王志英，孫得到，葛世倫

（江蘇科技大學(xué) 經(jīng)濟管理學(xué)院，江蘇 鎮(zhèn)江 212003）

0 引言

魚叉式網(wǎng)絡(luò)釣魚是一種網(wǎng)絡(luò)詐騙，攻擊者基于社會工程學(xué)制作個性化電子郵件并發(fā)送給特定個體以獲取其機密信息［1］。魚叉式網(wǎng)絡(luò)釣魚會依據(jù)社會熱點和目標人群的生活經(jīng)歷實施詐騙，例如以新冠疫情、出國留學(xué)和項目申請等為主題的魚叉式網(wǎng)絡(luò)釣魚，攻擊者以電子郵件作為載體，誘導(dǎo)收件人點擊郵件中仿冒的官方網(wǎng)站鏈接或打開包含病毒的附件，從而盜取收件人的賬戶和密碼等重要信息。由于魚叉式網(wǎng)絡(luò)釣魚郵件具有很強的針對性，欺騙成功率較高，現(xiàn)已成為危害網(wǎng)絡(luò)安全的一個重要問題［2］。

1 相關(guān)研究

魚叉式網(wǎng)絡(luò)釣魚的易感性是指個體在面對魚叉式網(wǎng)絡(luò)釣魚攻擊時受到侵害從而造成損失的可能性［3］，其易感性高的一個重要原因是攻擊者利用個體的認知偏見［4］，通過精心制作內(nèi)容誘使目標將其認定為真實正常的郵件。攻擊者在制作魚叉式網(wǎng)絡(luò)釣魚時會事前通過在線社交網(wǎng)絡(luò)，如推特（Twitter）和領(lǐng)英（Linkedln）等渠道對目標信息進行采集、分析和研究，以目標的生活經(jīng)歷、興趣愛好和社會熱點作為主題制作針對性很強的魚叉式網(wǎng)絡(luò)釣魚郵件［5-6］。

目前關(guān)于魚叉式網(wǎng)絡(luò)釣魚易感性影響的研究多集中在電子郵件特征和個體特質(zhì)方面，郵件特征包括郵件來源、外觀和圖標等外圍特征，以及郵件主要信息對個體的卷入度和上下文等內(nèi)在特征；個體特質(zhì)包括心理特質(zhì)和經(jīng)驗因素，其中心理特質(zhì)又包括風(fēng)險知覺和人格等，經(jīng)驗因素包括網(wǎng)絡(luò)經(jīng)驗和安全知識等［7-9］。部分關(guān)于郵件特征和個體特質(zhì)對魚叉式網(wǎng)絡(luò)釣魚易感性影響的研究如表1 所示。

Table 1 Study of the effects of email characteristics and individual traits on susceptibility to spear phishing（partial）表1 部分關(guān)于郵件特征和個體特質(zhì)對魚叉式網(wǎng)絡(luò)釣魚易感性影響的研究

人是抵御魚叉式網(wǎng)絡(luò)釣魚攻擊的最后一道防線，因此不僅要分析魚叉式網(wǎng)絡(luò)釣魚線索與易感性之間的關(guān)系，還要探究個體對不同線索所投入的認知努力差異與易感性之間的關(guān)系。此外，魚叉式網(wǎng)絡(luò)釣魚易感性的研究方法多為網(wǎng)絡(luò)攻擊模擬測試后填寫問卷等事后測量方式［14］，這種主觀數(shù)據(jù)缺乏一定的客觀性，難以揭示不同線索以及個體認知努力投入程度對魚叉式網(wǎng)絡(luò)釣魚易感性的影響。功能性近紅外光譜（functional Near-infrared Spectroscopy，fNIRS）是一種神經(jīng)影像學(xué)技術(shù)，被廣泛用于研究人類大腦皮層的功能特性，現(xiàn)已運用于個體認知和信息處理研究中［4］。因此，本文基于啟發(fā)式—系統(tǒng)式模型（Heuristic-Systematic Model，HSM），采用fNIRS 結(jié)合認知神經(jīng)實驗探索魚叉式網(wǎng)絡(luò)釣魚的啟發(fā)式和系統(tǒng)式線索與易感性之間的關(guān)系，并從認知努力的角度分析魚叉式網(wǎng)絡(luò)釣魚高易感性的原因，探究兩種線索對人們認知努力投入程度的影響。

