网络犯罪心理学探究

要讨论网络犯罪心理学，有必要界定网络犯罪一词的含义。网络犯罪或计算机相关犯罪涉及计算机和网络，计算机可能被用于实施违法犯罪或将成为目标。网络犯罪与计算机无关:它与行为有关。

掌握网络罪犯的心理状态非常重要，因此我们可以将关于人类行为的关键见解与技术解决方案相结合。网络心理学被认为是行为科学中的一门新学科。网络心理学家研究新兴技术对人类行为的影响。

如果按照动机来预测黑客这个词，毫无疑问黑客可能是一个技能组合。不知何故，黑客这个词已经成为一个滥用和有害的术语，但如果我们回顾20世纪80年代或90年代，它被认为是一个令人印象深刻的技能集。但在这些时候，黑客完全被认为是负面的。从行为科学的角度观察黑客背后的心理，对黑客的人道主义理解会激发报复、愤怒等情绪。

许多网络罪犯都有相同的作案手法。例如，在钓鱼勒索软件中，他们试图说服受害者提供一些东西——新车折扣、抽奖计划、中奖和便宜的价值。

技术聪明的人成为网络罪犯的背后有很多原因，比如可怕的童年经历、精神压力和经济问题，这些都会导致个人感到极度贫困，并创造机会。这完全取决于黑客，可能是经济利益，只是因为有人会证明一个学位，破坏某人的资产。网络罪犯的心理可以从混合理论的角度来解释，混合理论实际上是日常活动和社会学习的理论。

日常活动理论

日常活动理论将犯罪与其环境联系起来，强调犯罪的生态过程。根据日常活动理论，受害的三个主要因素是有动机的罪犯的存在、有合适的目标和缺乏称职的监护人。1979年，Marcus Felson和Lawrence E. Cohen通过对其原则假设的实证评估，检验了对犯罪变化的解释。验证远离家庭和家人的活动分散将增加成为可接受的目标的可能性，并减少有能力的监护人的存在，

社会学习理论(SLT)

社会学习理论是通过观察学习。各种研究反映了从同伴群体学习的网络犯罪的社会学习理论，并解释了同伴社会影响和网络骚扰等犯罪机会之间的关系。

“你可以把马牵到水边，”莱斯特大学网络心理学副教授李·哈灵顿博士说。他毫不掩饰自己的愤怒。“除非公司受到攻击，或者他们知道有人受到攻击，否则不会采取任何措施保护自己。

李博士的核心专业领域是“网络安全背景下的人为因素和网络犯罪易感性”。而且Avast想知道为什么小企业主(中小企业)经常忽视网络威胁，无法保护他们的生计——他们经常为自己建设。

对于反病毒和技术媒体行业的许多人来说，他们很困惑为什么企业(尤其是中小企业)不保护自己免受来自网络犯罪分子的持续且通常成功的威胁。这个故事上了头条，统计数据支持了这次袭击的影响。例如:

• 美国消费者新闻与商业频道报告称，只有21%的美国中小企业准备好管理IT安全和抵御威胁。
• 由于数据泄露，22%的企业失去了客户，29%的企业失去了收入，23%的企业失去了商机。
• Beaming报告称，2018年第一季度，对英国公司的攻击增加了27%。

小企业主会锁门，会安装安全摄像头，会购买建筑保险，会为某些东西设置密码，但他们往往会选择在没有保护的情况下打开互联网大门。这使得他们容易受到网络攻击。

我们想知道为什么。

当我们查看统计数据时，很明显，受攻击的中小企业数量与投入的保护数量之间存在脱节。网络攻击让小企业损失数百万，其中约一半会受到攻击，但预防方面的支出非常少。

我们问Lee，尽管有威胁、新闻和统计数据，为什么如此多的中小型企业所有者选择错误地保护数字资产。

“这归结为一个合理的否认，”他解释道。“我们尝试与中小型企业和企业主讨论网络安全问题。我花了一年时间，试图让中小企业参与到我们正在做的事情中来，帮助他们了解和减轻风险。”

