yangleader的个人博客分享 http://blog.sciencenet.cn/u/yangleader 教授,博士生导师,北邮信息安全中心主任

博文

信息安全心理学(8):动机诱惑 精选

已有 12247 次阅读 2017-9-24 11:21 |个人分类:爽玩人生|系统分类:论文交流

信息安全心理学(社会工程学原理)(α8

------动机诱惑

杨义先,钮心忻

北京邮电大学信息安全中心

公共大数据国家重点实验室

摘要:所有信息安全问题,全都归罪于人!可惜,在过去数十年里,全球信息安全专家们,却几乎把“人”给忘了,都主要埋头于技术对抗。反而是黑客们,常常利用所谓的“社会工程学”,来攻击“人”;并以此为突破口,结合各种技术和非技术手段,把用户和红客打得落花流水。

  更具体地说,至今全世界都片面地,把网络看成由硬件和软件组成的“冷血”系统,认为可以通过不断的软件升级、硬件加固等技术办法,来保障信息安全;但却忽略了那个最重要、最薄弱的关键环节,即,“热血”的“人”!

其实,完整地看,只有将软件、硬件和人,三者结合起来考虑,才能形成一个闭环;而只有保证了这个闭环的整体安全后,才能真正建成有效的安全保障体系。其中,人既可以是最坚强的,也可以是最脆弱的。更明白地说,硬件和软件其实是没有“天敌”的,只要不断地“水涨船高”,总能够解决已有的软硬件安全问题;但是,“人”却是有“天敌”的。所以,赢人者,赢天下;胜人者,胜世界!

在本系列文章中,我们将试图创立《信息安全心理学》,也可称为《黑客心理学》(它也是《安全通论》([2])的第2个副产品。《安全通论》的第1个副产品,便是正在畅销的《安全简史》([1])一书,欢迎大家踊跃购买哟),并以此弥补全球信息安全界的上述缺陷。《信息安全心理学》的读者对象,将主要是信息安全界人士,当然也包括那些关心信息安全的普通老百姓;所以,我们将尽量避免使用过于专业的心理学术语和概念,那怕牺牲一定的心理学严谨性。

理想的《信息安全心理学》,将以信息安全为体,以心理学为用;即,从信息安全应用角度出发,在心理学的浩瀚海洋中打捞出安全“珍珠”,然后,把它们串成“项链”。《信息安全心理学》(或称为《黑客心理学》)与《社会工程学原理》其实是一体之两面;前者是从红客角度观察的结果,后者则是从黑客角度观察的结果。换句话说,黑客的所有社会工程学攻击手段,都将源于“项链”中某些“珍珠”的拼接。

必须坦承,由于才疏学浅,我们对心理学几乎一窍不通!所以,为了接受更多心理学家和信息安全专家的批评和指教,我们仿照当初《安全简史》的做法,即,采用众筹模式,不时将半成熟的结果公开,以听取大家的意见,然后改进。

本文是第8部分,主要介绍黑客将如何诱惑和利用受害者的动机,特别是需求和兴趣爱好等,促使“猎物”犯错,主动进行危及自身的操作,从而帮助黑客完成攻击任务。希望有更多的人能了解黑客的这些招数,以便有效防范,促进网络安全的保障工作。

(一)前言

所有信息安全问题,全都归罪于人!这里的“人”,不是别人,而是你!因为,只有你才是内因,是根据;黑客仅仅是外因,是条件;黑客必须通过你而起作用,最终把你打得“满地找牙”。

别忘了,黑客的攻击始终都只是“非身体接触”的。换句话说,所有恶意操作,都是你自己亲手敲击键盘,而完成的;一切致命的攻击信息,也都是你自己提供的;全部有害指令,还是由你亲自发布的。那你为什么要无情地“自杀”呢?奥秘就隐藏在两个字当中。这两个字就是:动机!