2 研究模型及假設(shè)

2.1 研究模型

HSM 是一種用于解釋個體信息行為過程的雙處理理論模型，起源于社會心理學(xué)中的說服研究［15］。HSM 認為個體在處理信息時采用啟發(fā)式和系統(tǒng)式兩種信息處理模式。啟發(fā)式處理基于直覺且付出較少的認知努力，主要利用嵌入在消息周圍的因素快速作出判斷決策，也被稱為啟發(fā)式線索；系統(tǒng)式處理基于理性且投入較多的認知努力對信息內(nèi)容進行仔細研究，主要考慮信息內(nèi)容本身，即系統(tǒng)式線索，從而對信息進行判斷［16］。與啟發(fā)式處理相比，系統(tǒng)式處理需要更多認知努力［17］。HSM 為個人在不同情境下如何處理信息和形成決策提供了一種理論解釋，廣泛應(yīng)用于探索啟發(fā)式和系統(tǒng)式兩種線索對個體認知努力投入以及最終決策的影響。

本文將可信來源作為魚叉式網(wǎng)絡(luò)釣魚的啟發(fā)式線索，將上下文作為魚叉式網(wǎng)絡(luò)釣魚的系統(tǒng)式線索，探究這兩種線索與魚叉式網(wǎng)絡(luò)釣魚易感性之間的關(guān)系，并分析其對個體認知努力的影響，以及認知努力與魚叉式網(wǎng)絡(luò)釣魚易感性之間的關(guān)系。本文研究模型結(jié)構(gòu)如圖1所示。

Fig.1 Study model structure圖1 研究模型結(jié)構(gòu)

2.2 啟發(fā)式、系統(tǒng)式線索與魚叉式網(wǎng)絡(luò)釣魚易感性

魚叉式網(wǎng)絡(luò)釣魚內(nèi)容高度定制化，涉及的社會工程學(xué)程度較高。攻擊者會事先對目標進行信息采集、分析和研究，包括掃描社交媒體賬戶和公共信息等，以便了解目標的工作履歷、朋友關(guān)系和興趣愛好等，進而制作出針對性很強的郵件內(nèi)容。魚叉式網(wǎng)絡(luò)釣魚的啟發(fā)式線索表現(xiàn)為可信來源，其指郵件的來源信息，如郵件的發(fā)件人名稱和地址等［18］。魚叉式網(wǎng)絡(luò)釣魚的發(fā)件人名稱和地址會模擬為收件人的可信任人群，如朋友、上級和官方等。Luo 等［7］研究結(jié)果表明當郵件收件人收到假裝來自具有較高可信度來源的郵件時，其更有可能成為網(wǎng)絡(luò)釣魚郵件的受害者；Jagatic 等［19］研究發(fā)現(xiàn)魚叉式網(wǎng)絡(luò)釣魚通常偽裝成目標的現(xiàn)有聯(lián)系人，這比以未知個人身份發(fā)送郵件的釣魚成功率高4.5 倍。因此，本文提出H1 假設(shè)：可信來源與魚叉式網(wǎng)絡(luò)釣魚易感性之間存在正相關(guān)關(guān)系。

