4社会工程UIT事件研究综述

在我们工作的当前阶段，我们重点关注的社会工程UIT事件是建立在第一阶段UIT项目中审查的研究基础上。这一分析，加上对案例研究的审查（在第5节中讨论），有助于完善工作初期制定的广泛的促成因素清单。

对于我们当前阶段的工作，我们将第一阶段的可能影响因素列表重新整理为三大类：人口统计学、组织学和人。下面将讨论这三个类别中的每一个类别的示例性因素。

人口因素[1]（与UIT受害者或组织有关）

• 性别——研究试图确定男性和女性对社会工程的易感性是否不同。维护一个跟踪这些数据的数据库最终将能够分析可能的性别差异。

• 年龄——研究试图确定社会工程易感性是否存在与年龄相关的差异。

• 人格特征[2]——有限数量的研究试图确定某些人格特征与社会工程易感性之间的可能相关性。

• 文化因素[3]——很少有研究旨在确定社会工程易感性中可能存在的文化差异。我们简要讨论了可能的文化影响。

组织因素[4]

• 管理或管理系统不足——管理或管理实践不足会增加组织对社会工程利用的脆弱性。管理层必须通过管理实践实现网络安全文化，包括

• 为保护网络和减少网络漏洞而集体工作的人员配备充足

• 采用与安全相关的培训做法

• 有效完成任务工作的充足资源

• 自上而下清晰沟通并及时传播安全信息，以便传播有关潜在利用和漏洞的信息

• 实施缓解策略和行动，这些策略和行动不仅受到鼓励，而且经过精心策划和演练

• 安全系统、政策或实践不足——安全系统、策略或实践不足或不足（即对安全的放松立场和对安全规范的忽视）可能会助长员工对安全实践的自满情绪。

• 工作压力——组织施加的绩效压力（即难以实现的绩效目标或期望、时间限制、不切实际的任务难度和高任务负荷）可能会对人类绩效产生不利影响。

人为因素[5]

• 注意力不足——一个人全神贯注或没有对任务给予足够的关注（分心）。个人也可能具有改变判断力（即，无法检测到变化的线索），或者只是对与可疑活动相关的情况和上下文或身体线索缺乏认识。

• 缺乏知识/记忆故障——由于知识差距（例如，未能识别欺诈情况的特征）或记忆故障（例如，无法回忆起适当的安全程序或回忆起不正确的安全程序），个人没有做好识别线索的准备。

• 错误的推理/判断——个人表现出错误的推理或判断，或者可能为正确的推理和判断投入不足的认知资源。

• 风险承受能力/风险感知能力差——尽管接受了网络安全培训，但高风险承担或风险承受能力的个人可能会表现出风险行为，而厌恶风险的个人可能不太可能在知情的情况下采取风险行动。此外，个人可能习惯于重复的系统警告。

• 对合规性的随意价值观/态度——个人可能对遵守安全政策和程序的重要性持随意态度。员工的态度、规范信念或习惯可能影响了个人不遵守信息系统安全政策的情况。

• 压力/焦虑——工作环境造成的主观心理压力，如繁重或长时间的工作量和持续的时间压力，可能与较高的任务失误率有关。

• 身体损伤——身体状态（即疲劳、疾病、损伤和药物副作用）可能会对人类表现以及注意力、记忆和推理等其他认知状态产生不利影响。

附录A中的表格总结了研究结果，本节对此进行了详细讨论。经过改进的一组因素也有助于为CERT内部威胁数据库的添加和修改提供信息，该数据库正用于支持我们的事件数据收集工作。对数据库进行了相应的更改，以便更有用、更准确地表示UIT病例。我们打算使用这个数据库来识别各个时间段内和跨时间内社会工程和UIT案例的趋势和模式。这些信息可以增加我们对潜在UIT原因的了解，并有助于确定有效的缓解策略。

4.1人口因素研究

几项研究考察了各种人口统计学因素与社会工程易感性的可能关联。不幸的是，大多数人口统计学变量的研究结果各不相同，研究中使用的科学研究质量也是如此。目前，对人口因素的研究必须被定性为基本上没有结论。