用心理学的行话来说,所谓动机,就是引起和维持个人行动,并使该行动朝向某一目标的内部心理过程或内部动力。更直观地说,人的各种行动都是在动机的指引下,向着某一目标进行的;反正,人的行动是受动机调节和支配的。换句话说,如果黑客能够成功地诱惑你的动机,那就有可能诱惑你的行动,当然也包括各种“自杀”行动。

动机与行动之间的关系,并非严格的一对一,而是相当复杂,至少包括:

1)同一行动,可能有不同的动机;即各种不同的动机,可通过同一行动表现出来;比如,同样是“跑步”这一行动,其动机既可能是锻炼身体,也可能是赶时间等。另外,不同的行动,也可能有同一或相似的动机;比如,一会儿请客,一会儿送花,一会儿拍马屁等,这些众多的行动背后,可能只有一个动机:讨好情人。

2)即使是同一个人,其动机也可能多种多样。其中,有些动机占主导地位,称为主导动机;有些动机处于从属地位,称为从属动机。比如,周末在公园跑步,其主导动机可能是锻炼身体,而“赶时间”就只是从属动机了;相反,追公交车的跑步,“赶时间”就成主导动机了。

3)如果主导动机不同,如果它和从属动机的关系不同;那么,就会形成不同的动机体系。而人的行动,并非受单个动机的驱使,而是由其动机体系所推动的。

4)“行动的动机”与“行动的效果”之间的关系也很复杂,一般情况下,会出现“好动机,出好效果”;但也有“好心办坏事,或坏心办好事”的现象。其实,网友“自杀”,就是“好心办坏事”的典型代表:他敲键盘前的动机,肯定是想对自己好,不会有意伤害自己;结果却是“把钱送给了黑客”。

既然动机与行动之间有这么复杂的关系,那前面为什么又敢断定:“如果黑客能够成功地诱惑你的动机,那就有可能诱惑你的行动……”呢?这是因为,一方面,黑客对你的攻击,不只一次,而可以是任意多次;只要有一次成功,他就胜利了。另一方面,黑客不仅攻击你一个人,他可同时攻击网络中的很多人;只要有一个人中招,他也就胜利了。所以,从统计规律来说,黑客只要能成功诱惑网民的动机,那么,他就已经胜券在握了。当然,如果黑客对其攻击对象有更多的了解,他就能更准确地诱惑受害者的动机,从而掌控受害者的行动,使攻击效果更佳。

一旦你的动机被掌控后;黑客的威胁将主要体现在哪些方面呢?答案是:三个方面,即,

1)攻击的冲锋号,即,激发了你的动机后,黑客的攻击就可开始了。这是由动机的“激活功能”而定的,因为,动机是人的积极性的一个重要方面,它能推动当事者开始行动,如,玩游戏的动机产生后,就可能点击藏有“木马”的执行代码。当然,动机的性质与强度不同,对行动的激活作用也不同。

2)有助于攻击的瞄准,使得黑客的目标性更强,攻击效果更佳。这是由动机的“指向功能”而定的,因为,在动机的支配下,人的行动将指向一定的目标或对象。例如,针对你的购物动机,用虚假的商品打折,就更容易套取你的银行卡账号和口令等。当然,动机不一样,行动的方向以及追求的目标,也不一样。

3)有助于攻击的维持和改进,增加黑客攻击成功的概率。这是由动机的“维持和调整功能”而定的,因为,即使行动开始后,当事者是否会坚持该行动,同样会受动机的调节和支配。当行动有利于追求目标时,相应的动机便被强化,因而该行动就会持续下去;相反,当行动不利于所追求的目标时,相应的动机便被减弱,因而继续行动的积极性就会被降低,甚至完全放弃行动。当然,将行动的结果与原定目标进行对照,是实现动机的维持和调整功能的重要条件;所以,黑客若想延长攻击时间,就必须随时让受害者误以为“胜利在望”。