魚叉式網(wǎng)絡(luò)釣魚的系統(tǒng)式線索體現(xiàn)在郵件內(nèi)容的上下文中，是指郵件的主題內(nèi)容與收件人高度相關(guān)，使目標處于一個特定的情境中，這會使郵件內(nèi)容中提到的相關(guān)互動合理化，從而誘使目標泄露更多信息。諸多研究表明電子郵件的上下文與魚叉式網(wǎng)絡(luò)釣魚易感性具有相關(guān)性。例如，Goel 等［6］針對大學(xué)生興趣愛好設(shè)計的魚叉式網(wǎng)絡(luò)釣魚導(dǎo)致了較高的易感性；Luo 等［7］根據(jù)學(xué)校對相關(guān)部門進行預(yù)算削減的傳言設(shè)計了針對師生的魚叉式網(wǎng)絡(luò)釣魚；Bullee［10］研究發(fā)現(xiàn)僅通過挖掘Facebook 上的數(shù)據(jù)便可針對85%的用戶作出與其相關(guān)的含有上下文的電子郵件；Bossetta［20］通過設(shè)計電子郵件的上下文來操縱人類的心理弱點，如貪婪、恐嚇和社會需求等，其發(fā)現(xiàn)將信息情境化以迎合接收者的心理弱點會增加其對網(wǎng)絡(luò)釣魚的易感性。因此，本文提出H2 假設(shè)：上下文與魚叉式網(wǎng)絡(luò)釣魚易感性之間存在正相關(guān)關(guān)系。

2.3 認知努力與魚叉式網(wǎng)絡(luò)釣魚易感性

認知努力是指個體在瀏覽魚叉式網(wǎng)絡(luò)釣魚郵件以及作出類型判斷時所花費的認知方面的努力［6］。研究表明［4，21］，個體大腦前額葉氧合血紅蛋白（Oxygenated Hemoglobin，HbO）濃度的變化與工作記憶情況以及心理、認知努力水平等有關(guān)，具體表現(xiàn)為當個體投入更多認知努力時，大腦前額葉的動脈血流速度會加快，HbO 激活水平更高，HbO 濃度也會隨之升高；個體大腦右顳葉HbO 濃度的變化則與語言處理和語義記憶相關(guān)，這些區(qū)域的較高激活程度表明個體對郵件信息內(nèi)容上的認知努力投入增多［4］。因此，fNIRS 下大腦皮層相關(guān)腦區(qū)的激活指標能在一定程度上反映個體在面對不同線索時認知努力的投入變化情況［22］。因此，本文提出H3 假設(shè)：相較于可信來源，在面對上下文時，個體的認知努力程度更高。

個體在評估魚叉式網(wǎng)絡(luò)釣魚郵件時的認知努力包括在檢測郵件中的外圍線索或主題信息方面的努力，通過付出認知努力個體可提高判斷信心［18，23］。認知努力已被證實對魚叉式網(wǎng)絡(luò)釣魚的易感性有影響。例如，Goel 等［6］和Musuva 等［24］研究表明，個體對魚叉式網(wǎng)絡(luò)釣魚郵件的易感性取決于其在處理網(wǎng)絡(luò)釣魚郵件時所花費的認知努力，對網(wǎng)絡(luò)釣魚郵件作出回應(yīng)的可能性隨著低水平的認知努力而增加，反之，在高水平的認知努力下，用戶不太可能上當受騙。因此，本文提出H4 假設(shè)：認知努力與魚叉式網(wǎng)絡(luò)釣魚易感性之間存在負相關(guān)關(guān)系。

3 研究設(shè)計

3.1 被試者信息

根據(jù)類似實驗范式［4］確定被試者20 人，其中男性9人，女性11 人，平均年齡為（21.3±2.36）歲，包括16 名本科生、3 名碩士和1 名博士。所有被試者均為右利手，視力或矯正視力正常，無色盲、腦損傷、神經(jīng)疾病或精神病史，且近期未服用過安定類藥物，符合實驗要求。實驗前告知被試者實驗儀器、實驗指導(dǎo)語和相關(guān)注意事項等，所有被試者均簽署書面知情同意書，實驗結(jié)束后支付被試者一定的報酬。

