「注意」で対抗する微妙な脅威！

「」の症例が増加しているという記事を少し前に読みました。ヴィッシング「: オンライン銀行などの情報システムの管理者を装った詐欺師 (または違法な目的のために特別に設定された留守番電話) による、見せかけの電話を通じて行われる資格情報の盗難。

このニュース自体がセンセーションを巻き起こした。なぜなら、被害者たちは退職者で低収入であることが多く、通話中に盗まれたユーザーコードとパスワードを所持していた詐欺師によって当座預金口座が使い果たされていることに気づいたからである。 しかし、同じ記事がAbf -金融銀行仲裁人 顧客と信用機関との間の紛争の解決のために銀行に頼ることができるが、銀行は顧客をだまされやすいと非難するだろう。

間違いなく、 社会工学 - 米国の専門家クリストファー・ハドナジーは次のように定義しています。 「人に影響を与えて、必ずしもその人の最善の利益にならない行動をとるよう誘導する傾向のある行為」 - 現在の危険な脅威です。 特に次の XNUMX つの側面によって好まれています。情報技術とオンライン サービスの普及です。 一般的な技術的文盲の状態と、個人データをオンラインで共有する軽率さ。 そして最後に、ソフトウェア ユーザー インターフェイスの一般的な非包括性が、高齢者、子供、障害者にとって深刻な技術的障壁となっています。

しかし一方で、これらは新しい脅威ではないと言わなければなりません。たとえば、自称ENEL職員による高齢者施設での詐欺も、同じ操作手法の結果です。 そして、ハドナジー自身も、著書『ソーシャル・エンジニアリング:人間ハッキングの科学』の中で、ソーシャル・エンジニアリング攻撃の最初の歴史的資料として、ヤコブが変装して兄エサウになりすまし、盲目で年老いた父親イサクを騙して祝福を奪うという創世記27章の一節を挙げ、ソーシャル・エンジニアリングが世界と同じくらい古い技術であると指摘している。

しかし、特に興味深い XNUMX つの側面、つまり今日のソーシャル エンジニアリング攻撃の何が新しくて何が古いのかを見てみましょう。

斬新な側面は最先端技術の成果です：コンピューター、スマートフォン、タブレットは並行世界を生み出し、社会活動は仮想世界に移行しました。 新たな攻撃ベクトルが出現し、攻撃手順が進化しました。 さて、すでに述べたことに加えて、 ヴィッシング、「フィッシング」、つまり、被害者の個人情報を盗むか、クライアントをコンピュータ ウイルスに感染させることを目的とした、詐欺メールで実行される攻撃が誕生しました。そして、最初のものと同等ですが、被害者の携帯電話の SMS を介して実行される「スミッシング」が生まれました。

悪用された脆弱性は古い：私たちの脳の起きている時間の大部分を特徴づけ、認知プロセスの節約という理由で生理学的に実行される、リラックス、自己存在感の低下という自然なプロセス。 私たちが危険とは考えていない通常の状況にいるとき、心は自動的に「エコモード」に入り、同様のケースで得られた経験の結果である、あらかじめパッケージ化された反応に従って刺激に反応します。本質的に、精神エネルギーは代わりに、危険であると認識される異常な状況に陥ったときのために保存されており、その場合は最大の注意とエネルギーが必要になります-「適応モード」-今回はあらかじめパッケージ化されておらず、特定の状況に適応した行動に従って脅威に対応します。

これはすべて詐欺師、ソーシャル エンジニアの技です。異常、危険、異常とは認識されない情報コンテキストを被害者に提示する能力です。 それどころか、広く生きた経験や過去に獲得した概念との類似点を思い出させます。 そして、それに対する行動反応は「自動的」であり、気付かない可能性があります。

この側面に関して、社会心理学者は何ページもの考察を書き、何千もの研究を行ってきました。 特にアメリカの心理学者エレン・ランガーは、参考文献ではコピー機実験として知られる有名な実験室の結果を提示し(Langer 1978)、そこで彼女は「反射的行動の無意味さ」について語った。 そして彼は、口頭でも書面でも社会的相互作用において、人間の心は通常、要求の本質的な意味とはまったく無関係に反射的な行動を起こすことを実証した。 そして、コミュニケーションパラダイムの形式的で構造的な対応にのみリンクされています。

より正確に言えば、科学者は、私たちが落ち着いて思考に没頭しているとき、その文の形式的で文体的な構造を単純に分析することによって、行われた要求に応答することを示しました。これが私たちにとって「ありきたり」に見え、不安を感じない場合、私たちは黙認の状態に入り、実際には説得への、そして残念ながら操作への扉を大きく開いてしまいます。

さて、「注意を払わなければならない」とか「だまされやすいものであってはいけない」と叫ぶことだけに限定するのはあまりにも単純で明白でしょう。 これを言う人は上記の精神メカニズムを考慮していません。 代わりになすべきことは、少なくとも XNUMX つの主要な基礎に基づいて推進される明確な社会政策と安全保障政策を導入することです。

まず第一に、人口の大部分の特徴である「デジタル格差」の解消を加速させ、特にオンラインの機密性の教育をはじめ、自動的な行動の安全性を誘導する対象を絞った反復的な情報キャンペーンを通じて、撤廃を推進します。

さらに、対話者の信頼性の低下やデバイスの侵害といった要素が発生した場合にユーザーの注意を引くテクノロジーやソフトウェア アプリケーションに投資します。

最後に、社会的関係において最も脆弱なユーザーであってもテクノロジーに安全にアクセスできる、より包括的なユーザー インターフェイスを開発するよう業界と IT サービス市場に奨励します。

_{もっと知ることができます。}

_{https://www.repubblica.it/economia/2021/07/26/news/sembra_la_banca_ma_e_un_truffatore_occhio_al_vishing_c_e_chi_ha_perso_migliaia_di_euro-311160470/}

_{https://www.social-engineer.org/framework/general-discussion/social-engineering-defined/}

_{https://www.researchgate.net/publication/232505985_The_mindlessness_of_ostensibly_thoughtful_action_The_role_of_placebic_information_in_interpersonal_interaction}

_{https://www.difesaonline.it/evidenza/cyber/diversity-inclusion-la-cyber-tutela-delle-fasce-deboli} 

_{速い思考と遅い思考 - ダニエル・カーネマン | オスカー・モンダドリ}

_{写真：ウェブ}