啟發式與系統式線索對魚叉式網絡釣魚易感性影響研究

王志英，孫得到，葛世倫

（江蘇科技大學 經濟管理學院，江蘇 鎮江 212003）

0 引言

魚叉式網絡釣魚是一種網絡詐騙，攻擊者基于社會工程學制作個性化電子郵件并發送給特定個體以獲取其機密信息［1］。魚叉式網絡釣魚會依據社會熱點和目標人群的生活經歷實施詐騙，例如以新冠疫情、出國留學和項目申請等為主題的魚叉式網絡釣魚，攻擊者以電子郵件作為載體，誘導收件人點擊郵件中仿冒的官方網站鏈接或打開包含病毒的附件，從而盜取收件人的賬戶和密碼等重要信息。由于魚叉式網絡釣魚郵件具有很強的針對性，欺騙成功率較高，現已成為危害網絡安全的一個重要問題［2］。

1 相關研究

魚叉式網絡釣魚的易感性是指個體在面對魚叉式網絡釣魚攻擊時受到侵害從而造成損失的可能性［3］，其易感性高的一個重要原因是攻擊者利用個體的認知偏見［4］，通過精心制作內容誘使目標將其認定為真實正常的郵件。攻擊者在制作魚叉式網絡釣魚時會事前通過在線社交網絡，如推特（Twitter）和領英（Linkedln）等渠道對目標信息進行采集、分析和研究，以目標的生活經歷、興趣愛好和社會熱點作為主題制作針對性很強的魚叉式網絡釣魚郵件［5-6］。

目前關于魚叉式網絡釣魚易感性影響的研究多集中在電子郵件特征和個體特質方面，郵件特征包括郵件來源、外觀和圖標等外圍特征，以及郵件主要信息對個體的卷入度和上下文等內在特征；個體特質包括心理特質和經驗因素，其中心理特質又包括風險知覺和人格等，經驗因素包括網絡經驗和安全知識等［7-9］。部分關于郵件特征和個體特質對魚叉式網絡釣魚易感性影響的研究如表1 所示。

Table 1 Study of the effects of email characteristics and individual traits on susceptibility to spear phishing（partial）表1 部分關于郵件特征和個體特質對魚叉式網絡釣魚易感性影響的研究

人是抵御魚叉式網絡釣魚攻擊的最后一道防線，因此不僅要分析魚叉式網絡釣魚線索與易感性之間的關系，還要探究個體對不同線索所投入的認知努力差異與易感性之間的關系。此外，魚叉式網絡釣魚易感性的研究方法多為網絡攻擊模擬測試后填寫問卷等事后測量方式［14］，這種主觀數據缺乏一定的客觀性，難以揭示不同線索以及個體認知努力投入程度對魚叉式網絡釣魚易感性的影響。功能性近紅外光譜（functional Near-infrared Spectroscopy，fNIRS）是一種神經影像學技術，被廣泛用于研究人類大腦皮層的功能特性，現已運用于個體認知和信息處理研究中［4］。因此，本文基于啟發式—系統式模型（Heuristic-Systematic Model，HSM），采用fNIRS 結合認知神經實驗探索魚叉式網絡釣魚的啟發式和系統式線索與易感性之間的關系，并從認知努力的角度分析魚叉式網絡釣魚高易感性的原因，探究兩種線索對人們認知努力投入程度的影響。

2 研究模型及假設

2.1 研究模型

HSM 是一種用于解釋個體信息行為過程的雙處理理論模型，起源于社會心理學中的說服研究［15］。HSM 認為個體在處理信息時采用啟發式和系統式兩種信息處理模式。啟發式處理基于直覺且付出較少的認知努力，主要利用嵌入在消息周圍的因素快速作出判斷決策，也被稱為啟發式線索；系統式處理基于理性且投入較多的認知努力對信息內容進行仔細研究，主要考慮信息內容本身，即系統式線索，從而對信息進行判斷［16］。與啟發式處理相比，系統式處理需要更多認知努力［17］。HSM 為個人在不同情境下如何處理信息和形成決策提供了一種理論解釋，廣泛應用于探索啟發式和系統式兩種線索對個體認知努力投入以及最終決策的影響。

本文將可信來源作為魚叉式網絡釣魚的啟發式線索，將上下文作為魚叉式網絡釣魚的系統式線索，探究這兩種線索與魚叉式網絡釣魚易感性之間的關系，并分析其對個體認知努力的影響，以及認知努力與魚叉式網絡釣魚易感性之間的關系。本文研究模型結構如圖1所示。