3.2 實驗方法

魚叉式網(wǎng)絡(luò)釣魚郵件根據(jù)文獻［14］中針對大學(xué)生設(shè)計的內(nèi)容主題，并結(jié)合真實魚叉式網(wǎng)絡(luò)釣魚案例［25］設(shè)計，分為兩類：一類郵件含有可信來源這一啟發(fā)式線索，具體表現(xiàn)為郵件發(fā)件人名稱模擬學(xué)校的官方機構(gòu)，郵件地址模擬學(xué)校的域名；另一類郵件含有上下文這一系統(tǒng)式線索，具體為校園活動、學(xué)生優(yōu)惠活動和學(xué)習(xí)資料等［6］。

采用事件相關(guān)設(shè)計，包括20 個試次，每個試次由注視點（+）和魚叉式網(wǎng)絡(luò)釣魚郵件構(gòu)成。實驗時首先呈現(xiàn)本次實驗的簡單說明，之后呈現(xiàn)10 s 空屏，使被試者前期信號穩(wěn)定下來，隨后開始呈現(xiàn)試次。每個試次包括注視點呈現(xiàn)時間10 s，之后出現(xiàn)魚叉式網(wǎng)絡(luò)釣魚郵件，被試者觀看后對其進行類型判斷，如果認為是真實正常的郵件，則按“y”鍵；如果認為是虛假詐騙的郵件，則按“n”鍵。作出判斷后進入下一個試次。被試者在注視點呈現(xiàn)期間需盯住十字中心，以使心情平靜下來。呈現(xiàn)給不同被試者的魚叉式網(wǎng)絡(luò)釣魚郵件順序隨機。實驗持續(xù)時間為10 min 左右。具體實驗流程見圖2。

Fig.2 Experimental flow圖2 實驗流程

3.3 近紅外數(shù)據(jù)采集

個體在閱讀電子郵件內(nèi)容并進行郵件類型判斷時會對電子郵件的各種線索投入一定的認知努力，表現(xiàn)為判斷時間和大腦皮層血氧濃度變化［4］，這些數(shù)據(jù)可通過結(jié)合fNIRS 設(shè)備的認知神經(jīng)實驗獲得。本文采用便攜式近紅外腦成像系統(tǒng)Artinis Brite24 對大腦皮層血氧濃度變化進行檢測，采樣頻率為10 Hz，儀器光源波長為760 nm 和850 nm，包含10 個發(fā)射器和8 個接收器，光極間距為30 mm，共24 個通道。光極放置采用國標10/20 系統(tǒng)。參照已有研究［4］，本實驗主要檢測右顳葉腦區(qū)和前額葉腦區(qū)，每名被試者右顳葉腦區(qū)（通道1-12）和前額葉腦區(qū)（通道13-24）各有12個采集通道。

4 數(shù)據(jù)分析

4.1 數(shù)據(jù)預(yù)處理

使用基于MATLAB 2016b 的NIRS-KIT 軟件包，按照以下步驟對近紅外數(shù)據(jù)進行預(yù)處理：①去漂移。使用多項式回歸模型估計線性或非線性趨勢，從原始血紅蛋白濃度信號中減去該趨勢；②運動校正。使用時間導(dǎo)數(shù)分布修復(fù)（Temporal Derivative Distribution Repair，TDDR）進行運動偽跡校正；③濾波?；诳焖俑道锶~變換，使用0.02～0.12 Hz 的帶通濾波器去除生理噪聲與基線漂移。近紅外數(shù)據(jù)預(yù)處理流程如圖3所示。