但是,动机并不是那么容易被激发或控制,它其实是相当神秘的内部心理过程,即使是当事者本人,有时也意识不到自己动机的存在。所以,黑客若想直接掌控受害者的动机,那他将一无所获,并会很快因耗尽自己的动机,而放弃攻击行动。

幸好,别人的动机是可以间接激发和控制的,因为,心理学家发现了一个重要循环关系:需求动机行动目标新需求……。即,人的行动是由动机支配的,而动机则是由需求引起的,行动又是有目标的;目标到达后,又会激发新需求等。更详细地说,这个循环关系表明:当人产生某种需求,而又未被满足时,便会产生紧张不安的心理状态;当遇到能满足此需求的目标时,这种紧张、不安的心理就会转化为动机;在动机的推动下,会进行满足需求的行动,向目标前进;当达到目标后,需求得到满足,紧张、不安的心理状态就会消除,这时,又会产生新的需求,产生新的动机,引起新的行动。如此周而复始。

总之,一句话:如果黑客能诱发受害者的某种需求,便可间接诱发其有害动机,进而让他瞄准错误的目标,然后狠狠地“捅自己一刀”。

(二)需求及其诱惑

与抽象的动机相比,需求就直观多了。而前面已经知道,黑客若能成功诱惑当事者的需求,便能间接诱惑其动机,从而可能促成其“自杀”行动;所以,下面就来重点介绍需求的诱惑问题。

所谓需求,其实就是人体内部的一种不平衡状态,它反映某种客观的要求和必要性。对黑客来说,最重要的是:需求能被人体感受得到,是人体内部或外部的稳定的要求。此处的“不平衡”,既包括生理的不平衡,也包括心理的不平衡。当需求得到满足后,这种不平衡状态就会暂时消除;当出现新的不平衡时,又会产生新的需求。换句话说,如果黑客能诱发出“不平衡”,便能诱发出需求;比如,在网上,用美女照片,就能诱发色狼的生理不平衡;对教主不恭的帖子,就能诱发忠实信徒的心理“不平衡”等。

需求,是客观存在的。需求,既可能来自当事者本人,也可能来自他的周围环境;但是,无论这些需求来自哪里,最终都会引起当事者的某种内在不平衡状态,于是便能转化为当事者的某种需求。比如,帅哥发财的愿望,既可能是自己的需求,也可能是准岳母提出的嫁女条件,但是,最终都会转化成帅哥的内在不平衡状态。换句话说,如果实在诱发不出被攻击对象本人的需求,那么,黑客也可以设法引诱其亲朋好友;然后,让身边环境的需求,逼出攻击对象的不平衡状态。此外,任何需求,都会指向能满足该需求的客体;即,需求者会追求该客体,并从中得到需求的满足。换句话说,从黑客角度来看,到底需要诱发被攻对象的何种需求,应该由“该需求指向的客体”倒逼而确定。更进一步,到底如何选定被攻对象,也应该根据黑客自己的需求,倒逼而确定。用系统论的术语来说,动机诱惑其实是“果决的”。

需求,包括自然需求和社会文化需求。前者又称生物学需求,包括饮食、运动、休息、睡眠、排泄、配偶、生育等,每个人天生就有这类需求;黑客诱惑这些需求的难度较低,而且可选攻击对象的范围最广。后者是人类特有的需求,包括劳动需求、交往需求、成就需求、求知需求、社会赞许的需求等。这些需求的诱惑难度因人而异;而且能满足这些需求所指向的客体,也各不相同;因此,黑客在诱惑当事者的这类动机时,就必须做更多的量身订制工作。

需求,还可分为物质需求与精神需求。前者指向物质产品,并以占有这些产品而获得满足;比如,利用网店打折,便可诱发物质需求,促成受害者的“扫码”行动。后者指向精神产品,也以占有某些精神产品而得到满足;用明星最新专集网站,便可诱发粉丝的精神需求,并顺便套取他们的隐私信息等。物质需求与精神需求密切相关:一方面,追求美好的物质产品时,也表现了某种精神需求(比如,既想要汽车,也想要漂亮的汽车);另一方面,精种需求的满足,又离不开一定的物质产品(比如,追求美妙的音乐,就很难离开音响设备等)。