4.1.1性别

卡内基梅隆大学研究人员[Seng 2010]进行的一项调查研究了人口统计学与网络钓鱼易感性之间的关系。对1001名在线调查受访者进行了一项角色扮演调查。结果表明，女性比男性更容易受到网络钓鱼的影响。Halevi及其同事也报告了类似的性别差异，他们认为女性可能对数字通信感到更自信，可能更倾向于回复广告商业报价或奖品的电子邮件[Halevi 2013]。相比之下，一项在大学环境中对10000多名人员受试者进行的大规模网络钓鱼实验没有发现网络钓鱼易感性存在显著的性别相关模式[Mohebzada 2012]。在最初的网络钓鱼攻击中，涉及欺骗电子邮件，将用户导航到网站以更改学生口令，男性和女性同样受到欺骗；在攻击的第二阶段，通过调查获取个人信息，近61%的受害者是男性，而女性仅占39%。这些研究使用了不同的方法论方法，从调查研究到实证研究，在经验、学习过程或工作职位等混杂变量的控制程度上存在差异。

4.1.2年龄

总的来说，几项研究发现年龄与网络钓鱼易感性之间存在显著的负相关关系（例如，Sheng 2010，Jagatic 2007）。Sheng及其同事进行的角色扮演调查研究发现，18岁至25岁的参与者比其他年龄组（26-35岁、36-45岁、46-55岁和56岁以上）更容易受到网络钓鱼的影响[Seng 2010]。印第安纳大学对487名学生进行的网络钓鱼实验获得了72%的总体成功率[Jagatic 2007]；年龄在18至24岁之间，年轻学生的易感性略高。（请注意，这个年龄范围完全属于Sheng及其同事定义的最年轻年龄类别[Sheng 2010]。）另一方面，Mohebzada的网络钓鱼实验没有发现任何证据表明不同本科水平（大一、大二、大三、大四）学生的网络钓鱼易感性存在与年龄相关的模式[Mohebzada 2012]；同样，这项研究中的年龄范围比Sheng及其同事的研究更具限制性[Seng 2010]。此外，Dhamija及其同事发现，在大学环境中，学生、教师和工作人员之间的网络钓鱼易感性没有显著差异[Damija 2006]。

在描述他们的结果与其他人（如Sheng及其同事）的结果之间的矛盾时，Mohebzada及其同事观察到，一个可能的原因是他们的研究模仿了现实生活中的网络钓鱼攻击，比调查更现实[Mohebzada 2012]。这可能是真的，但正如上文所指出的，在最年轻的类别（18-24岁）中缺乏显著的趋势并没有减少年龄相关趋势的可能存在，这种趋势范围在18岁至56岁以上。Dhamija及其同事[Damija 2006]没有获得显著的结果，这确实让人们对年龄相关性的存在产生了一些额外的怀疑。其他因素可能是这种关系的根源，例如经验量（在第4.3节“人为因素研究”中进行了讨论）。

4.1.3人格特征

一些研究人员认为，性格特征可能在社会工程利用的易感性中发挥作用[Alseadoon 2012，Parrish 2009，Halevi 2013]。个性差异可能会影响人们与他人互动的方式、决策方式、对工作不确定性或工作压力的反应，以及对社会工程利用的反应。

当代人格理论根据五大人格维度或特征（也称为五大人格因素）对人类进行了分类。常见的五大因素模型[Digman 1990]包括神经质、外向性、对经验的开放性、宜人性和尽责性（例如，也用于McCrae和John的工作[Mcrae 1992]以及Weiner和Greene[Weiner 2008]），其定义如下。

• 神经质是指容易经历不愉快情绪的倾向，如愤怒、焦虑、抑郁或脆弱。这有时被称为情绪不稳定，神经质得分高的人情绪反应迟钝，容易受到压力的影响（缺乏有效应对压力的能力，他们清晰思考和做出决定的能力可能会减弱）。相比之下，神经质得分低的人往往更冷静，情绪稳定，没有持续的负面情绪。一项关于网络钓鱼易感性和五大人格特征的研究发现，神经质与回复网络钓鱼电子邮件计划的相关性最高[Halevi 2013]。

