科学家利用行为科学和经济学打击网络犯罪

资料来源:sёbastien·蒂博

我们已经有太多的计算机科学家在研究网络安全，但是没有足够的心理学家和经济学家。

不管你如何解释网络犯罪，安吉拉·萨斯说，“受害者总是对客户服务感到愤怒。”

Sasse正在谈论勒索软件:黑客使用一个勒索程序来加密用户的计算机数据，然后向用户要钱来换取一个可以解锁的数字密钥。受害者将收到详细的付款程序和关键使用指南。如果他们遇到技术困难，对方将提供24小时电话服务。

"这比他们从网络提供商那里得到的服务要好."心理学家、计算机科学家、伦敦大学学院网络安全研究所所长萨斯说。她提到，当前的网络安全挑战很简单:“攻击者远远领先于防御者，这让我非常担心。”

现在，黑客早已不仅仅是青少年和大学生寻求刺激:他们变得更有经验。“激进黑客”组织已经开始攻击高调的*和名人。统计显示，网络犯罪每年给全球经济造成3750-5750亿美元的损失。

越来越多的研究人员和安全专家意识到，仅靠建造更高、更强的防火墙是无法应对挑战的。他们还需要找出防火墙内部的问题，例如薄弱的密码或点击可疑的电子邮件，这些问题与大约1/4的网络安全故障有关。他们还必须追踪支持黑客的地下经济，并找出弱点进行反击。

“我们已经有太多的计算机科学家在研究网络安全，但心理学家和经济学家还不够。”美国国土安全部网络安全研究主任道格拉斯·莫恩说。

但这正在迅速变化。在过去的五年里，国土安全部等机构增加了对网络安全人员的资助。今年2月，美国总统奥巴马提议在2017财年增加190亿美元的网络安全资金，并首次将人为因素研究作为优先事项。

其他国家也在采取行动。在英国，萨斯的研究所收到了380万英镑，用于研究该国企业、*和其他机构的网络安全。"将人为因素引入网络安全是最前沿的."她说。

人类的弱点

想象一下，在一个繁忙的工作日，你收到一封看似合法的电子邮件:公司的计算机安全小组发现了一个安全漏洞，每个人都必须立即对计算机进行病毒扫描。"人们倾向于直接点击接收，而不是仔细阅读。"巴斯大学的社会心理学家亚当·乔森说。然而，这是一封假邮件。一旦收到，恶意软件将进入公司网络，窃取密码和其他数据。

看来黑客比防御机构更能捕捉用户的心理。在这种情况下，攻击的成功取决于人们对权威的遵从，在忙碌和焦虑的情况下，人们的怀疑能力也会降低。到目前为止，使用密码是证明用户身份的最简单也是最常见的方法。2014年，Sasse和他的同事发现，国家标准和技术研究所(NIST)平均每天报告23次“认证事件”，包括重复的计算机登录和15分钟不使用后的自动锁定。这样的要求消耗了很多员工的时间和精力。

在另一项密码研究中，研究小组记录了大型跨国组织的员工逃避官方安全要求的方式，包括编写密码或使用未加密的闪存驱动器传输文件。这实际上在工作流中创建了一个“安全阴影”。"大多数人的目标不是安全，而是完成工作。"英国谷歌研究公司的安全研究专家本·劳里说，“如果他们需要跳过太多的障碍，他们会说，‘见鬼去吧’。”

研究人员已经找到许多方法来解决员工和安全经理之间的僵局。由罗莉·克兰诺领导的美国卡内基梅隆大学互联网隐私和安全实验室正在寻找让密码政策更加人性化的方法。

“六七年前，我们开始了这项工作。卡内基梅隆大学随后将密码要求复杂化了。”克兰诺现在是联邦商业委员会的总工程师，他说。该校表示，它正试图统一NIST的标准密码规范。然而，克兰诺调查发现，这些规范主要是基于理论推测。它们不是基于数据的，因为没有组织愿意透露用户的密码，“所以我们说，‘这是一个研究挑战’。”