前面已经知道:当需求未被满足时,就会激励当事人去寻找满足需求的对象,从而产生行动的动机。但是,动机的高效产生,除了需求外,还有另一个重要的东西,那就是诱因。所谓诱因,是指能激起当事者的定向行为,并能满足某种需求的外部条件或刺激物;例如,吃饭是需求,但食物的色、香、味就是诱因。更进一步,诱因还可分为正诱因和负诱因。正诱因产生积极行动,即,趋向或接近目标;而负诱因产生消极行动,即,离开或回避目标。换句话说,为了更高效地激发受害者的动机,黑客不但要诱发需求,而且,还要充分利用正诱因。

为什么这里要专门突出诱因呢?原因有三:

1)需求与诱因密切相关;

2)相比较而言,需求更内在、隐蔽,是支配行动的内部原因;诱因则是与需求相联的外界刺激物,所以,黑客更容易操作。诱因引发人的行动,并可能满足需求。若无需求,就没有行动的目标;反过来,若无行动目标或诱因,也就不会有相应的需求。实际上,人的行动,主要取决于需求与诱因的相互作用。

3)在动机中,需求、诱因与目标彼此促进:未满足的需求,促使行动,并使该行动受各种诱因的影响,最后引向某一具体目标;若目标已达到,需求已被满足,动机也就减弱了,随后,再产生新的需求,整个过程又重新开始。

上面讨论的需求,都是一般性的需求。然而,从“诱惑受害者动机”的准确性和高效性角度来看,需求越具体,就越能有的放矢。因此,有必要认真归纳各派心理学家,在需求方面的成果。

首先,分析一下心理学家莫瑞的成果。

他列举了如下20种主要需求:支配、依从、自治、侵犯、谦卑、成就、感知、表现、游玩、交往、拒绝、援助、培养、避免羞愧、防守、对抗、避免伤害、有秩序、理解、性等。如果针对这里的每种需求,都去设计相应的动机诱惑和利用方案;那么,本书将会太凌乱、太死板,因为,针对同一需求,相应的诱惑和利用方案也是千奇百怪,不可能穷举。幸好莫瑞给出了如下五种需求的分类方法。

  1)原始需求与从属需求。前者来自身体的内部过程,其中,一些是生存的必需品(如,对空气、水、食物等的需求),另一些不是生存的必需品(如,性的需求、感知的需求等)。后者,从属需求,间接来自于前者,在身体内没有特定的起源(如,支配、成就、交往的需求等),但它们关系到心理和情绪的满足。从黑客角度来看,“原始必需的需求”是否被满足,很容易判断,但却不易诱惑,因为它们都不太短缺,在网上更难制造相应的需求;“原始非必需的需求”的诱惑,比较容易;从属需求的诱惑,相对而言就难多了。

2)集中的需求和弥漫的需求。这是根据满足需求的客体数量,来区分的。集中的需求,可借助单个事物得到满足;而弥漫的需求,则需要多个事物,才能被满足。从黑客的角度来看,集中的需求,具有更好的瞄准性,即,诱发出此类需求后,就会产生比较确定的动机,从而使后续攻击对象更具体。比如,相对而言,充饥的需求,就属弥漫型,因为米、面、肉等,都是满足此需求的客体;而与充饥同属原始需求的“呼吸需求”,就属于集中型,因为,除了空气,几乎没有其它客体可供替代。

3)反应性需求和前反应需求:前者只对某些特定事物有反应,即,只有当这种事物出现时,需求才会出现。例如,只有身临险境时,才会出现逃生需求。后者不依赖于环境中的任何特定的事物。例如,饥者身边即使没食物,照样也会产生觅食的需求。对黑客来说,激发反应性需求更有把握,因为他只需复现那个“特定的事物”就行了。