• 外向是寻求他人陪伴的倾向；外向的人喜欢与人交往，被认为是热情的、注重行动的、充满活力的。性格外向的人往往寻求刺激，并倾向于自信。内向者的社交参与度和精力水平低于外向者：他们往往看起来安静、低调、深思熟虑，较少参与社交世界。内向者不一定害羞或反社会；相反，他们比外向者更独立于自己的社交世界。Parrish及其同事[Parrish 2009]认为，外向性会导致网络钓鱼漏洞增加，他们引用了实证研究，该研究发现，高度外向性与人们放弃敏感信息（以获得社会群体的接受）有关。

• 开放性与求知欲、创造力、对不同想法和信仰的欣赏、尝试新事物的意愿以及在不焦虑的情况下寻求新体验的愿望有关。开放性得分低的人往往有更传统的兴趣，他们往往保守，抗拒改变。Parrish及其同事推测，由于开放性与技术经验和计算机熟练程度有关，开放性得分高的人可能不太容易受到社会工程攻击；另一方面，他们认为，对所有经历的普遍开放和幻想的倾向可能会影响罪犯的生活[Parrish 2009]。两项实证研究倾向于支持开放性有助于社会工程易感性的假设。一项针对200名沙特阿拉伯学生的研究发现，开放性人格特质得分高的人与对网络钓鱼电子邮件攻击的反应之间存在显著关系[Alseadoon 2012]。另一项研究发现，开放性人格因素得分高的人在脸书上发布更多信息，使用不那么严格的隐私设置[Halevi 2013]。

• 宜人是一种富有同情心和合作的倾向，而不是对他人持怀疑和敌对态度。这种特质反映了个体对社会和谐普遍关注的差异。随和的人重视与他人相处，通常体贴、友好、慷慨、乐于助人，并愿意与他人妥协。随和的人对人性也有乐观的看法。随和与良好的团队合作能力呈正相关，但与领导能力呈负相关。相比之下，一个宜人性得分低的人可能会把自身利益置于与他人相处之上。不太讨人喜欢的人往往疏远、不友好、不合作，他们对他人动机的怀疑可能会导致他们产生怀疑。这种特征可能是与社会工程易感性最相关的特征：似乎最容易受到网络钓鱼攻击的宜人性方面是信任、利他主义和顺从[Parrish 2009]。

• 尽责专注于自律、尽职尽责以及对标准和程序的尊重。这种特质表现出对有计划的行为的偏好，而不是自发的行为。尽责性得分高的人往往以谨慎和常识著称。尽职程度得分低的人通常更容易冲动和自发。尽职负责的人往往需要更长的时间才能做出决定；那些尽职程度低的人更有可能仓促做出决定。据推测，更高水平的尽责性将使个人更有可能遵守培训指南，而不太可能违反安全政策[Parrish 2009]。与这一观点一致的是，一项研究表明，低水平的尽责性预示着工作场所的异常行为，如违反规则或行为不负责任[Salgado 2002]。

研究人员对这五种人格特征的名称和定义以及什么样的人格清单测试可以适当地衡量它们存在一些分歧[Goldberg 1971，John 1999]。无论如何，一些证据表明，无论这些特征是什么，它们都是相互关联的【Goldberg 2006】。

需要注意的是，这五种性格特征可能无法可靠地预测行为；相反，组成这些特征的方面可能比特征本身更具预测性[Paunonen 2001]。例如，Workman的一项研究调查了网络钓鱼易感性与六种人格结构之间的关系（基于Cialdini的工作[Cialdini 2001]）[Workman 2008]。如表4所示，所研究的六个因素中有五个与社会工程攻击的易感性具有显著相关性[Workman 2008]。例如，那些更具规范承诺（倾向于对他人形成隐含义务）、更信任他人、更服从权威的人更有可能屈服于社会工程攻击。阻抗因子也与易感性呈正相关，但没有统计学意义。[6]

