社会工程威胁社会:以剑桥分析为例
作者贾斯汀谢尔曼,分析科学实验室(受美国国防部和国家安全局支持)网络政策研究员,正在杜克大学攻读计算机科学和政治科学,专注于网络安全,战争和治理。
战略桥(2018.7.18)
https://www.realcleardefense.com/articles/2018/07/18/social_engineering_as_a_threat_to_societies_the_cambridge_analytica_case_113620.html
社会工程主要指对人类进行心理干预,使人们以某种方式行事或泄露机密信息,这是一种利用我们的认知偏见和基本直觉的技术,用于信息收集,欺诈或系统访问,有时被称为“人类黑客”。
社会工程是全世界的黑客最受欢迎的工具,历史上它曾以面对面的形式,或通过电话、印刷书写来实现,但现在它可以通过社交媒体和其他互联网平台在社会大规模实践。平台设计者可能并不打算将用户的数据用于经济剥削和政治操纵,但最近有关剑桥分析使用Facebook数据的披露,揭示了这种全球威胁的征兆。
安全背景
员工行为对组织网络安全产生严重影响,这意味着社会工程也可以做到这一点。我们在网络安全方面教育员工的方式,从根本上影响着网络安全本身。利用文化概念可以帮助组织的不同部门努力实现有效的信息安全,就像设计人类认知偏见的教育一样。这些原则属于信息安全文化的范畴,定义为有助于保护组织信息的整体行为模式。
安全文化的一部分需要对社会工程的认识。了解黑客试图积极操纵我们的行为对于日常风险管理和网络“本能”的发展至关重要。当员工不认为自己是这项工作的一部分时,正如Andersson和Reimers所阐述的那样,他们会以忽视安全。
认知利用
社会工程的技术原理基于人类决策中被称为“认知偏差”的特性。这些偏差有时被称为“人类硬件中的缺陷”。尽管它们在进化意义上是有利的(可以更快速的处理信息),但它们也使我们对社交工程处于不设防的状态。
以代表性偏向(representativeness)为例:我们倾向于把长的相似的东西归为一类。每次我们看到一辆车,我们都不需要记住具体的颜色或品牌,大脑看着这个物体,看到它的四个轮子,运动和一般的形状,然后说“汽车”。这是社交工程师在网络领域可以利用的一种偏见。例如我们可能会收到很多来自苹果或亚马逊的电子邮件,但我们不一定会对一个带有相同标志的假邮件看得太仔细;我们的大脑只会说“亚马逊电子邮件”,然后点击链接输入我们信用卡号码的。
如上所述的攻击用于窃取员工的机密信息,但它们不是认知利用的唯一机制。例如一些社会工程师可能会打电话给公司,并通过电话使用操纵。事实证明这也非常有效; 没有得到适当训练来对抗这种攻击的人将不会意识到发生了什么。
影响原则
社会工程在很大程度上依赖于罗伯特·B·西奥迪尼(Robert Cialdini)劝说心理学中确立的六种影响原则:
1.互惠:人们倾向于回报,因此市场营销中的免费样本普遍存在。
2.信守承诺:如果人们致力于一个想法或目标(口头或书面),他们更有可能兑现承诺,因为它现在与他们的自我形象一致。即使最初的激励或动机已经被删除,人们仍将继续遵守协议。
3.社会证明:人们会做他们看到别人做的事情。
4.权威:人们倾向于服从权威人物,即使他们被要求做出令人反感的行为。
5.喜欢:人们很容易被别喜欢的人说服。
6.稀缺:感知到的稀缺性将产生需求。例如零售商说“限时优惠”。
其他社会工程和操纵的其他技术包括启发、微信息和间接信息收集;框架,将信息强加于特定的语境;装腔作势,编造故事和问问题的借口(也称为情感定位);通过看似随机的互动来获取信息。煤气灯是社会工程师特别感兴趣的另一种技术:这种技术包括误导、持续否认和欺骗,以迷惑目标并破坏他们的现实感。(注:煤气灯被很多人视为心理虐待)