4)显露的需求与潜伏的需求:前者是受到社会支持或奖励的需求,因而可以公开表现出来,如,成就需求就属显露的需求。而后者只能通过幻想、做梦、象征化等,隐秘地表现出来,如,侵犯他人的需求。对黑客来说,“激发显露的需求”事前风险更小,因为,完全可以公开进行;“激发潜伏的需求”的事后风险更小,因为,受害者通常都羞于投诉或举报等。

5)效应、过程和活动方式的需求。效应需求会引起某种效应,即直接引向某一事物,从而,黑客可以比较准确地预测受害者的行动。过程需求,是指当事者由于各种满足需求的行为、活动而获得大量的快慰(比如,望梅止渴);这是黑客的主要用武之地,因为,毕竟网络是虚拟的,网民更多的是要享受过程。活动方式的需求,是指仅仅从事某种动作或操作,而并未被满足的需求(比如,为求长生不老,而做的各种努力)。针对此类需求,黑客布设陷阱更加容易,因为他可以编造许多“能满足此需求”的行动,让受害者盲目响应,并从中下手;比如,法师“驱鬼”时,几乎可做任何事情,而不会引进东家的怀疑。

其次,再来分析一下心理学家马斯洛的成果。

   老马认为,人类的需求可分为五个层次:

第一层,生理需求。人对食物、水分、空气、睡眠、性等的需求就属此层次。这是最基本的需求,也是最有力的需求。如果黑客能成功激发、掌握当事者的此层需求,那么,预测受害者的行动就很容易了。不过,在这个层次上,黑客最能激发的是“性”,其次才是“食物”等,而对激发空气、水分等需求,几乎无能为力。这也是为什么在色情网站上,恶意病毒很多的重要原因。

第二层,安全需求。它表现为人们要求稳定、安全、受到保护、有秩序、能免除恐惧和焦虑等。这是黑客综合收益最大的一个“蛋糕”。一方面,安全需求人人都有,所以,人人都可以是黑客的攻击对象;另一方面,激发安全需求可以公开进行(激发“性”的需求,就不很光彩了),受害者也会理所当然地响应(响应“性”诱惑时,受害者也会提心吊胆哟),从而被成功激发的可能性更大;第三方面,一旦此类需求被成功激发,黑客便能比较准确地预测受害者的行动。这就是骗子冒充警察时,更容易成功的原因。

第三层,归属和爱的需求。即,与他人建立感情联系或关系的需求,如,结交朋友、追求爱情、参加社团并担任一定的职务等,就是归属和爱的需求。此类需求,对黑客兴趣不大;因为,一方面很难激发,需要做大量的个性化预备工作;另一方面,需求激发后,随后的动机和行动也比较散乱,难以掌控。这就显示了社工黑客与江湖骗子的差别,因为,此层次的需求是后者的主战场之一。

第四层,尊重的需求。包括自尊和受到别人的尊重。黑客利用当事者的自尊需求,可以比较容易地激怒受害者,也能比较准确地预测其后续行动。

第五层,自我实现的需求。即,追求实现自己的能力或潜能,并使之完善化的需求。黑客激发此类需求时,也得因人而异,比如,假文凭对院士来说,就完全没有吸引力了。而且,即使黑客成功地激发起这类需求,一般来说,也不会诱惑出当事者太强的动机。

关于上述五个层次的需求,从黑客的角度来看,有如下规律:

1)激发越低层次需求,所产生的动机就越强,受害者开始行动的可能性就越大;

2)对低级需求都还未被满足或甚至未被部分满足的人,黑客就没必要去激发他的高级需求,否则就是白费劲;

3)人到中年后,才会有自我实现的需求,所以,“激发年青人的自我实现需求”就不该是黑客的重点;

4)越是高级的需求,就越难激发,因为高级需求更复杂,需要更多的外部条件,包括社会、经济和政治条件等;但是,如果黑客必须攻击某位成功人士时,就得努力诱惑他的高级需求,因为,他的低级需求早已被满足了。

