«چندکاره‌ها» در معرض فیشینگ

 یافته‌های این پژوهش که از یک آزمایش گسترده توسط محققان دانشگاه بینگهمتون و دانشگاه آلبانی به دست آمده است، نشان می‌دهد که بار شناختی ناشی از جابه‌جایی مداوم میان وظایف، توانایی ما در شناسایی ایمیل‌های جعلی را به‌طور قابل‌توجهی تضعیف می‌کند.

در عصری دیجیتال که کارکنان مدام بین چت‌ها، داشبوردها، ایمیل‌ها و جلسات جابه‌جا می‌شوند پیامدها روشن است؛ دیگر نمی‌توان در امنیت سایبری بر کاربرِ متمرکز تکیه کرد. تهدید واقعی از دل حواس‌پرتی‌های روزمره‌ای برمی‌خیزد که در جریان کارهای ما ریشه دارد و شرکت‌ها باید خود را با این واقعیت تازه تطبیق دهند.

آنگونه که مجله اپل‌مگزین نوشته است، پژوهشگران در این مطالعه ۹۷۷ شرکت‌کننده را مورد آزمایش قرار دادند و از آنها خواستند در حالی ‌که مشغول انجام وظایفی با بار حافظه‌ای بالا بودند، مجموعه‌ای از ایمیل‌های واقعی و فیشینگ را نیز بررسی کنند. پیام‌های فیشینگ شامل ترفندهای رایجی بودند مانند آدرس‌های فرستنده با غلط‌های املایی جزئی، لینک‌های مخرب پنهان در متن‌های ‌هایپرلینک‌ شده و جملات احساسی یا اضطراب‌آور نظیر پرداخت شما ناموفق بود.

نتایج نشان داد افرادی که در معرض بار شناختی سنگین‌تری قرار داشتند، خطاهای بسیار بیشتری مرتکب شدند. این افراد متوجه نشانه‌های آشکار فریب مانند نام‌های دامنه غیرمعمول یا زبان فوری و وعده‌محور پیام‌ها نمی‌شدند. این کاهش هوشیاری به محدودیت‌های حافظه فعال یعنی فضای موقتی ذخیره‌سازی اطلاعات در مغز نسبت داده می‌شود. هنگامی که ذهن با وظایف ذهنی نامرتبط بیش از حد درگیر می‌شود، تفکر تحلیلی کندتر و عمیق‌تر به حاشیه رانده می‌شود.

در نتیجه کاربران به‌جای ارزیابی دقیق، صرفا ایمیل‌ها را مرور می‌کنند و تصمیم‌های سریع و سطحی می‌گیرند که آنها را در برابر فریب آسیب‌پذیر می‌سازد. به بیان ساده وقتی در حال حفظ کردن یک رشته عددی یا تکمیل گزارش کاری خود هستید مغزتان کمتر احتمال دارد بپرسد چرا ایمیل آمازون از شما درخواست وارد کردن اطلاعات حساب را دارد.

همه فیشینگ‌ها یکسان نیستند

این مطالعه با بررسی چارچوب‌سازی پیام‌ها یعنی نحوه‌ای که محتوای یک ایمیل بر تصمیم‌گیری اثر می‌گذارد یک گام فراتر رفت. پژوهشگران ایمیل‌های فیشینگِ «سودمحور» (که وعده پاداش یا مزیت می‌دهند) را با ایمیل‌های «زیان‌محور» (که پیامدهای منفی را تهدید می‌کنند) مقایسه کردند. به‌طور شگفت‌انگیزی ایمیل‌های سودمحور در فریب دادن شرکت‌کنندگانی که هم‌زمان چند کار انجام می‌دادند، موفق‌تر بودند.

هنگامی که منابع شناختی افراد تحلیل می‌رفت آنها بیشتر تمایل داشتند روی لینک‌های ایمیل‌هایی کلیک کنند که از کارت هدیه، بازگشت وجه یا برنامه‌های پاداش سخن می‌گفتند تا ایمیل‌هایی که هشدار تعلیق حساب می‌دادند.

برای مقابله با این مشکل پژوهشگران یک راه‌حل ساده اما موثر را آزمایش کردند؛ تلنگرهای سبک و به‌موقع که مستقیما در رابط کاربری کاربر تعبیه شده بودند.