剑桥分析
自美国最近一次总统大选以来,许多新闻机构都讨论了社会工程被用作影响力运动的一部分的可能性,以及它如何在2016年大选期间影响选民。
有关剑桥分析公司及其使用FACEBOOK用户数据的爆料,不仅引发了有关数据隐私和在线同意的重要问题;他们还展示了企业可以轻松地设计和执行针对整个社会的社交工程活动。
我们已经生活在一个无处不在的微广告世界里。有些公司不只是宣传他们的产品,而是将其用于情节本身。社交媒体公司从许多不同的网站购买我们的信息,为我们想要的产品(无论我们自己是否知道)提供定制广告。许多在线零售公司甚至根据我们的身份调整价格,这在很大程度上已经触及法律问题,即价格歧视。
这都归结为掌握你的目标和障碍,并以最佳的路径和方式实现诱导你实现目标,对于任何类型的影响力活动都是如此:这就是为什么剑桥分析证明了网络安全意义上的社会工程不仅仅是对客户信息,商业运营或军事机密的威胁。社会工程是对政治稳定和自由独立话语的威胁。目前在社交媒体平台上使用的微广告技术存在太多道德问题,而政治操纵和虚假信息的传播大大放大了现有的道德问题。
全球威胁
社会工程是否有可能像2011年的阿拉伯之春一样推动局部战争或起义?外国对手是否可以欺骗一个民族国家的公民投票反对他们的国家利益?如果领导者想要操纵自己的公民,这也是可能的吗?所有这些问题的答案都是肯定的。通过普遍存在的数字平台进行社会工程是一个严重威胁。
民主的核心是权力来自人民,为了人民。公民可以说出自己的想法,并进行开放和自由的对话,对政府官员、企业和公民的问责制也是同样重要的原则。然而通过大量的数据收集而没有问责,这将使得民主原则处于危险之中。
你想让候选人A当选吗?找出哪些最容易受到政治信仰A影响的人群,然后以错误和虚假信息为目标,将他们推向假定方向。利用“确认偏见”并利用“认知失调”来鼓励政治极端主义,然后利用“框架”和“喜欢”的原则来加强志同道合的群体中的这些想法。
这就是剑桥分析公司和俄罗斯在2016年美国总统大选中的干预行动,利用诸如确认偏见之类的认知缺陷被用来鼓励某些投票行为。
当然,并非所有的虚假信息或政治操纵都是别人的错。并非所有的社交媒体偏见都是平台的错。正如Kartan Hosanagar在2016年的《连线》杂志上所指出的,Facebook的回音室是我们现有偏见的症状。Hosanagar解释说:“我们刻意选择那些能将我们推向回音室的行为。”“首先,我们只与志同道合的人交往,创造出孤立的世界。”其次,即使新闻提要算法显示横切内容(cross-cutting content),我们也不会单击它。事实上Facebook是在遵循对内容的需求,它重视自我验证、验证和建立信任网络。可以说,他们只是在做客户想做的事情。
因此尽管在数据收集和广告实践方面肯定存在道德问题需要解决。但社会工程对社会的威胁不是来自Facebook或Google本身的组织,剑桥Analytica丑闻和美国对俄罗斯互联网研究机构的起诉证明,真正的威胁是恶意行为者如何利用这些平台。
对于在互联网上和通过互联网发生的所有伤害,该平台还帮助政治运动,为其他受压迫的声音提供平台,并授权对腐败政权进行检查。但是大规模社会工程破坏了所有这些积极影响。它利用人类的信任,将错误和虚假的信息注入合法的公共话语,歪曲对现实的看法,可以将社会推向边缘。真理比以往任何时候都受到质疑。合法的媒体报道时间和资源被剥夺了,而是用于反驳显而易见的虚假消息和声明。政治两极分化似乎在增长,这是两极分化或极端媒体报道极端或两者的结果。
社交媒体上的新闻文章的共享和重新分享,以及以不负责任,秘密的方式植入微广告,请愿和政治信息,打破了对政治制度的信任机制,使政治失真成为可能。可能导致极端主义政党的当选,如匈牙利和奥地利所发生的那样,或者形成挑战政治和经济结构的公民投票结果(英国脱欧等)。我们可以想象许多其他尚未实现的扭曲结果。