Fig.1 Study model structure圖1 研究模型結構

2.2 啟發式、系統式線索與魚叉式網絡釣魚易感性

魚叉式網絡釣魚內容高度定制化，涉及的社會工程學程度較高。攻擊者會事先對目標進行信息采集、分析和研究，包括掃描社交媒體賬戶和公共信息等，以便了解目標的工作履歷、朋友關系和興趣愛好等，進而制作出針對性很強的郵件內容。魚叉式網絡釣魚的啟發式線索表現為可信來源，其指郵件的來源信息，如郵件的發件人名稱和地址等［18］。魚叉式網絡釣魚的發件人名稱和地址會模擬為收件人的可信任人群，如朋友、上級和官方等。Luo 等［7］研究結果表明當郵件收件人收到假裝來自具有較高可信度來源的郵件時，其更有可能成為網絡釣魚郵件的受害者；Jagatic 等［19］研究發現魚叉式網絡釣魚通常偽裝成目標的現有聯系人，這比以未知個人身份發送郵件的釣魚成功率高4.5 倍。因此，本文提出H1 假設：可信來源與魚叉式網絡釣魚易感性之間存在正相關關系。

魚叉式網絡釣魚的系統式線索體現在郵件內容的上下文中，是指郵件的主題內容與收件人高度相關，使目標處于一個特定的情境中，這會使郵件內容中提到的相關互動合理化，從而誘使目標泄露更多信息。諸多研究表明電子郵件的上下文與魚叉式網絡釣魚易感性具有相關性。例如，Goel 等［6］針對大學生興趣愛好設計的魚叉式網絡釣魚導致了較高的易感性；Luo 等［7］根據學校對相關部門進行預算削減的傳言設計了針對師生的魚叉式網絡釣魚；Bullee［10］研究發現僅通過挖掘Facebook 上的數據便可針對85%的用戶作出與其相關的含有上下文的電子郵件；Bossetta［20］通過設計電子郵件的上下文來操縱人類的心理弱點，如貪婪、恐嚇和社會需求等，其發現將信息情境化以迎合接收者的心理弱點會增加其對網絡釣魚的易感性。因此，本文提出H2 假設：上下文與魚叉式網絡釣魚易感性之間存在正相關關系。

2.3 認知努力與魚叉式網絡釣魚易感性

認知努力是指個體在瀏覽魚叉式網絡釣魚郵件以及作出類型判斷時所花費的認知方面的努力［6］。研究表明［4，21］，個體大腦前額葉氧合血紅蛋白（Oxygenated Hemoglobin，HbO）濃度的變化與工作記憶情況以及心理、認知努力水平等有關，具體表現為當個體投入更多認知努力時，大腦前額葉的動脈血流速度會加快，HbO 激活水平更高，HbO 濃度也會隨之升高；個體大腦右顳葉HbO 濃度的變化則與語言處理和語義記憶相關，這些區域的較高激活程度表明個體對郵件信息內容上的認知努力投入增多［4］。因此，fNIRS 下大腦皮層相關腦區的激活指標能在一定程度上反映個體在面對不同線索時認知努力的投入變化情況［22］。因此，本文提出H3 假設：相較于可信來源，在面對上下文時，個體的認知努力程度更高。

個體在評估魚叉式網絡釣魚郵件時的認知努力包括在檢測郵件中的外圍線索或主題信息方面的努力，通過付出認知努力個體可提高判斷信心［18，23］。認知努力已被證實對魚叉式網絡釣魚的易感性有影響。例如，Goel 等［6］和Musuva 等［24］研究表明，個體對魚叉式網絡釣魚郵件的易感性取決于其在處理網絡釣魚郵件時所花費的認知努力，對網絡釣魚郵件作出回應的可能性隨著低水平的認知努力而增加，反之，在高水平的認知努力下，用戶不太可能上當受騙。因此，本文提出H4 假設：認知努力與魚叉式網絡釣魚易感性之間存在負相關關系。

3 研究設計

3.1 被試者信息

根據類似實驗范式［4］確定被試者20 人，其中男性9人，女性11 人，平均年齡為（21.3±2.36）歲，包括16 名本科生、3 名碩士和1 名博士。所有被試者均為右利手，視力或矯正視力正常，無色盲、腦損傷、神經疾病或精神病史，且近期未服用過安定類藥物，符合實驗要求。實驗前告知被試者實驗儀器、實驗指導語和相關注意事項等，所有被試者均簽署書面知情同意書，實驗結束后支付被試者一定的報酬。

