我是如何上当受骗的?

  • IYP 演示过很多攻击手段,也分析过防御办法;但有时会有读者认为某些攻击手段”过于小儿科”了,认为自己”不至于上当”。事实上没这么简单。我们每个人都会作出错误的决定,它来自我们大脑天然的弱点,与智商没有直接关系。

在每一次作出错误的决策后都会有人冲你大吼:理智一点!

你并没那么理智,我也没有,我们都有过立刻就会后悔的冲动之举,因为我们的大脑有很多相似的弱点,导致我们容易被利用而作出一些损伤自身利益的事,这与受教育程度没什么关系。于是,了解这些弱点就能在很大程度上提起警惕,以避免上当受骗。这就是本文的主题:你的决策机制哪里出了问题?

首先,在阅读之前请思考一下问题:

  • 决策的好坏并不总是与我们对这个决策本身是否感到满意有关;
  • 决策包含了一系列因素,例如我们的看法和情绪;
  • 我们每天都在作出或大或小的决策,即便在并不具备所需的全部信息的情况下也会作出决策;
  • 我们往往会不假思索地、频繁地作出有时候很致命的决策 — — 这点是攻击者最喜欢的。

决策无疑是一种特权,但也可能是一件可怕和充满压力的事。只有在极少数情况下你能清楚地知道自己的决策正确与否,大多数人时候都是在碰运气。

我们喜欢通过权衡轻重的方式来思考问题,并会清醒地考虑可能的后果。比如你有一大堆理由购买一辆混合动力车而不是纯电动车对吗?但是,你知道,事情往往并非总是这么简单。

虽然你经常会在下意识中作出决策,但决策本身是一种非常复杂的认知过程,它一直是很多研究的主题。有适用于心理学、体育、商业、经济学、政治学的不同决策模型和理论。

我不是说你应该成为一个决策专家,但我希望能为你提供一些思考,因为这些知识是防备绝大多数攻击的关键部分。

即使是粗略地检查一下也能发现,有很多东西在影响你的决策过程和结果。如果这套文章令您感到绝望,请记者,人类 — 还有其他物种 — 的很多怪癖都归结为一个原因:生存。大脑的决策下意识以增加生存的可能性为基本要义,无论是鼓励快速思考还是在情况危急时冒险。

1、认知偏差

每个人都有认知偏差,这是正常的。认知偏差是一种思维定势,通常源于过去的经验。有时候认知偏差是好的,因为它可以使你更快更好地作出决定;然而更多时候,它会导致作出错误的决策,因为认知偏差会妨碍你获取所有可用的信息

人们经常会口头禅式地叨念:认清事实!似乎在强调每个人都应该是真正理性的决策者,很遗憾,这本身就是高度理想化的。经常发生的决策过程都会被忽略事实,就如那个经典的例子:20%的肥肉和80%的瘦肉,你愿意买哪一种?

这是基于框架效应的(framing effect)认知偏差,指的是,你的反应取决于你的情形,或者说你的反应依赖于语境。这很明显会给操纵者留下可以钻的空子。

而且框架效应不是唯一的认知偏差,另一种称之为“可用性启发法“的框架效应在日常生活中也是非常普遍存在的。它来自于人们用来快速进行决策的捷径,依赖于我们容易想起来的事物。

举例来说,你认为是被自动贩卖机砸死的人更多还是被鲨鱼咬死的人更多?尤其是在一个四面环海的国家里。很多人认为是后者,但事实上调查显示自动贩卖机砸死的人更多。再或者,你认为是死于恐怖分子的人更多还是死于车祸的人更多?数据显示依旧是车祸杀人更多,然而在恐怖袭击频繁登录新闻头条的时段里,很多人会认为恐袭的杀伤力最大。

只要人们能非常快速地想起某些事,那么大脑就会倾向于高估它的频率和重要性。你可以想象这种倾向对于决策来说所造成的灾难性后果

最后值得一提的是,还有一种认知偏差叫“确认便误”,它也是非常常见的,即 人们倾向于寻找支持自己观点的信息,或者按照自己的观点方式来解读信息

比如,你认为杜宾犬是一种危险的好斗的狗,那么如果你在公园里看到一只杜宾犬在叫,你更可能认为它充满敌意而不是在嬉闹;甚至回家后你可能在网上搜索“杜宾犬伤人事件”类似的信息,而不是“杜宾犬救婴儿事件” — — 没错,这两个搜索都能给您呈现丰富的信息,但人们通常不会去搜索与自己的既有观点不一致的信息,于是,搜索引擎只是在加强人们的偏见,而不是享受信息自由提供的认知丰富(本文暂且不讨论付费SEO和集中化的搜索引擎审查)

