您的 iTunes 帳戶訊息」。

5. 害怕損失

這種偏誤指的是人們更傾向於避免損失,而不是獲得相等的收益。利用這種偏誤的電子郵件詐騙可能會督促你處理未付的款項,以避免逾期費用。例子:「請立即行動拯救您的信用評分。」

6. 鴕鳥心態

通常是向毫無戒心的對象灌輸恐懼,讓他們相信自己做錯了事情,需要迅速採取行動來修復,而不是向資訊科技部門報告,以免受到懲罰(選擇掩蓋問題)。例子:「您的電腦有 800 個病毒。點擊這裡清理您的電腦。」

7. 權威偏誤

人們傾向於將權威人士的意見視為更準確。在職場的情境中,這可能包括經理、老闆或 CEO。 例子:「嗨,我是你們的 CEO。我需要你儘快將財務資訊寄給我。」

8. 樂觀偏誤

這種偏誤會使人高估自己發生正面事件的機率,並低估負面事件的機率。利用這種偏誤的釣魚郵件可能採取的攻擊形式。例子:「30% 的薪水調整即將到來。詳細信息在附加文件中。」

9. 好奇心態

人類天生具有解決不確定性的渴望。面對某種不確定性,即使可能有負面後果,他們也會採取行動來解決這種不確定性。例子:「這是您的神秘優惠 - 點擊這裡。」

建立企業資安文化,防範釣魚攻擊

所以在整個組織中,每位員工都需要了解如何做出最安全的網路決策,才能避免個人或企業資產遭受侵害。KnowBe4 深知人為因素的安全性被嚴重忽視,因此提供全新的意識培訓方法來幫助企業管理資訊安全問題。該方法整合了使用真實世界模擬攻擊的基準測試、互動培訓,企業可透過持續進行模擬網路釣魚及分析報告回饋改善,提高企業資安韌性!

閱讀更多