3.2 實驗方法

魚叉式網絡釣魚郵件根據文獻［14］中針對大學生設計的內容主題，并結合真實魚叉式網絡釣魚案例［25］設計，分為兩類：一類郵件含有可信來源這一啟發式線索，具體表現為郵件發件人名稱模擬學校的官方機構，郵件地址模擬學校的域名；另一類郵件含有上下文這一系統式線索，具體為校園活動、學生優惠活動和學習資料等［6］。

采用事件相關設計，包括20 個試次，每個試次由注視點（+）和魚叉式網絡釣魚郵件構成。實驗時首先呈現本次實驗的簡單說明，之后呈現10 s 空屏，使被試者前期信號穩定下來，隨后開始呈現試次。每個試次包括注視點呈現時間10 s，之后出現魚叉式網絡釣魚郵件，被試者觀看后對其進行類型判斷，如果認為是真實正常的郵件，則按“y”鍵；如果認為是虛假詐騙的郵件，則按“n”鍵。作出判斷后進入下一個試次。被試者在注視點呈現期間需盯住十字中心，以使心情平靜下來。呈現給不同被試者的魚叉式網絡釣魚郵件順序隨機。實驗持續時間為10 min 左右。具體實驗流程見圖2。

Fig.2 Experimental flow圖2 實驗流程

3.3 近紅外數據采集

個體在閱讀電子郵件內容并進行郵件類型判斷時會對電子郵件的各種線索投入一定的認知努力，表現為判斷時間和大腦皮層血氧濃度變化［4］，這些數據可通過結合fNIRS 設備的認知神經實驗獲得。本文采用便攜式近紅外腦成像系統Artinis Brite24 對大腦皮層血氧濃度變化進行檢測，采樣頻率為10 Hz，儀器光源波長為760 nm 和850 nm，包含10 個發射器和8 個接收器，光極間距為30 mm，共24 個通道。光極放置采用國標10/20 系統。參照已有研究［4］，本實驗主要檢測右顳葉腦區和前額葉腦區，每名被試者右顳葉腦區（通道1-12）和前額葉腦區（通道13-24）各有12個采集通道。

4 數據分析

4.1 數據預處理

使用基于MATLAB 2016b 的NIRS-KIT 軟件包，按照以下步驟對近紅外數據進行預處理：①去漂移。使用多項式回歸模型估計線性或非線性趨勢，從原始血紅蛋白濃度信號中減去該趨勢；②運動校正。使用時間導數分布修復（Temporal Derivative Distribution Repair，TDDR）進行運動偽跡校正；③濾波?；诳焖俑道锶~變換，使用0.02～0.12 Hz 的帶通濾波器去除生理噪聲與基線漂移。近紅外數據預處理流程如圖3所示。

Fig.3 Pre-processing flow of fNIRS data圖3 近紅外數據預處理流程

由于不同濃度HbO 對不同區域的激活程度差異不具有統計意義，本研究采用廣義線性模型（General Linear Model，GLM）［26］對HbO 濃度數據進行分析處理，得出具有統計學意義且與HbO 濃度相關的比例系數β值。β代表任務反應的振幅，其值越大表明激活程度越高，被試者付出的認知努力越多。

4.2 行為數據分析

4.2.1 判斷時間

判斷時間是指被試者在看到郵件展示內容到按下鍵盤上的按鈕來對郵件類型作出判斷所花費的時間，其可側面反映被試者所投入的認知努力程度［27］。經過Shapiro-Wilk 檢驗，本文數據不滿足正態分布。采用Wilcoxon 檢驗對兩種線索下的判斷時間進行比較分析，可信來源的平均判斷時間為11.43 s，小于上下文的平均判斷時間為13.37s，p=0.032<0.05，兩者存在顯著性差異。采用四分位法獲得數據，制作小提琴圖，其中可信來源的25%百分位數為6.50 s，中位數為10.00 s，75%百分位數為14.95 s；上下文的25%百分位數為7.35 s，中位數為12.15 s，75%百分位數為16.85 s?？尚艁碓春蜕舷挛牡呐袛鄷r間比較如圖4（彩圖掃OSID 碼可見，下同）所示。

Fig.4 Judgement time comparison of plausible sources and contexts圖4 可信來源和上下文的判斷時間比較

4.2.2 魚叉式網絡釣魚易感性

易感性判斷指標為郵件中被被試者認定為真的數量占全部判斷結果的比例［14］。如圖5 所示，被試者在面對可信來源的魚叉式網絡釣魚時，其易感性為65%；在面對上下文的魚叉式網絡釣魚時，其易感性為55%。假設H1 和H2 得到驗證，經卡方檢驗，兩種線索的易感性不存在顯著性差異（z=1.118，p=0.264>0.05）。