显然,的确有一些贵宾犬性格暴躁,但并非所有贵宾犬都如此;就如反对移民的人专注于移民伤人事件,而不是本地人伤人事件,支持移民的人则相反。此外,地图炮、性别歧视和其他长期争议性话题都是如此。信息自由在此并没有能带来任何帮助

2、生理状态

你困了吗?饿了吗?需要去洗手间吗?……身体状态对你的决策质量也会产生非常鲜明的影响。

研究人员发现,熬夜会导致人们倾向于作出危险的决策。因为大脑中负责快乐态度的部分会更加活跃,同时负责计算权衡可能的负面结果的部分活动力会明显下降。这意味着当我们疲惫的时候,会高估成功的可能性,导致出现更多的冲动决策。(Vinod Venkatraman, Scott A. Huettel, Lisa Y. M. Chuah, John W. Payne, and Michael W. L. Chee, “Sleep Deprivation Biases the Neural Mechanisms Underlying Economic Preferences,” The Journal of Neuroscience, March 9, 2011)

拉斯维加斯赌场利用这一心理弱点已经很久了。他们借助明亮的灯光、衣着性感的鸡尾酒女招待、以及几乎没有时钟也没有窗户的房间,让你长时间沉迷于赌博中不知道夜晚已经流失。这种环境下人们更倾向于冲动地下注。

你曾经有快饿疯了的感觉吗?那种感觉非常可怕,它不仅会让你情绪失控,而且还会导致冒险行为。

很多对人类和动物的研究确认:随着饥饿程度的增加,冒险的决策也会增加。如上所述,从*生存*的角度来说,这是说得通的。事实上饥饿是一种全方面的威胁(不只有低血糖)。由于生存机制是天生的,当缺乏食物关系到生死存亡时,我们这些互联网人和山洞中居住的祖先没什么区别。(Mkael Symmonds, Julian J. Emmanuel, Megan E. Drew, Rachel L. Batterham, and Raymond J. Dolan, “Metabolic State Alters Economic Decision Making Under Risk in Humans,” June 16, 2010; Phys. Org, “Hunger Affects Decision Making and Perception of Risk,” June 25, 2013)

最后,你还记得上一次不得不去洗手间的时候身体的反应吗?被尿憋到眼红时的状况?你记得自己集中精力努力憋住时的感觉吗?水流的声音都是一种严重的折磨;如果你当时坐在一辆行驶的车子里,每一次轻微颠簸就像世界末日一样恐怖。

Mirjam Tuk 和他的同事做过一个有趣的研究,似乎支持了这样一个理论:你在抑制自己不尿裤子时所用到的自我控制“溢出”到了决策中。换句话说就是,控制去洗手间的冲动使得你更好地控制不相关领域的冲动。(Mirjam A. Tuk, Debra Trampe, and Luk Warlop, “Inhibitory Spillover: Increased Urination Urgency Facilitates Impulse Control in Unrelated Domains,” 2010)

那么问题:当你饿了、想要小便、或者一夜未眠的时候会发生什么?我不知道会发生什么,但是已经有大量的研究结论表明,在这种情况下你的反应很可能会和平时完全不同。

3、外部因素

这也是非常重要的。我经常为了避免拖延症而不得不去办公室写作,如果在家里写作恐怕几天都难以完成。或许你也有类似的经验,在不同环境状态下自己的表现力是不同的。外部因素包括我们周围的物质环境和身在其中的他人。

像温度和环境光这些因素不一定会直接影响我们选择米饭还是蛋糕;同样,我也不大可能通过调整恒温器来迫使你点击钓鱼链接 — 如果你家的恒温器是“智能”的,小心咯。

这里想说的是,研究表明环境的确可以影响或者加强我们对情景的感受。

在某种程度上,体温和人际关系融洽、信任以及慷慨的行为都有关系。在《体温影响信任行为:脑岛的作用》这篇论文中,研究人士发现,短时间的温暖和寒冷的刺激会导致人们在信任游戏中作出不同的选择。(Yoona Kang, Lawrence E. Williams, Margaret S. Clark, Jeremy R. Gray, and John A. Bargh, “Physical Temperature Effects on Trust Behavior: The Role of Insula,” August 27, 2010)