Lee解释了这个问题:拥有三名员工、一个网站和一些网上银行的人不认为网络安全是必不可少的。企业主的首要任务是盈利——确保他们继续经营。

“三个月后，”李继续说道，“当他或她成为勒索软件攻击的受害者并损失了10，000英镑时，突然之间，网络安全成为了焦点。”但是，正如他所说，已经太晚了。

有些人认为人们不愿意为杀毒软件付费是因为它感觉很遥远或者看不见。有些人认为杀毒软件是骗局，不能真正保护你。其他人依赖于“这永远不会发生在我身上”的方法。但是人们购买房屋保险和汽车保险，即使他们认为这永远不会发生在他们身上。许多人相信迷信，即使他们没有经验证据。

有趣的是——如果你不担心的话——当涉及到网络安全时，这种心态并没有改变。

李解释了研究如何表明大多数人不理解统计学，并补充说，即使他们理解，他们也不会相信。这是一句老话:“99%的统计都是现场产生的。”

“大多数人认为我在向他们推销什么，”李谈到自己的研究时说。“我需要人们思考的是，我们不是要卖给你什么东西，而是要帮助你保护自己。我们希望从长远来看能为您省钱。”

他的沮丧是网络安全的核心问题:“人们会想:如果这件事从未发生在我身上。如果这不是发生在过去的20年，它可能永远不会发生在我身上。那么，我为什么要花钱、花时间、花精力去做这些事情呢？

Avast一直在寻找公司分享他们被黑客攻击的故事，但可以理解的是，很少有人愿意公开。优步向黑客支付了10万美元来掩盖数据泄露。这意味着我们可能知道那些被攻击的小企业，但他们只是没有说出来，所以大家会继续认为“这不会发生在我身上”——直到它发生。

Lee对这种说法提出质疑，并询问某些代人的惰性是否应归咎于无知而非禁忌。“或者这只是一个合理的否认？”

他承认，羞耻感可能会对老一辈产生影响。

“我们是A&E，我称之为A&E综合症，”他说老一辈的成员带着断腿走了三个星期，因为他们“不想成为麻烦”。我们有时会在网络犯罪的老年受害者身上看到这种情况:他们对被骗感到羞耻，但他们认为这并不严重，或者他们不知道去哪里寻求帮助！"

中小企业则完全不同。他们的资源有限，必须优先考虑，很多都是家族企业。

“我知道至少有一个当地组织的老板让他14岁的儿子负责网络安全…因为“他懂电脑！”。"

现实是主观的:如果你从未被攻击过，那就是你的现实。直到它不是。

Lee解释说，这是一种基本的启发式反应，也是人类认知的一个基本方面:如果从未发生过，就不会发生。这意味着企业将继续受到攻击，亏损，有时甚至破产。

“如果每个人都认为这会发生在他们身上，他们就会训练他们的团队去发现可疑的电子邮件和链接，而不是使用不安全的公共Wi-Fi，”Lee说。“他们都有可靠的杀毒软件，不会有网络犯罪，因为它永远不会工作。”

Lee和他的团队研究了人们对商业相关网络安全的态度，并描述了他们的发现:

“业主有既得利益——这是他们的生活和生计。但是员工上班是为了工作拿工资，所以他们不认为保护公司免受网络风险是他们的责任，管理者应该这样做。此外，员工说:“我不知道我在做什么！“我怎么能对此负责呢？

该小组的研究还发现:

• 98%的员工表示是经理的责任(“这意味着在公司工作的大部分人都不关心网络安全。”)
• 大多数人不知道如何报告攻击或可疑电子邮件。

这种影响令人担忧。如果人们不关心网络安全，商业风险是什么？如果人们不报告攻击会发生什么？他们会坐在那里看着这一切发生吗？

这些都是中小企业需要克服的重要障碍。

副教授和Avast业务团队的共同使命是帮助保护中小型企业免受网络攻击。

“我们需要改变中小企业所有者和管理者的思维方式，以便他们能够参与解决问题，”他说。

“你可以给企业提供很多关于网络安全的信息，但归根结底，如果他们或他们的员工不感兴趣，我们也无能为力。从学术角度来说，这是令人沮丧的:我想做的是帮助企业解决这个问题。我们进去免费提供我们的服务，他们不想参与。”