是时候做出改变了

克兰诺团队测试了一系列密码策略。他们要求卡内基梅隆大学的470名计算机用户根据不同的密码长度和特殊的符号要求生成新密码。然后，他们测试了密码的效果、制作密码的难度、记忆密码的难度以及系统给用户带来的麻烦。"用户可以更容易地处理密码长度而不是复杂性."克兰诺说。

此外，如果研究人员破解了一个密码，他们通常可以在很短的时间内猜出用户的新密码，因为用户经常*仅在原始密码的基础上更改密码，以进行微小的更改。例如，用户将“secret10jan”更改为“secret10mar”。"同样，如果黑客能猜出你的密码一次，他们可能很容易猜出新密码."

此外，强迫用户定期更改密码“实际上弊大于利”与其强迫用户更改密码，不如让用户使用更长的密码，并强迫他们使用一些非字母字符。为了提高用户的密码安全性，教育比强制要好。

克兰诺指出:“如果用户知道他们必须定期更改密码，他们通常不会在一开始就设置一个安全性很强的密码，并且可能会写下来。”如果要求用户设置长期密码，他们可能会设置一个高度安全且难以记忆的密码。如果要求他们设置只能使用3个月的密码，他们更有可能设置相对简单因而容易破解的密码。

尽管密码政策中存在许多不合理之处，但萨斯说，“去年，英国*通信总部(GCHQ)修改密码的提议是一个里程碑”。GCHQ发布了一份文件，称其将放弃长期做法，如定期更换密码，并敦促管理人员让用户尽可能遵守其规则。

另一方面，如果研究能够找到用户的行为弱点，它也可能找到攻击者的弱点。

了解你的对手

圣迭戈加利福尼亚大学的计算科学家斯特凡·萨维奇和他的同事们建造了一个计算机集群来扮演所谓的“最容易受骗的消费者”这些机器接收反垃圾邮件公司收集的一些垃圾邮件，并点击它们能找到的每个链接。研究人员关注非法药物、假手表和手袋以及盗版软件——这是最常见的垃圾广告。

然后，他们使用专门设计的软件来追踪垃圾邮件供应网络。如果非法交易者在这里注册域名并支付给供应商，研究人员将能够看到它。这项研究首次揭示了计算机犯罪的整个商业链，并揭示了其令人惊讶的复杂结构。

"这是奇怪的新商业想法的最终温床."萨维奇说，“这是你可以想象的小企业资本的纯粹形式，因为没有规则。”此外，尽管对垃圾邮件的回应率很低，但大规模的垃圾邮件每年可以产生数百万英镑的利润。然而，垃圾邮件发送者本身也容易受到攻击，从而导致发送垃圾邮件的高成本。

“你不会自己发送垃圾邮件。”萨维奇说，他寻求专业人士，“他们收取购买价格的30%至40%。”然而，这封垃圾邮件的回复率远远低于合法直接投资机构公布的2.15%的平均回复率。

不幸的是，追踪这些地下经济并不能帮助执法机构逮捕罪犯，他们的真实身份隐藏在假名后面。此外，这些犯罪网络的基础设施极具弹性。

然而，科学家也揭示了一些更有效打击地下经济的方法。萨维奇和他的同事发现，这一链条中最薄弱的环节是银行将信用卡支付的费用转移到利润中心的过程。一些规定指出，银行必须保证信贷消费是合法的，并有义务在客户投诉时为他们追回资金。没有一家银行愿意冒这样的风险。"百分之九十五的垃圾邮件只来自三家银行."它们位于阿塞拜疆、拉脱维亚和圣基茨和尼维斯。

这也不是永久的措施。因为垃圾邮件发送者使用的银行正逐渐脱离西方公司和执法机构的控制。但是卡内基梅隆大学的计算机工程师尼古拉斯·克里斯汀说，在网络世界里，每笔交易都有数字痕迹，尤其是在需要支付的地方。"这对经济学家非常有用。"

“我们正在努力。”然而，克里斯汀说，数据流可以帮助计算机科学家、社会学家和执法机构一起行动。(张张)

中国科学新闻(2016-06-14，第三版国际)

阅读更多

《自然》杂志的相关报道