بهره‌برداری مجرمان سایبری، از سوگیری‌هایِ شناختیِ مغز کاربران

می‌خواهیم در مورد این صحبت کنیم که چگونه دیدگاه مغز به‌عنوان یک سرمایه و اولویت‌دادن به سلامت مغز و در کنار آن ارتقای مهارت‌های مغزی از طریق آموزش، می‌تواند راه‌حل‌های جدیدی برای چالش جُرم سایبری در اختیار ما بگذارد.

برای خیلی از مردم در نگاه اولیه، گاهی جرائم سایبری شبیه داستان‌های علمی  ـ تخیلی است؛ اما واقیت این است که به‌تدریج که جنبه‌های بیشتری از زندگی اجتماعی، کاری و مالی ما آنلاین می‌شود، مجرمان هم این روند را به‌خوبی درک کرده و کسانی که دنبال بزهکاری و جرم و پول هستند هم به‌سمت فضای آنلاین کوچ کرده‌اند. همان‌طور که کامپیوتر را می‌توان هک کرد، مغز ما هم از طریق آنچه بدان مهندسی اجتماعی می‌گویند قابل هک‌شدن است.

اتفاقاً در تضاد با باور عامه، برآوردها حاکی از آن است که 84 درصد از کل 98 درصدِ هک‌ها، تکیه بر بهره‌برداری از آسیب‌پذیری‌های روانی ما دارد و نه الزاماً بر اساس هک‌کردن کُدهای کامپیوتری و یا نرم‌افزار و سخت‌افزار. بنابراین درصدِ بسیار درخورِتوجهی از هک‌ها ریشه در نرم‌افزار و سخت‌افزار ندارد.

به‌ویژه در دنیای امروز که فضای فیزیکی عمدتاً جای خود را به فضای مجازی داده و اطلاعات مختلفی از ما به‌صورت آنلاین و در شبکه‌های اجتماعی در دسترس است و هر روز ردّپای دیجیتالی ما بزرگ‌تر و بزرگ‌تر می‌شود، این مخاطرات و آسیب‌پذیری‌ها هم متنوع‌تر و وسیع‌تر و جدی‌تر شده‌اند.

معروف‌ترین نوعِ بهره‌برداری توسط مجرمان سایبری، آن چیزی است که اصطلاحاً مهندسی اجتماعی نام دارد و طی آن هکرها از طریق اطلاعات شبکه‌های اجتماعی و وب‌سایت‌های مختلف به اطلاعات شخصی و مالی ما دسترسی پیدا می‌کنند که گاهی به‌دلیل ذهنِ راحت‌طلبِ ما مثلاً در انتخاب رمز عبورهای ساده و روتین و قابل‌حدس مثلاً از 1 تا 6 است و یا رمز عبورهایی که شامل اطلاعات شخصی ما از قبیل نام و نام خانوادگی، اسم بچه‌ها، حیوانات خانگی، آدرس، تاریخ تولد و غیره است که حدس‌زدن آنها کاری نسبتاً ساده است. گاهی حتی برخی افراد، یک رمز عبور واحد را برای وب‌سایت‌ها و شبکه‌های اجتماعی مختلف استفاده می‌کنند و وقتی یکی از انها نشت پیدا کند، همه اکانت‌ها در معرض خطر خواهند بود. بنابراین اکثر مجرمان سایبری نه الزاماً نابغه‌های کامپیوتر هستند نه متخصص در هک بلکه شیادانی هنرمند هستند.

به‌عنوان مثالی از این سبکِ هک، در اینجا به دو مثال متداولِ حالت افراطی که جزو تکنیک‌های مهندسی اجتماعی هستند را اشاره می‌کنیم که اولی فیشینگ (phishing) و دومی spear phishing است. اگرچه معمولاً خود ایمیل‌ها خیلی از این‌ها را به‌عنوان اسپم فیلتر می‌کنند (به‌ویژه نوع اول را)؛ اما گاهی هم به‌ویژه نوع دوم از فیلتر عبور می‌کنند.

اکثر ماها احتمالاً با تلاش‌های فیشینگ و ویژگی‌های متداول آن آشنا هستیم. ابتدا این پیام‌ها با یک تهدید شروع می‌شوند؛ مثلاً نرم‌افزار شما نیاز به آپدیت دارد یا گارانتی و تاریخ آن منقضی شده است. در گام دوم، احتمالاً مشوقی از قبیل کارت هدیه رایگان یا نوعی پول بادآورده به شما ارائه می‌دهند و در نهایت درخواست اقدامی مانند کلیک بر روی یک لینک و یا بازکردن یک فایل ضمیمه خواهند داشت که در نتیجه‌ آن، بَدافزار روی سیستم نصب می‌شود و اطلاعات شخصی کامپیوتر در اختیار قرار خواهد گرفت.