 این تلنگرها شامل یادآوری‌های کوتاه و وابسته به موقعیت بودند - مانند نوارهای رنگی یا راهنمای متنی ظریف - که هنگام باز کردن یا حرکت نشانگر روی ایمیل‌ها ظاهر می‌شدند. نکته مهم این بود که این هشدارها دائمی نبودند؛ تنها زمانی فعال می‌شدند که سیستم الگوی پیام پرخطر را تشخیص می‌داد، به‌ویژه در مورد محتوای سودمحور.

 نتایج چشم‌گیر بود: حتی در حالت چندکارگی، کاربرانی که در معرض این تلنگرها قرار گرفتند، بهبود قابل‌توجهی در دقت شناسایی ایمیل‌های فیشینگ نشان دادند. عامل کلیدی، زمان‌بندی و ارتباط پیام بود. هشدارهای کلی اغلب نادیده گرفته می‌شدند، اما نشانه‌های هدفمند و مرتبط با محتوای ایمیل باعث دقت و تردید بیشتری می‌شدند.

 این یافته‌ها آینده‌ای را ترسیم می‌کنند که در آن دفاع سایبری به‌صورت بلادرنگ سازگار می‌شود و دقیقا در زمانی که کاربر بیشترین نیاز را دارد، پشتیبانی لازم را ارائه می‌دهد - بدون آن‌که بار شناختی را افزایش دهد یا با تکرار زیاد، حساسیت کاربر را از بین ببرد.

پیامدهای واقعی برای تیم‌های فناوری اطلاعات

 یافته‌های این پژوهش پیامدهای مهمی برای استراتژی امنیت سازمانی دارد. بسیاری از شرکت‌ها هنوز به آموزش‌های سالانه یا فیلترهای اسپم عمومی برای مقابله با فیشینگ تکیه دارند؛ اما این روش بعد انسانی ماجرا را نادیده می‌گیرد.

 در حالی‌که مجرمان سایبری با سرعتی بیشتر در حال انطباق‌اند، کیت‌های فیشینگ مجهز به هوش مصنوعی اکنون می‌توانند پیام‌هایی شخصی‌سازی‌شده بسازند که لحن همکاران یا قالب فاکتورهای فروشندگان معتبر را تقلید می‌کند. در چنین شرایطی، زمان، میزان حواس‌پرتی، و طراحی رابط کاربری بیش از هر زمان دیگری اهمیت می‌یابد.

به همین منظور توصیه‌هایی کلیدی برای کاهش آثار مخرب آن شده است؛ از جمله: «بازطراحی نرم‌افزارهای ایمیل برای افزودن نشانه‌های پویا و موقعیتی بر اساس تحلیل محتوای پیام»، «درنظرگرفتن طراحی رابط کاربری به‌عنوان لایه‌ای از امنیت سایبری، نه صرفا عاملی برای سهولت استفاده»، «اجرای شبیه‌سازی‌های آموزشی واقع‌گرایانه که فشار ذهنی، حواس‌پرتی یا محدودیت زمانی را در تمرین‌های فیشینگ بازآفرینی می‌کنند» و «تدوین راهبردهای واکنش متمایز بر اساس نوع محتوای ایمیل - مثلا بررسی دقیق‌تر پیام‌های سودمحور.»

علاوه بر این، شرکت‌ها باید فرآیند گزارش‌دهی ایمیل‌های مشکوک را بازنگری کنند. اگر علامت‌گذاری یک ایمیل نیاز به چند مرحله و ورود به سامانه‌ای جداگانه داشته باشد، بیشتر کاربران - به‌ویژه هنگام چندکارگی - آن را انجام نخواهند داد. در مقابل، سازوکارهای گزارش‌دهی ساده و درون‌خطی که مستقیما در پلتفرم‌هایی مانند Outlook یا Gmail تعبیه شوند، می‌توانند مشارکت کاربران را به‌طور چشم‌گیری افزایش دهند.

ایمیل‌های زیان‌محور سطح بالاتری از شک و تردید خودکار را برمی‌انگیختند، شاید به دلیل ماهیت تهدیدآمیزشان. اما پیام‌های مبتنی بر پاداش با اعتماد و کنجکاوی کاربران بازی می‌کردند - و به‌ویژه زمانی موثر بودند که کاربران حواس‌پرت یا درگیر کارهای متعدد بودند. این تفاوت ظریف، یکی از کاستی‌های مهم در بسیاری از برنامه‌های آموزش امنیت سایبری را آشکار می‌کند: این برنامه‌ها اغلب بر شناسایی تهدید تمرکز دارند، اما نادیده می‌گیرند که لحن و بار عاطفی متفاوت پیام‌ها چگونه می‌تواند رفتار انسان را در شرایط فشار روانی تغییر دهد.