Fig.5 Spear phishing susceptibility圖5 魚叉式網絡釣魚易感性

4.3 近紅外數據分析

4.3.1 右顳葉腦區

經過配對樣本t檢驗和FDR 校正后，可信來源和上下文在右顳葉腦區通道1、6 和12 中的激活結果存在統計學差異，其β值的平均值、標準差和檢驗結果見表2。可以看出，通道1 中的上下文β值和可信來源β值之間有顯著性差異（t=2.397，p=0.027<0.05）；通道6 中的上下文β值和可信來源β值之間有顯著性差異（t=2.152，p=0.045<0.05）；通道12 中的上下文β值和可信來源β值之間有顯著性差異（t=2.162，p=0.044<0.05）?？傮w來說，上下文相較可信來源在這3 個通道中的激活程度更高。采用NIRS-KIT 軟件制作兩種線索在右顳葉腦區的激活情況比較圖，顏色越接近紅色表明激活程度差異越明顯，具體如圖6所示。

Fig.6 Comparison of activation of context and trusted sources in the right temporal lobe brain region圖6 上下文和可信來源在右顳葉腦區的激活情況比較

Table 2 β mean value，standard deviation，and test results of trusted sources and contexts in the right temporal lobe brain area表2 右顳葉腦區可信來源和上下文β值的平均值、標準差和檢驗結果

4.3.2 前額葉腦區

經過配對樣本t檢驗和FDR 校正后，可信來源和上下文在前額葉腦區通道15、22 和24 中的激活結果存在統計學差異，其β值的平均值、標準差和檢驗結果見表3。可以看出，通道15 中的上下文β值和可信來源β值之間有顯著性差異（t=3.115，p=0.006<0.05）；通道22 中的上下文β值和可信來源β值之間有顯著性差異（t=3.002，p=0.007<0.05）；通道24 中的上下文β值和可信來源β值之間有顯著性差異（t=2.836，p=0.011<0.05）?？傮w來說，上下文相較可信來源在這3 個通道中的激活程度更高。采用NIRS-KIT 軟件制作兩種線索在前額葉腦區的激活情況比較圖，顏色越接近紅色表明激活程度差異越明顯，具體如圖7所示。

Fig.7 Comparison of activation of context and trusted sources in the prefrontal lobe area圖7 上下文和可信來源在前額葉腦區的激活情況比較

Table 3 β mean value，standard deviation，and test results of trusted sources and contexts in the prefrontal brain region表3 前額葉腦區可信來源和上下文β值的平均值、標準差和檢驗結果

綜上所述，被試者對含有上下文的釣魚郵件的判斷時間多于含有可信來源的釣魚郵件；含有上下文的釣魚郵件對被試者右顳葉和前額葉腦區的激活程度比含有可信來源的釣魚郵件更強。表明被試者對含有上下文的釣魚郵件投入了更多認知努力，H3假設得到驗證。

4.3.3 相關性分析

對含有上下文和可信來源的魚叉式網絡釣魚郵件激活各腦區通道所得的β值與易感性進行斯皮爾曼相關分析，探討其是否存在相關性。結果表明，包含上下文的釣魚郵件對前額葉腦區通道18 的β值與易感性呈現負相關性，與H4 假設一致，但統計學意義不顯著（p>0.05），因此H4 假設未得到驗證。認知努力與魚叉式網絡釣魚易感性之間不存在顯著負相關性，即投入更多的認知努力不會顯著提高識別出魚叉式網絡釣魚的可能性。

5 結語

本文基于HSM 模型，采用fNIRS 結合認知神經實驗對魚叉式網絡釣魚的啟發式和系統式線索與易感性之間的關系進行了探究。行為數據和近紅外數據分析結果表明，可信來源這一啟發式線索和上下文這一系統式線索均與易感性有正相關性，且上下文的易感性略低于可信來源，但二者不存在顯著性差異；個體在面對含有上下文的魚叉式網絡釣魚郵件時需投入比可信來源更多的認知努力，但認知努力程度與易感性之間不存在顯著負相關性，即投入更多判斷時間和認知努力不會顯著降低易感性。

本文研究存在的不足之處及相應的后續研究方向為：①僅使用fNIRS，沒有聯合應用眼動檢測儀和fMRI 等設備形成多模態組合全面分析個體面對魚叉式網絡釣魚時的認知努力投入，后續可使用更多測量儀器觀察被試者的反應；②被試者均為在校大學生，后期需對更多群體進行針對性研究；③未分析啟發式線索與系統式線索之間的相互作用及其對易感性的影響，許多釣魚郵件并非只含有某一種單一線索，后續可使用更復雜的郵件內容進行研究。