公司似乎认为，如果我们不知道，就不会发生在我们身上。

“我们传达风险的方式必须改变。我们(作为学者)需要做一些事情来了解他们想要什么。他们了解什么，我们如何才能让它对他们更有用？”

“我希望公司意识到我不是来揭露他们的。我不在乎你的组织中是否有60%的人认为密码可以共享，我只想利用这些信息提出建议——我们实际上能做些什么？”

“我只想有人敲我的门说，‘是的，我有兴趣和你一起工作’。我有一份长长的清单，可以列出我能为他们提供帮助的公司和组织。”

探讨中小企业主或其员工对网络安全的消极态度，让他和他的团队帮助企业保护自己。

“我们甚至可以为组织省钱，”他说，并解释说中小企业很可能正在进行无用的培训。"组织花费在无用培训上的金额令人震惊."

最后，他说:“我真想去世界前100名的公司说，‘听着，我不想从你们每个人身上拿100万英镑。只要付钱给我来支持研究，让我联系你的员工，这样我们就可以建立一个信息库，以便我们可以识别你的风险。为什么会有风险，我们如何降低风险？我们可以做些什么来塑造您的员工对网络安全的态度，并帮助保护您的企业免受网络犯罪的侵害？"

各种网络攻击的工作原理以及网络犯罪分子是如何一次次欺骗我们的。

100多年来，心理学一直试图解释人类的行为。它的突破揭示了一些最令人困惑、最具破坏性和最违反直觉的人类习惯，从暴力、虐待和成瘾到自残、强迫症和抑郁症。

关于网络罪犯以及他们的攻击是如何进行的，心理学能告诉我们什么？他们用什么心理杠杆入侵我们的生活，窃取我们的数据，扰乱我们的生活？为什么我们似乎故意忽视这些威胁？

“简而言之，我关注网络安全和网络犯罪易感性背景下的人为因素。

当我们想到互联网时，我们会想到技术:软件和硬件。我们往往不考虑人性的一面:当我们创造和采纳的东西渗透到我们的生活中时，它们会产生怎样的影响。它影响了我们的认知和社会互动，我的领域开始更仔细地思考它是什么，它是如何工作的，它让我们有什么感觉。

心理学已经存在很多年了，但现代互联网只有20年的历史——所以它的影响是新的，而且在不断变化。五年前，没有人关心数据隐私，因为这不是一个问题。现在它是我们这个时代的主要问题。

“有很多潜在的东西可以利用。比如，从根本上说，社会工程就是心理学。攻击者不仅需要了解我们作为个体的工作方式，还需要了解我们作为社会个体的工作方式，然后加以利用。

有些人冒更大的风险。他们可能会访问他们不应该访问的网站，或者他们可能会访问未受保护的网站。攻击者利用了这一点。虽然网络罪犯可能会试图以人为目标，但有些人会因为他们的个性而使自己更容易受到攻击。

很多网络攻击都有类似的特征。如果你看看勒索软件、网络钓鱼甚至古老的尼日利亚王子骗局，攻击者会试图让受害者给他们一些通常是有价值的东西。或者试图从你这里得到一些有价值的东西来换取金钱。"

“比如勒索软件。我是一个攻击者，我会锁定你的重要文件，如果你不付钱给我，我会销毁它们。作为个人，你不希望这种情况发生，因为这对你很重要:你需要访问你的电子邮件、亚马逊账户和PayPal账户。因此，有两个因素:资源的概念和对资源的访问。如果有人限制访问，就会在心理上触发一些东西。攻击就是这样运作的。”

“尼日利亚的骗局略有不同。这通常是不劳而获的承诺——我们都喜欢免费的东西。只要把钱存入你的账户，当我们取回时，你可以得到10%——谁不想要10%的10，000英镑或其他承诺？一旦有人接受了这个原则，“费”就会突然出现，把你要收资金的钱转过去。人们一直付钱，直到他们认为他们已经受够了——而且他们永远不会得到任何钱。

这种攻击带来的是稀缺性和回报——也就是不劳而获的前景。"

“有一个被困国外的骗局。你收到一封你认识的人发来的紧急邮件，说他们在度假时被抢劫了，他们需要你给他们寄旅行支票。他们在夏天这样做，因为人们已经离开了。他们把事情弄得很紧急，所以人们不会用其他方式联系这个人，而是用情感纽带联系有需要的亲人。”