表2：工人研究的社会工程因素

因素	概念	示例
规范性承诺*	C1：作为义务的互惠	免费样品
持续承诺*	C2：认知投资和感知一致性	把钱花在亏损的企业上
情感承诺*	C3：作为行为建模和一致性的社会“证明”	模仿名人
信任*	C4：喜好度和可信度	信任体育人物
恐惧*	C5：服从权威并默许惩罚或负面后果的威胁	服从命令避免羞辱
阻抗	C6：恐惧和冲动	对稀缺物品给予更大的价值

*该因素与社会工程攻击易感性显著相关[Workman 2008]。

4.1.4文化

我们发现，很少有发表的研究涉及社会工程利用易感性方面可能存在的文化差异。我们发现的UIT社会工程研究中，没有一项专门针对特定文化变量进行比较研究。在非西方文化中进行的少数实验与西方国家报道的实验进行比较，充其量只能得出初步结论。这些结果表明，至少在这些研究中使用的西方和中东人群之间，网络钓鱼的易感性几乎没有差异。Mohebzada及其同事[Mohebzada 2012]进行的实验在中东进行，参与者来自阿拉伯联合酋长国的沙迦美国大学。Mohebzada及其同事报告称，在10917名学生、教职员工的样本中，8.74%的人落入了最初的网络钓鱼攻击。研究发现，学生比教职员工更容易受到网络钓鱼攻击，针对网络钓鱼企图的警告通知基本上被忽视了。与当前文献中报道的其他发现一致[Damija 2006；Downs 20062007；Sheng 2007]，用户很难识别网络钓鱼计划。同样，在沙特阿拉伯进行的一项针对200名学生的研究报告称，网络钓鱼电子邮件的回复率为7%[Alseadoon 2012]。这些关于网络钓鱼易感性的统计数据与已发表的各种研究结果一致，这些研究报告称，西方文化中的回复率在3%至11%之间[Damija 2006，Jakobsson 2006，Knight 2004，Mohebzada 2012]。

4.1.5总结

总之，年龄、性别或性格等人口统计学因素对网络钓鱼易感性的个体差异这一概念的支持有限，可能的文化差异也没有得到充分研究。由于某些年龄效应研究中可能存在方法学问题，年龄在社会工程易感性中的作用可能与经验量等相关因素混淆。需要进一步的研究来解决一些方法上的不确定性和迄今为止发表的研究结果中的明显矛盾。虽然对人格特征的研究有限，但有一些证据表明，使用人格档案来识别那些落入社会工程骗局风险更高的人是可能的。目前还没有关于可能的文化差异的正式研究，但迄今为止的研究没有表明对社会工程诈骗的反应率存在任何文化差异。尽管社会工程易感性和各种人口统计因素之间缺乏强有力的关系，但我们相信，随着案例研究被制成表格并输入UIT数据库，继续记录人口统计信息将是有用的。除了跟踪此处所述的个人特征外，还应记录个人在组织中的角色（如职位）和组织的行业部门。

[1] 这些都是人与人之间的因素，这些因素决定了人是谁以及他们过去的经历。

[2] 人格特征是一个人性格的稳定、固有方面或特征（如神经质、宜人性）。

[3] 文化因素包括个人态度的特点和个人所采用的体验生活的方式。

[4] 将组织因素的分类与第1阶段[CERT 2013]报告中确定的类别进行比较：数据流、工作设置、工作规划和控制以及员工准备情况。如前所述，我们确定这种分类可能不容易应用于UIT事件，因此当前的组织因素列表使用了不同的类别。然而，原始集合中的每个工作场所因素仍然出现在我们的列表中，尽管嵌入了其他因素的定义或描述中。我们相信，修订后的集合将更适合指导将事故数据编码到UIT数据库中。

[5] 在最初的研究中，员工的准备因素（如注意力不集中、压力、药物副作用）列在组织因素下。在上述方法中，我们确定这些因素更自然地属于人为因素类别。

[6] Workman和其他衍生作品研究的人格结构为本报告稍后描述的社会工程策略分类法的发展提供了信息（见第6.5节）。

原文始发于微信公众号（老烦的草根安全观）：无意的内部威胁：社会工程-4