بهترین عوامل حفاظتی شامل عوامل تجربه‌ای هستند؛ به عبارت دیگر، داشتن دانش و اطلاعات در امنیت سایبری، شناخت انواع شیادی‌های متداول، داشتن تجربه در استفاده از فناوری‌های دیجیتال. همه اینها می‌توانند سبب محافظت شوند؛ اما این دانش و تجربه، گاهی با عوامل ذاتی و سرشتی شخصیت افراد در ارتباط و تعامل قرار می‌گیرند. به‌عبارتی شخصیت و سرشت افراد هم فاکتوری مهم است. به‌عنوان نمونه، گاهی کسانی که مدارک بالای فنی دارند دچار اعتمادبه‌نفس بیش از حد در مورد توانایی تشخیص‌شان می‌شوند و طعمه قرار می‌گیرند.

یکی از بهترین چهارچوب‌ها برای درک اینکه چگونه افراد قربانی جرائم سایبری می‌شوند، درک مناسب سوگیری‌های شناختی (بایاس‌های ذهنی) است و همچنین درک هنجارهای اجتماعی است که اغلب توسط مجرمان سایبری مورد سوءاستفاده قرار می‌گیرند. چند نمونه از متداول‌ترین هنجارها یا سوگیری‌های شناختی در این زمینه به اختصار عبارت‌اند از:

1. اعتماد به نهادهای صاحب اختیار و قدرت (authority): اکثر افراد گرایش دارند که در مقابل افراد یا مؤسساتی که دارای قدرت و اختیار هستند پاسخگو باشند، مثل سازمان‌های دولتی، بانک‌ها، پلیس، مدیران و یا چهره‌های معروف. بنابراین وانمودکردن به ارسال پیام از جانب مقامات، ابزاری در جهت سوءاستفاده از این سوگیری شناختی است؛
2. چهره خیرخواهانه و اجتماعی به خود گرفتن: مجرمان ممکن است ظاهری مهربان و حامی اجتماع به خود بگیرند، به‌ویژه از طرفِ چهره‌های نوع‌دوست، سازمان‌های خیریه و یا افراد صمیمی و دلسوز؛
3. همرنگی با جماعت: مجرمان سایبری اغلب در پیام‌ها ادعا می‌کنند که پیش از این افراد زیادی از این اقدام منتفع شده‌اند به این امید که فرد را به همرنگی با بقیه ترغیب کنند؛
4. ایجاد حس تعهد در فرد: که مبتنی بر در دام هزینه غرق‌شدن در کاری است که فرد قربانی، به‌راحتی از هزینه اولیه‌ای که متحمل شده است، صرف‌نظر نمی‌کند؛ به‌عنوان نمونه یک سرمایه‌گذاری اندک اولیه توسط فرد مثل پرداخت تعرفه پردازش و یا هر هزینه جزئی اولیه می‌تواند فرد را تشویق به ارسال پول بیشتر برای کسب نتیجه مطلوب کند؛
5. تشویق به مقابله‌به‌مثل: مجرمان اغلب لطف یا جایزه اولیه‌ای را به مخاطب اعطا می‌کنند و این حس را در قربانی ایجاد می‌کنند که در عوضِ آن، اطلاعاتی در اختیار قرار دهد و لطف آنها را جبران کند.
6. فشار زمانی: اکثراً فشار زمانی را القا می‌کنند؛ مثلاً یک ضرب‌الاجل چندساعته یا چندروزه برای فرد تعیین می‌کنند که قربانی تحت نوعی فشار و استرس قرار گیرد؛
7. ارائه پاداش: اغلب نوعی پاداش پیشنهاد می‌کنند که این پاداش می‌تواند روانی، مالی یا فیزیکی باشد؛
8. ترس از ضرر: اکثراً اخطار می‌دهند که عدم پاسخ یا اقدام‌نکردن منجر به نوعی ضرر و زیان و جریمه و خسارت می‌شود.

بخشی از این سوگیری‌های شناختی ناشی از اختلال در سلامت روان است و به‌ویژه در سازمان‌ها و شرکت‌ها، افراد هنگامی که در معرض فشار، خستگی و استرس هستند، بسیار آسیب‌پذیرتر هستند؛ به‌ویژه در دنیای امروز که عدم اطمینان به‌دلیل تغییرات سریع فناوری، جهانی‌شدن و تغییرات آب‌وهوایی ، اکثر سازمان‌ها و پرسنل آنها را در حالت فشار قرار داده است.

یکی از روش‌های مهم مقابله و حفاظت در برابر این تهدیدها، علاوه بر سلامت روان و توجه بیشتر مدیران و کارفرمایان به بهداشت روان و سرمایه‌گذاری در این حوزه، آموزش و برگزاری دوره‌ها و کارگاه‌ها، همچنین ارتقای مهارت‌های ذهنی و درک سوگیری‌های شناختی است. سرمایه‌گذاری روی سرمایه‌ مغزی افراد می‌تواند نقش سپری حفاظتی را بازی کند. رویکر مغز به‌مثابه سرمایه می‌تواند محرک سیاست‌گذاری‌های جدیدی برای محل کار و نحوه سرمایه‌گذاری باشد. 

5965