大脑中有一块特定的区域同时负责温度感知和信任选择。Lawrence E. Williams 和 John A. Bargh 在“体温升高促进人际关系升温”的研究中也有类似的发现。然而在其他研究中,酷热经常与愤怒、好斗以及决策受损有关。IYP 曾经介绍给这个问题,详见《干旱与古代帝王命运之间的联系为现代提出了警告

虽然我们倾向于将明媚的日子和好心情联系起来,但是另一项研究发现,较高的环境亮度只是简单地放大了我们的感受,反之亦然。所以如果你心情不错,那么一间明亮的房子会让你感觉更好;但如何你悲伤生气,同样的亮度会让你感觉更糟。(Science Daily, “The Way a Room Is Lit Can Affect the Way You Make Decisions,” February 20, 2014)

最后,尤其需要强调的是,情绪是可以传染的。由于我们是社会动物,周围的人对我们的选择有着巨大的影响,通常称之为同伴压力、从众或服从。不论叫它什么,人们都一种模仿周围人的倾向。还记得我们提供过的用婴儿哭闹声录音骗取账户密码的社交工程案例吗?它就是利用了人们之间情绪的传递性来达到目的的。

一个很明显可以影响人们的因素就是*不确定性*。想象你点了一杯鸡尾酒,坐在那里等着服务生送过来。那么你应该付小费吗?不确定。但是吧台上有一个放小费的罐子可以提醒你。服务行业的人都知道,摆这么一个罐子可以提醒人们付小费。

另一个可能影响决策的因素是群体的大小、地位和一致性。例如,每个人都会付小费吗?付小费的人是大明星或VIP,还是普通人?这就是为什么我们对社交媒体的名人动员能力一直不予评论 — — 是的,曾经很多人认为需要先积累互联网影响力再于社会运动方面发挥作用。暂且不提当局对影响力的收编和打压,名人本身的带动力也并没有你想的那么高,反而是一大群普通人的带动力可能效果更好。

大多数人在面临选择的时候都不会觉得自己是一只愚蠢的羊,但如何你稍微反思一下自己的曾经,也许就不那么坚定了。历史上来说,从众保证了我们的安全,当看到其他人都在逃跑时你也会跟着跑起来,因为狼来了,即便你还没亲眼看到血盆大口。

决策的底线

以上内容希望您能对什么会影响决策这件事有了一些初步的了解。本文的重点并非是心理学研究,也没打算让您变成复杂领域的专家。我们的主题是社交工程攻击和防御,其中最重要的部分就是关于:你是如何上当的 — — 了解自己在决策中的弱点,才能更好地避免因冲动而被操纵。

希望您现在能明白:

  • 人们在决策中并非总是理智和富有逻辑的,很多因素会影响我们的决策结果;
  • 社交工程攻击者了解人们是如何决策的,并且试图操纵我们所面临的情况,以引导我们作出完全错误的选择。

当局者迷

每个人都曾经作出过错误的决定,有些案例在事后想起来会觉得很可笑,但笑的同时请思考一下,究竟是什么样的影响导致了错误的决定。

心脏滴血漏洞(Heartbleed bug)可能是2014年最大的安全事件之一了,几乎影响了互联网上的每个人。这是一个出现在加密程序库 OpenSSL 的安全漏洞,该程序库广泛用于实现互联网的传输层安全(TLS)协议。当时大多数人的反应是恐慌,可以说是正常反应,就如每一次威胁情报出现时人们的反应那样。但有一位先生与众不同,他把自己的密码张贴在“华盛顿邮报”的网站上了,并宣布其他人可以随便使用。(Konrad Krawczyk, “Man Makes Fun of Heartbleed, Posts Passwords Online, Gets ‘Hacked,’ ” April 16, 2014)

不出所料,真的有人这么做了。后来他在网上认错,但相比下更重要的是,他应该学到了东西:晚上不锁门是一回事,但若告诉所有人你没有锁门,并声称谁有本事就来偷吧,那就是另一回事了。