除了上述五个层次需求外,马斯洛还提出了另一类需求,即,认识与理解的需求,它催生了好奇心,也是一种强有力的需求。事实上,许多人,特别是科学家,在这种需求的驱使下,甚至不惜生命,也要刨根问底。从黑客角度来看,这类需求不必去激发,只需要充分利用就行了,反正是愿者上钩嘛。实际上,许多受害网民,也正是在好奇心的引诱下,点击了危害自身的操作。

(三)特殊动机的诱惑

前面已经说过,一般动机很难把握;它们不但抽象,而且甚至有时连当事者本人,都意识不到自己的动机到底是什么,因此,他人(黑客)就更难对别人的动机进行诱惑和控制了。不过,有一些特殊动机却很直观,既容易诱惑,也不难控制。所以,有必要对这些动机给予特别介绍,让攻防双方都有所了解和准备。

由于诸如饥、渴、性、睡眠、交往、成就等动机,几乎与同名的需求类似,所以不再重复了。下面重点探讨另一类,对黑客非常直观、且易于掌握的动机,即,兴趣或爱好!

从黑客角度看,首先,兴趣的诱惑和利用实在太容易了,那就是“投其所好”。其次,判断某人在某方面是否有兴趣也不难,比如,经常逛商场的人,几乎肯定对购物有兴趣;怕水的人,很难对游泳有兴趣等;总之,经过简单的观察或测试,便能较准确地判断某人的兴趣爱好。第三,兴趣被诱发(利用)后,受害者的后续行动也比较固定,变数不会太多;比如,“集邮狂”看见“龙票”后,一定会充分关注。结合“兴趣”的上述三个优势,黑客基本上就能一气呵成,实现受害者相应动机的诱惑、利用、攻击成果测试、再诱惑……,循环往复,直到黑客满意为止。

既然兴趣的诱惑和利用等,已经不是问题了;所以,下面就重点从心理学角度来介绍“兴趣”这种特殊的动机。

兴趣的实例,数不胜数,比如:唱歌、K歌、听音乐、看电影、看戏剧、看娱乐节目、看小说、看杂志、逛街、购物、跳舞、奏乐、健身、减肥、塑形、瑜伽、足球、篮球、排球、跑步、羽毛球、乒乓球、保龄球、游泳、划船、登山、郊游、钓鱼、养鱼、养宠物、玩网游、聊天、看新闻、摄影、摄像、旅游、自驾、美食、做饭、十字绣、织毛衣、打扑克、麻将、睡觉、写字、练字、书法、下棋、美容、保养、化妆、打扮等,都可以是兴趣。从心理学角度来看,兴趣就是指对特定事物所产生的,带倾向性、选择性的态度、情绪、喜欢的想法。

兴趣的同义词是爱好,当然,它们也略有区别。比如,兴趣是爱好的前提,爱好是兴趣的发展和行动。爱好不仅是对事物优先注意和向往的心情,而且表现某种实际行动;所以,从黑客角度来看,爱好更直观。例如,起初对国画感兴趣,然后由赏画发展到绘画,于是,就产生了绘画爱好。不过,为了简捷计,后面不再区分兴趣和爱好,而是统称为兴趣。

作为一种特殊的动机,兴趣也以需求为基础。兴趣是一种无形的动力,若对某事物有兴趣时,就会对该事物很投入,而且印象深刻,并产生某种肯定的情绪体验。性格会影响兴趣,不同性格的人,会有不同的兴趣;反过来,兴趣也影响性格,甚至影响到事业、婚姻等整个人生,即,不同的兴趣,塑造不同的性格,最后导致个人能力随兴趣的改变而发展。某人若对某事物有兴趣,他就会热心于接触、观察该事物,积极从事相关活动,并注意探索其奥妙。兴趣还与认识和情感相关:若对某事物没有认识,也就不会对它有情感,因而更不会对它有兴趣;反之,认识越深刻,情感越炽烈,兴趣也就会越浓厚。换句话说,性格、情感等都可以帮助黑客选择适当的“兴趣”,去攻击“猎物”。