在网络安全意义上,社会工程对全球社会都具有直接影响,特别是私营机构已经通过大规模数据收集实现了这一点,对政治稳定的威胁是需要解决的。
期 待
抵制社会工程的关键是意识,这种意识方法有两个方面:首先我们需要制定战略和良好做法来对抗社会工程本身; 第二我们需要制定可持续的政策来减轻其影响。
在网络安全环境中,缓解社交工程并不像缓解软件和硬件威胁那么容易。在软件方面,我们可以购买入侵检测系统,防火墙,防病毒程序和其他解决方案来维护周边安全性。强大的网络安全产品和技术随时待命,但攻击者肯定会从某个方面突破。
谈到社会工程,我们不能只是将软件程序附加到自己或员工身上以保持安全。正如Christopher Hadnagy在他的著作《社会工程,人类黑客艺术》一书中指出的那样,抵制社会工程需要一种全面的,以人为本的方法:
● 学习识别社会工程攻击:自我保护的基础是要了解操纵的迹象,了解点击恶意链接的后果。主动意识对于动态防御也是必不可少的,因此除了培训社会工程的手段之外,员工应该随时了解最新的攻击者及其青睐的技术。
● 创建个人安全意识计划:大多数公司的安全意识处于“失败”阶段,主要是因为安全意识对员工而言是与个人无关的。培训师通常只讨论恶意电子邮件,而不是从受害者和攻击者的计算机上显示网络钓鱼攻击的样子。应该是让员工不仅在需求背景下,而且在个人和专业相关的层面上考虑安全性。
● 了解社会工程师的信息价值观:人类有内在的愿望来帮助那些需要帮助的人,但这也是社会工程师操纵目标使其公开敏感信息的方式。因此应当使信息安全与具体场景相关联。对于那些从事会计工作的人来说,可以教育他们保密和信用的重要性。对于那些从事商业运营的人,可以从风险和利润的背景下强调数据的敏感性。通过提高信息价值观,员工将更有动力保护信息。
● 保持软件更新:通过互联网信号,云服务,软件和硬件工具,物联网设备和其他数字技术的交互,黑客在给定系统中有许多可能的攻击路径。在许多情况下,拥有防火墙,入侵检测系统和电子邮件过滤是不够的; 修补过时且易受攻击的软件至关重要。对于更强大的技术,也应该放弃安全性较低的技术。
● 制定预案:通过潜在的社会工程方案培训和引导员工非常重要。最好通过模拟和游戏化来完成这一训练,并通过使用个人相关的框架来辅助之。
● 从社会工程审计中学习:聘请安全专业人员对漏洞进行“渗透测试”,可以帮助提高安全性并提供真正的攻击感。
安全意识不是每年一次40,60或90分钟的计划
它是关于标准创建和持续使用的思维方式
上述观点虽然侧重于网络安全文化,但可以在政治背景下转移到社会工程。安全是整体的,文化的,而不是具体的场景。这应该与我们通过在线平台打击社会工程的方法相同。
我们需要将社会工程作为更广泛的全球网络教育的一部分。为了在社会范围内打击社会工程,我们必须首先教育现代通信平台(例如社交媒体)的脆弱性; 他们可能被用于操纵的原因(例如定制广告,剑桥分析等); 以及操纵的方式(例如假新闻)。
结 论
信息时代,确定什么是真实的以及操纵我们的信念意味着什么是很困难的。Facebook等在线平台使恶意行为者能够以相对较低的成本,大规模地对用户进行社会工程。整个社会(而不仅仅是个人或群体)都可能是脆弱的。
网络安全培训通常会将批判性思维作为抵御此类社会工程威胁的必要条件,但我们必须先了解问题,然后才能加强识别和缓解能力。这意味着我们必须认识到传播信息的偏见,例如我们共同思想的泡沫,用克里斯托弗·哈德纳吉来解释 ; 我们所读到的信息实际上可能并不真实。因此打破回声室,脱离网络,与其他社区互动也是必不可少的。我们可能在政治上确实对其他人有意见,但这不意味着恶意行为者可以肆意策动我们的信仰。