这一点不好笑。先提出一个问题:如果你打算抢劫一家企业,你会怎么做:

  1. 用透明塑料袋遮住脸;
  2. 用荧光笔把脸涂花;
  3. 用胶布、巧克力酱和饼干渣抹一脸;
  4. 以上都不是

这并不是开玩笑,不止一次新闻报道过有劫匪使用了上面这些方法来进行“反侦察”(Natalie Evans, “Robber Who Tried to Hide His Face with Clear Plastic Bag and the Top 10 Strangest Disguises”)当然,对于我们这些围观者来说,取笑这些人很容易,因为他们最后都被抓住了,但他们完全可以在伪过程中做出更好的决定。为什么没有呢?

显然,行动和策划行动不完全是一回事。行动者经常在冲动的情况下作出不明智的决策,而事后大多会能想到“如果当初***就好了”。我们不评价曾经的行动者(你知道的,这里指的不是抢劫)行动本身就是价值,后人应该能从失败中找到经验教训,以获得进一步的成功。防御能力是进攻中最关键的部分。

经常有有活动家宣称“我没有秘密、我光明磊落,于是不需要加密和匿名技术”,或者很多中国的活动家曾经告诉我们,“在中国讲真话不论如何你都会被抓住,所以那些保护性技术是无用的”等等,这些思路都和那位贡献密码的先生一样,看起来很“英雄”,事实上它只是一个非常糟糕的错误决策,因为这会令您成为各种各样的攻击目标。

试想一下,如果您的任务是去偷一辆自行车,那么您想偷什么样的车子呢?是那种具有强大密码锁的名牌新车,还是根本就没上锁的普通车子?想必大多数人都知道应该偷后者,名牌新车肯定更好,但是破解密码锁的时间过长肯定加倍了被抓到的风险。这就是为什么希望您至少弄一把锁。

社交工程攻击者对人类的基本决策过程有着深刻的了解,于是他们深知如何激起你的情绪反应,以导致逻辑思考短路。每个人都有情绪,与受教育程度的关系不大,所以不必觉得自己“很聪明”就能绕过这些危险。

杏仁核劫持

杏仁核劫持是一种典型的诈骗成功手段。

杏仁核位于下丘脑的下方、海马体的左侧,它的一项重要功能是处理所有形式的刺激:视觉、听觉、触觉、味觉……并将这些过程发送给大脑的其他部分进行处理。

如果大脑在变得活跃时能够平衡情感和理智,那么一切就会变得顺利;但是如何杏仁核处理的是一些强烈的感觉和情绪,那么它必须从其他地方获取“力量”,即 在大脑中负责理性思考的部分。

从本质上说,杏仁核关闭了理性思维中心。当大脑终于跟上杏仁核处理的进度,但理性思维中心还没开始工作时,谁来处理它的工作呢?没错,就是感性思维中心。你上一次纯粹靠情感来做决定的时候发生了什么?

不用告诉我。但我知道,这种情况下任何人都会作出糟糕的选择。这就是杏仁核劫持,理性中心完全被关闭了,你无法思考。

钓鱼攻击者利用的就是这点。它努力触发你的恐惧、贪婪、欲望或者好奇的情绪,你的大脑会随之停止理性思维中心传出的信息,“别点那个链接”!“拒绝那个权限”!这些信号被屏蔽了。

杏仁核的浮躁很容易被控制住,但需要一点时间,杏仁核不可能长期劫持大脑,这种劫持是快速的、会被情绪刺激的强度所延长。˙只要你能让自己停下来,稍微等一会再做决策,你就能重新掌握控制权。

没错,就是这么简单 — — 停下来,等一下再做决定,这点非常重要,尤其是当你非常想要急于做决定的时候,停下来想想是什么让你如此着急的?你被什么刺激到了?那就是你的杏仁核失败的位置。

攻击者并不知道他们正在劫持你的杏仁核,但他知道只要能激起你的情绪波动,就能操纵你采取一些完全不利于自己的行为,这就是社交工程学的关键所在。

本文看起来非常简单,但是它很关键:冲动决策是几乎所有灾难的起源。后面的文章将继续分析这些问题,关于如何操纵,使用什么工具,怎样达到目的。⚪️

广告

发表评论

此站点使用Akismet来减少垃圾评论。了解我们如何处理您的评论数据