Fig.3 Pre-processing flow of fNIRS data圖3 近紅外數(shù)據(jù)預(yù)處理流程

由于不同濃度HbO 對不同區(qū)域的激活程度差異不具有統(tǒng)計意義，本研究采用廣義線性模型（General Linear Model，GLM）［26］對HbO 濃度數(shù)據(jù)進行分析處理，得出具有統(tǒng)計學(xué)意義且與HbO 濃度相關(guān)的比例系數(shù)β值。β代表任務(wù)反應(yīng)的振幅，其值越大表明激活程度越高，被試者付出的認知努力越多。

4.2 行為數(shù)據(jù)分析

4.2.1 判斷時間

判斷時間是指被試者在看到郵件展示內(nèi)容到按下鍵盤上的按鈕來對郵件類型作出判斷所花費的時間，其可側(cè)面反映被試者所投入的認知努力程度［27］。經(jīng)過Shapiro-Wilk 檢驗，本文數(shù)據(jù)不滿足正態(tài)分布。采用Wilcoxon 檢驗對兩種線索下的判斷時間進行比較分析，可信來源的平均判斷時間為11.43 s，小于上下文的平均判斷時間為13.37s，p=0.032<0.05，兩者存在顯著性差異。采用四分位法獲得數(shù)據(jù)，制作小提琴圖，其中可信來源的25%百分位數(shù)為6.50 s，中位數(shù)為10.00 s，75%百分位數(shù)為14.95 s；上下文的25%百分位數(shù)為7.35 s，中位數(shù)為12.15 s，75%百分位數(shù)為16.85 s?？尚艁碓春蜕舷挛牡呐袛鄷r間比較如圖4（彩圖掃OSID 碼可見，下同）所示。

Fig.4 Judgement time comparison of plausible sources and contexts圖4 可信來源和上下文的判斷時間比較

4.2.2 魚叉式網(wǎng)絡(luò)釣魚易感性

易感性判斷指標為郵件中被被試者認定為真的數(shù)量占全部判斷結(jié)果的比例［14］。如圖5 所示，被試者在面對可信來源的魚叉式網(wǎng)絡(luò)釣魚時，其易感性為65%；在面對上下文的魚叉式網(wǎng)絡(luò)釣魚時，其易感性為55%。假設(shè)H1 和H2 得到驗證，經(jīng)卡方檢驗，兩種線索的易感性不存在顯著性差異（z=1.118，p=0.264>0.05）。

Fig.5 Spear phishing susceptibility圖5 魚叉式網(wǎng)絡(luò)釣魚易感性

4.3 近紅外數(shù)據(jù)分析

4.3.1 右顳葉腦區(qū)

經(jīng)過配對樣本t檢驗和FDR 校正后，可信來源和上下文在右顳葉腦區(qū)通道1、6 和12 中的激活結(jié)果存在統(tǒng)計學(xué)差異，其β值的平均值、標準差和檢驗結(jié)果見表2?？梢钥闯?，通道1 中的上下文β值和可信來源β值之間有顯著性差異（t=2.397，p=0.027<0.05）；通道6 中的上下文β值和可信來源β值之間有顯著性差異（t=2.152，p=0.045<0.05）；通道12 中的上下文β值和可信來源β值之間有顯著性差異（t=2.162，p=0.044<0.05）?？傮w來說，上下文相較可信來源在這3 個通道中的激活程度更高。采用NIRS-KIT 軟件制作兩種線索在右顳葉腦區(qū)的激活情況比較圖，顏色越接近紅色表明激活程度差異越明顯，具體如圖6所示。

Fig.6 Comparison of activation of context and trusted sources in the right temporal lobe brain region圖6 上下文和可信來源在右顳葉腦區(qū)的激活情況比較

Table 2 β mean value，standard deviation，and test results of trusted sources and contexts in the right temporal lobe brain area表2 右顳葉腦區(qū)可信來源和上下文β值的平均值、標準差和檢驗結(jié)果

4.3.2 前額葉腦區(qū)