兴趣会受到社会的制约,不同环境、不同职业、不同文化层次的人,会产生不同的兴趣。一般来说,关系密切的人,容易产生相同或类似的爱好,因此,黑客可以通过了解(或印证)当事者亲朋好友的兴趣,来了解和把握当事者的兴趣。

兴趣有时也受遗传的影响,比如,音乐世家中,父母的兴趣也会传给小孩。兴趣还受好奇心的驱使,若某人对某未知事物产生了好奇心,他也许会对该事物产生兴趣。例如,第一次出于好奇的探险,也许就会逐渐发展成兴趣。

兴趣虽然比较稳定,即,兴趣将长期保持在兴趣对象上;但它也会随年龄或环境的变化而变化。比如,少儿容易对图画、歌舞等感兴趣;青年容易对文学、艺术感兴趣;成人容易对某种职业感兴趣等。又比如,住在武术村的人,容易对功夫感兴趣。

兴趣的形成,主要可分为三阶段:首先,从一个“入趣点”开始,比如,偶然钓到一条鱼,欣喜无比(“入趣点”非常重要,如果某人首次就遭遇挫折,那么一般来说,他便不会对该事物产生兴趣)。其次,顺着“入趣点”,拓展自己的兴趣面,比如,觉得自己钓鱼的“手感”很好,然后,再去研究诱饵配置、钓点选择等技巧,于是便发现了钓鱼的许多乐趣。最后,阶段性地总结经验,终于形成了兴趣。比如,钓鱼的经验被证实,得到了粉丝的追捧,于是,一个“钓鱼迷”便诞生了。

可见,兴趣的形成并不是一蹴而就的,因此,黑客的重点是充分利用当事者的现有兴趣,而不是去培养他的新兴趣。不过,在到底选择利用哪些兴趣时,黑客还需注意几点:

1)兴趣的效能特点,即,凡是对实际活动作用大的兴趣,其效能作用也大;反之,对实际活动发生作用小的兴趣,其效能作用也小。形象地说,大兴趣的诱惑力大,小兴趣的诱惑力小。换句话说,黑客应重点利用大兴趣;当然,对不同的人,其大兴趣也不同。

2)每个人都有可被利用的兴趣,只是有的人兴趣广泛,有的人兴趣狭窄;有的兴趣偏向精神,有的兴趣偏向物质。

3)兴趣包括“直接兴趣”和“间接兴趣”,前者是对活动过程的兴趣,后者是对活动过程所产生结果的兴趣。从黑客角度看,直接兴趣的诱惑力更大,间接兴趣的诱惑力较小。

4)兴趣的中心,即,相对某个特定领域的事物,容易形成更浓厚、更强烈的兴趣。因此,当兴趣中心部位的事物被用作诱饵时,黑客得手的可能性就更大。

5)兴趣还可分为“个人兴趣”和“社会兴趣”。前者是个人以特定的事物为对象,所产生的兴趣;后者指社会成员对某领域的普遍兴趣。利用社会兴趣时,黑客的“杀伤面”更大,比如,有关某球王的代码,可能会让众球迷的口令被窃。利用个人兴趣时,黑客的打击更精准。

(四)结束语

对任何人来说,“动机”一词几乎都不陌生;但是,它的内容却并不简单,实际上心理学家们在动机研究方面,已积累了非常丰富的成果。不过,由于黑客的攻击都是“非身体接触”的,而且通常还是短暂的,所以,大部分心理学成果都不能派上用场,所以,在此处就被略去了。

如果黑客已能诱惑多种动机,而只是犹豫于“到底锁定哪种动机为攻击目标”时,那么,“动机的强度”便可作为选择标准之一,即,选择利用强度大的动机,因为它们的诱惑力更大。

什么样的动机,其强度更大呢?