“网络钓鱼攻击变得越来越复杂，因为攻击者可以将自己描绘成你认识的人[称为鱼叉式网络钓鱼]。他们可以这样做，因为他们已经获得了访问您的电子邮件帐户或地址簿。这次攻击的目标是我们的信任。它旨在通过伪装成我们信任的人或组织来欺骗我们泄露信息。”

“显然，一些攻击者非常擅长他们的工作，显然做了功课。

社会工程的成功是一种经过时间磨练的技能。这些攻击者知道什么有效，什么无效。罪犯会看到什么是有效的，并添加自己的方法来改进它。所以，随着时间的推移，黑客变得更好，更有效，更复杂。

人们认为网络罪犯只是像孩子一样在卧室里尝试，但这些人将其视为一门生意，所以他们研究什么可行什么不可行也就不足为奇了。"

“是的，我认为这是一个很好的联系。即使是网络钓鱼，我们也看到越来越复杂的方法来操纵人们并获取他们的信息。

在大多数情况下，人们可以发现一个骗局——语法错误、拼写错误——但“匆忙”因素意味着我们可能没有注意到或注意到电子邮件中存在拼写错误的事实。犯罪分子知道他们可以利用我们变得越来越多任务的事实，因为时间很短。他们知道如果他们能制造一种紧迫感，他们的进攻会更好，因为我们在匆忙中会犯更多的错误。"

“我们在许多事情上都处于前沿。互联网和其他技术问题正在渗透到流行文化中。

问题是，技术往往远远领先于社会应有的对话。技术第一，心理反应第二。我们没有足够的时间来研究新技术的影响或潜在影响。它总是未经检查就被创建和提供，我们必须在事后做出响应。

有一场关于人工智能以及它将如何影响人类互动的辩论。在我们提供产品之前，我们应该进行一次辩论。"

“一点不错！物联网只是另一层安全威胁。人们会想，“物联网听起来很棒，让我们去做吧！“但他们不会认为:‘可能会有一些风险，可能会有一些威胁，在我们真正知道我们要做什么之前，我们不应该做任何事情。"

“大多数人忽略了在线风险。

一些人仍然认为为多个网络帐户设置单一密码或共享密码是个好主意。如果态度正在改变，情况就不是这样了。

最近的一项研究表明，当地70%的人属于网络犯罪的“风险”类别(例如，企业、16-25岁和老年人)。不仅仅是老年人。不仅仅是年轻人。整个人口年龄在18-60岁之间。

人们认为年轻人最适合网络生活，但我认为年轻人面临的风险最大。很简单:如果互联网是危险，上网会让你变得脆弱，那么你上网越多，你面临的风险就越大——尤其是如果你信任互联网，年轻人似乎也信任互联网。"

“这不是轻信，而是对风险缺乏认识。

如果我对你说:“让你的门开着”，你会说:“闭嘴，我会被抢劫！”然而，如果我说“去当地的公共Wi-Fi查询你的银行信息”，你可能会这么做。在我手机上。安全又好。

我们知道人们可以拦截Wi-Fi来窥探，进入你的设备或收集你的信息，但其他人不知道，所以他们继续这样做。没有足够多的人知道这些威胁的存在，在他们意识到之前，他们将继续成为新的和创新的网络犯罪方法的受害者。"

“这完全是关于普遍意识——网络安全的整体方法。大多数人倾向于这样划分:“我上班有网络安全，然后我家里有网络安全——我被覆盖了。"

但这是用词不当:个人可以将自己的风险引入工作场所，反之亦然。我们需要从整体上将网络安全视为一个个体:他们使用的每一件硬件和软件以及他们在任何地方采取的每一个行动都是安全的吗？因为每一个动作都会影响很多地方。

每个人都必须安全。你可能受到了很好的保护，但是如果你办公室里的某人从一个可疑的网站下载了最新一集的《权力的游戏》,并通过USB把它带到办公室，然后把它插到…系统。网络罪犯只需要1%的差距就能100%进入系统。

对员工进行潜在风险的教育是绝对必要的，因为如果你不这样做，你和你的企业都会受到攻击。"