經(jīng)過配對樣本t檢驗和FDR 校正后，可信來源和上下文在前額葉腦區(qū)通道15、22 和24 中的激活結(jié)果存在統(tǒng)計學(xué)差異，其β值的平均值、標準差和檢驗結(jié)果見表3?？梢钥闯?，通道15 中的上下文β值和可信來源β值之間有顯著性差異（t=3.115，p=0.006<0.05）；通道22 中的上下文β值和可信來源β值之間有顯著性差異（t=3.002，p=0.007<0.05）；通道24 中的上下文β值和可信來源β值之間有顯著性差異（t=2.836，p=0.011<0.05）?？傮w來說，上下文相較可信來源在這3 個通道中的激活程度更高。采用NIRS-KIT 軟件制作兩種線索在前額葉腦區(qū)的激活情況比較圖，顏色越接近紅色表明激活程度差異越明顯，具體如圖7所示。

Fig.7 Comparison of activation of context and trusted sources in the prefrontal lobe area圖7 上下文和可信來源在前額葉腦區(qū)的激活情況比較

Table 3 β mean value，standard deviation，and test results of trusted sources and contexts in the prefrontal brain region表3 前額葉腦區(qū)可信來源和上下文β值的平均值、標準差和檢驗結(jié)果

綜上所述，被試者對含有上下文的釣魚郵件的判斷時間多于含有可信來源的釣魚郵件；含有上下文的釣魚郵件對被試者右顳葉和前額葉腦區(qū)的激活程度比含有可信來源的釣魚郵件更強。表明被試者對含有上下文的釣魚郵件投入了更多認知努力，H3假設(shè)得到驗證。

4.3.3 相關(guān)性分析

對含有上下文和可信來源的魚叉式網(wǎng)絡(luò)釣魚郵件激活各腦區(qū)通道所得的β值與易感性進行斯皮爾曼相關(guān)分析，探討其是否存在相關(guān)性。結(jié)果表明，包含上下文的釣魚郵件對前額葉腦區(qū)通道18 的β值與易感性呈現(xiàn)負相關(guān)性，與H4 假設(shè)一致，但統(tǒng)計學(xué)意義不顯著（p>0.05），因此H4 假設(shè)未得到驗證。認知努力與魚叉式網(wǎng)絡(luò)釣魚易感性之間不存在顯著負相關(guān)性，即投入更多的認知努力不會顯著提高識別出魚叉式網(wǎng)絡(luò)釣魚的可能性。

5 結(jié)語

本文基于HSM 模型，采用fNIRS 結(jié)合認知神經(jīng)實驗對魚叉式網(wǎng)絡(luò)釣魚的啟發(fā)式和系統(tǒng)式線索與易感性之間的關(guān)系進行了探究。行為數(shù)據(jù)和近紅外數(shù)據(jù)分析結(jié)果表明，可信來源這一啟發(fā)式線索和上下文這一系統(tǒng)式線索均與易感性有正相關(guān)性，且上下文的易感性略低于可信來源，但二者不存在顯著性差異；個體在面對含有上下文的魚叉式網(wǎng)絡(luò)釣魚郵件時需投入比可信來源更多的認知努力，但認知努力程度與易感性之間不存在顯著負相關(guān)性，即投入更多判斷時間和認知努力不會顯著降低易感性。

本文研究存在的不足之處及相應(yīng)的后續(xù)研究方向為：①僅使用fNIRS，沒有聯(lián)合應(yīng)用眼動檢測儀和fMRI 等設(shè)備形成多模態(tài)組合全面分析個體面對魚叉式網(wǎng)絡(luò)釣魚時的認知努力投入，后續(xù)可使用更多測量儀器觀察被試者的反應(yīng)；②被試者均為在校大學(xué)生，后期需對更多群體進行針對性研究；③未分析啟發(fā)式線索與系統(tǒng)式線索之間的相互作用及其對易感性的影響，許多釣魚郵件并非只含有某一種單一線索，后續(xù)可使用更復(fù)雜的郵件內(nèi)容進行研究。