我們是否都曾經歷過點擊可疑連結時的恐慌感?我相信我不會孤單一人。
我在過去一年裏也多次遭遇了這種情況。幸好,這些事件發生在我公司內部網絡安全專家定期進行反釣魚培訓的環境中。雖然這讓我感到有些尷尬,但更重要的是意識到即使是像我這樣的人也會被騙。
這篇文章將探討大腦疲勞是如何成為釣魚攻擊利用的關鍵漏洞的。
什麼是釣魚?
釣魚是一種欺詐行為,通過偽裝成來自可信來源的合法通信來獲取個人信息或敏感數據。根據 Verizon2024年數據泄露調查報告,釣魚仍然是最主要的攻擊途徑之一,其中近70%的攻擊都涉及社會工程學手段。令人擔憂的是,68%的數據泄露事件與非惡意的人為因素有關,例如個人受到社會工程攻擊或犯下錯誤。另一個有趣的事實是,用戶中招的平均時間不到60秒。因此,緊迫感幾乎總是出現在釣魚郵件中。
這些統計數字或許令人驚訝,但它們並沒有完整地揭示問題本質。讓我們深入了解為什麼我們的大腦會在最關鍵時刻背叛我們。
疲勞的大腦
釣魚攻擊利用了我們每個人都會經歷的三種狀態:
認知枯竭:經過8小時的知識工作後,我們識別欺騙的能力顯著下降。
任務切換成本:如果沒有適當的休息,每次任務切換都會產生一個脆弱的瞬間。
決策疲勞:知識工作者每天要做出超過300個重大決策。每一次決策都會消耗我們的心理防禦力。孫子的話「數戰而勝」現在比以往任何時候都更具現實意義了。
大腦自動駕駛和認知疲勞
研究表明,在學習倦怠和管理學學生學術表現中,對英語課程進行縱向研究發現,在認知耗盡時,我們的決策質量會顯著下降(高達50%)。這對司機、醫務人員以及我們接下來要探討的被釣魚攻擊所困擾的人來說都是一個警示信號。
如果我們感到「過去幾分鐘發生了什麼事,我一點也不記得」,那通常是一個跡象。這個話題很複雜,不在我的專業範圍內。不過,我從對大腦的研究中了解到的一點是:大腦總是試圖實現穩態。
當我們執行一項任務或做過的很多事情時,大腦會自動進入自動駕駛模式。由於涉及的神經通路變得如此常見,它們在不費意識力的情況下就能正確地激活,從而進入了自動駕駛狀態。當預測出現意外情況時,我們的大腦就會退出自動駕駛模式。例如,如果你開着你多次行駛的道路,大腦會自動進入自動駕駛模式,不斷預測未來並準備必要的行動。你開車走在你的車道上,看到紅燈,大腦就預先制定了下一步動作:踩剎車,切換擋位(如果手動),然後慢慢駛近前方的車輛。如果出現不可預測的情況,比如前面的車減速但又加速並越過紅燈時,大腦會立即關閉自動駕駛模式,你就會進入「意識」狀態。
我們的專注力就像肌肉一樣運作。經過數小時的緊張精神工作後,疲勞就會襲來。在大腦達到極限之前,它只能持續工作一段時間。每個人的能力都有所不同,取決於休息時間和長期累積的壓力程度等因素。
我們可以用健身房的比喻來理解這個問題,因為我認為它更容易理解。如果我僅僅思考神經元和突觸,我很快就會失去對現實的把握。
我們可以訓練我們的肌肉使其產生更多結果,也可以訓練我們的腦力,使之變得更加堅韌,但就像任何好的健身計劃一樣,我們都需要考慮休息和工作間隙。
我們還需要考慮是否需要以奧運會運動員的方式全力以赴訓練,因為即使在體育運動或舉重中,除了比賽日當天你傾盡全力之外,訓練時做得越少越好,同時還要考慮到持續進行鍛煉的需求。
關於這個主題有很多研究。即使只是了解大腦運作方式的一點點的知識,也能幫助我們更好地協作,即使我們和我們的大腦只是一個。
你不必對自己的內心進行深度分析,但有一些可以幫助你評估疲勞程度的方法以及一些照顧自己的建議:
大腦進入自動駕駛模式:我們之前探討了大腦的自動駕駛模式,因此,當我們精神疲憊時,也會出現類似的自動駕駛模式。疲勞會導致「自動駕駛錯誤」,即熟練學習的神經通路會發生故障或交叉連接。
分析之前的任務:我們可能匆忙地完成它們。問問自己一些重要的問題:這項任務是挑戰性的、複雜的,但與我以前的工作相似嗎?它很簡單,但我花了太多時間嗎?這些練習有助於我們反思和評估接下來要處理的任務,並避免一次接一次進行複雜的任務,而沒有管理內部資源。
退一步,考慮更廣泛的局勢:你在這方面工作了多久了?你什麼時候休息了?你的計劃如何才能在未來做得更好?它本身並不會解決倦怠問題,因為等到疲勞過後再休假往往為時已晚。
我們並沒有真正休息:理解即使是短暫休息也可能過度刺激大腦。要讓休息有效,我們需要在工作日內頻繁休息,至少5分鐘到一個小時。許多歐盟合同規定休息時間為10分鐘到一個小時,但誰有這種奢侈?當我們停止工作來使用手機並查看社交媒體時,這可能會感覺像是休息;然而,我們仍然用信息過載大腦,讓它們進行分析和思考,本質上是在做些輕度的工作。
問問自己:我過去幾天做了多少有氧運動或任何鍛煉?這裏取決於個人情況,但每天做一些輕鬆的鍛煉比一周兩次高強度鍛煉更好。別誤會我,任何運動都比沒有運動好,只是要確保。所以從小開始,或者增加量,但我們在研究中看到過,並且親身體驗過:運動有助於緩解壓力,對大腦非常有益。隨着我們年齡的增長,它變得更加重要。
現在回到釣魚問題上。
理解為什麼釣魚有效
現代釣魚攻擊利用了我們的思維方式,騙子會使用各種心理技巧:
權威陷阱:當信息看似來自高層(你的老闆、IT部門等)時,大腦會自然地產生對等級制度的尊敬。
緊迫陷阱:騙子製造這種人造時間壓力,因為他們知道它會阻斷我們的分析思考。
熟悉遊戲:現代攻擊看起來很個人化,因為它們往往是如此。騙子會從社交媒體和數據泄露中收集信息來撰寫感覺真實的郵件。
上下文技巧:提到真正的項目、同事或事件會創造一種真實感。
以上四點都觸及了我的要點,現在我意識到,原本可能更容易辨別出來。但同時,我也不會低估它們。