首先,动机的强度与需求和诱因的性质有关;即,需求越大,诱因越大,则动机的强度也就越大(比如,父母救子女的动机,就强于自己避险的动机。救亲人的动机,就强于救陌生人的动机;救人的动机,就强于救狗的动机等)。

其次,动机的强度与实现目标的可能性有关,即,完全没可能实现的目标,就不会激发动机;伸手就可得的目标,则容易激发起相关动机(比如,中学生们,对考大学的动机,就强于考研的动机。面对同样的考清华目标,学霸的动机,就强于学渣)。

第三,意义和价值越重大的事物,激起动机的强度也会更大。当然,这里“意义和价值的大小”取决于个人观点,比如,自己认为没意义的东西,就根本不会有兴趣,更不会对它有动机。

第四,针对同一个动机,心理学家阿特金森,还将该动机的内容细分为:“希望成功的动机(M)”和“避免失败的动机(N)”。若记P为当事者主观估计的,对该动机目标能被实现的概率,那么,此动机的强度就等于(M-N)P(1-P),因此就知:1)如果希望成功的动机M,大于避免失败的动机N,那么,目标能被实现的主观概率P0.5时,该动机的强度最大;2)如果希望成功的动机M,小于或等于避免失败的动机N,那么,无论P任何估计,该动机的强度都很小。形象地说,大部分人其实都是害怕失败的,那怕宁愿放弃成功。

参考文献

[1]杨义先,钮心忻,安全简史,电子工业出版社,20176月出版,北京。

[2]杨义先,钮心忻,安全通论,电子工业出版社,即将出版。

[3]杨义先,钮心忻,信息安全心理学(社会工程学原理)(α版1):黑客的攻击本性。杨义先的科学网博客,网址:http://blog.sciencenet.cn/blog-453322-1067712.html

[4]杨义先,钮心忻,信息安全心理学(社会工程学原理)(α版2):社工黑客的世界观。杨义先的科学网博客,网址:http://blog.sciencenet.cn/blog-453322-1068343.html

[5]杨义先,钮心忻,信息安全心理学(社会工程学原理)(α版3):感觉的漏洞。杨义先的科学网博客,网址:http://blog.sciencenet.cn/blog-453322-1069540.html

[6]杨义先,钮心忻,信息安全心理学(社会工程学原理)(α版4):知觉的漏洞。杨义先的科学网博客,网址:

http://blog.sciencenet.cn/blog-453322-1071533.html

[7]杨义先,钮心忻,信息安全心理学(社会工程学原理)(α5):记忆博弈。杨义先的科学网博客,网址:

http://blog.sciencenet.cn/blog-453322-1072831.html

[8]杨义先,钮心忻,信息安全心理学(社会工程学原理)(α版6):情绪博弈。杨义先的科学网博客,网址:

http://blog.sciencenet.cn/blog-453322-1073726.html

[9]杨义先,钮心忻,信息安全心理学(社会工程学原理)(α版7):注意的控制。杨义先的科学网博客,网址:

http://blog.sciencenet.cn/blog-453322-1074966.html

[10]彭聃龄,普通心理学,北京师范大学出版社,20015月出版,北京。

[11]王建平主编,变态心理学,高等教育出版社,2005年出版,北京

[12]陈士俊编著,安全心理学,天津大学出版社,1999年出版,天津。



https://blog.sciencenet.cn/blog-453322-1077492.html

上一篇:信息安全心理学(7):注意的控制
下一篇:《安全简史》剧透之“信息安全管理学”
收藏 IP: 202.101.72.*| 热度|

4 赵大伟 毕重增 蒋永华 zjzhaokeqin

该博文允许注册用户评论 请点击登录 评论 (0 个评论)

数据加载中...
扫一扫,分享此博文

Archiver|手机版|科学网 ( 京ICP备07017567号-12 )

GMT+8, 2024-11-20 00:27

Powered by ScienceNet.cn

Copyright © 2007- 中国科学报社

返回顶部