تھوڑی دیر کے لئے دباؤ؟ پھر اس پر کلک نہ کریں، سائبرسیکیوریٹی ماہرین مشورہ دیتے ہیں: فشنگ سائیکولوجی اسٹڈی اس بات کی کھوج کرتی ہے کہ کارکنوں کو کس چیز سے کمزور بناتا ہے

اگرچہ ہم میں سے زیادہ تر — اگر سبھی نہیں — کام کی جگہ پر تناؤ محسوس کرتے ہیں، سائنسدانوں نے تناؤ کی ایک مخصوص شکل کی نشاندہی کی ہے جو اس بات کی نشاندہی کرتی ہے کہ کون جعلی مواد پر کلک کرنے کا زیادہ خطرہ ہے جو میلویئر اور دیگر سائبر بیماریوں کا باعث بن سکتا ہے۔ یہ کام کارکنوں اور ان کے آجروں کو انتباہی علامات کو پہچان کر سائبر سیکیورٹی کے دفاع کو بڑھانے میں مدد کر سکتا ہے جب کوئی خطرناک کلک کرنے والا ہو۔

ٹیم کے 153 شرکاء کے مطالعے کے نتائج حال ہی میں شائع کیے گئے تھے۔ جرنل آف انفارمیشن وارفیئر. محققین نے نوٹ کیا کہ اگرچہ نسبتاً چھوٹے نمونے کے سائز نے ان کی دو درجن سے زائد متغیرات کے درمیان تمام رشتوں کو چھیڑنے کی صلاحیت کو محدود کر دیا ہے، لیکن تناؤ اور نقلی فشنگ ای میل کے ردعمل کے درمیان تعلق شماریاتی لحاظ سے اہم تھا۔

فشنگ حملوں کے اخراجات بہت زیادہ ہیں۔ پروف پوائنٹ کے زیر اہتمام اور پونیمون انسٹی ٹیوٹ کے ذریعہ کئے گئے ایک تجزیے کا اندازہ لگایا گیا ہے کہ صرف 2021 میں فشنگ کے ذریعے بڑے امریکی کاروباروں کو اوسطاً 14.8 ملین ڈالر کا نقصان ہوا ہے۔

دفاع میں نہ صرف بہتر ٹکنالوجی شامل ہے بلکہ متاثرین کی بہتر آگاہی بھی شامل ہے۔

مطالعہ کے متعلقہ مصنف، PNNL ماہر نفسیات کوری فالن کہتے ہیں، “اپنے دفاع کے لیے پہلا قدم متغیرات کے پیچیدہ نکشتر کو سمجھنا ہے جو ایک شخص کو فشنگ کا شکار بناتا ہے۔” “ہمیں ان عوامل کو ختم کرنے کی ضرورت ہے جو لوگوں کو کسی مشکوک پیغام پر کلک کرنے کا زیادہ یا کم امکان بناتے ہیں۔”

اپنے مطالعے میں، فالون اور ساتھیوں نے پایا کہ جن لوگوں نے کام سے متعلق اعلیٰ سطح کی پریشانی کی اطلاع دی ہے، ان کے جعلی فشنگ ای میل کے لنک پر عمل کرنے کا زیادہ امکان ہے۔ خود اطلاع شدہ تکلیف میں ہر ایک پوائنٹ کے اضافے نے نقلی فشنگ ای میل کا جواب دینے کے امکانات کو 15 فیصد تک بڑھا دیا۔

سائنس دان پریشانی کو تناؤ کے احساس کے طور پر بیان کرتے ہیں جب نوکری پر کوئی شخص محسوس کرتا ہے کہ وہ ایک مشکل صورتحال میں ہے اور کام کو ہاتھ میں لینے سے قاصر ہے۔ پریشانی ان کے کام کا بوجھ بہت زیادہ محسوس کرنے سے پیدا ہو سکتی ہے، یا وہ سوال کر رہے ہوں گے کہ آیا ان کے پاس اپنے کام کو پورا کرنے کے لیے مناسب تربیت یا وقت ہے۔

فشنگ سائیکولوجی کو دریافت کرنے کے لیے فینسی فش

153 شرکاء نے ایک مطالعہ میں حصہ لینے پر رضامندی ظاہر کی تھی، لیکن وہ اس بات سے بے خبر تھے کہ چند ہفتوں بعد بھیجی گئی فشنگ ای میل انسانی عوامل کی تحقیق میں منصوبہ بند مطالعہ کا حصہ تھی۔

جہاں تک فشوں کی بات ہے، یہ ایک فینسی فش تھی۔ مثال کے طور پر، افریقی شہزادے کی طرف سے بڑی رقم کا کوئی ذکر نہیں تھا، اور نہ ہی کوئی صریح املا کی غلطیاں تھیں اور نہ ہی گرامر کی غلط غلطیاں تھیں۔

ایک ماہر نفسیات اور مطالعہ کی مصنفہ جیسیکا باویجا نے کہا، “یہ اچھی طرح سے تیار کی گئی ای میلز تھیں جنہیں جان بوجھ کر لوگوں کو دھوکہ دینے کے لیے ڈیزائن کیا گیا تھا اور تنظیم کے مطابق بنایا گیا تھا۔” “اس کا پتہ لگانا اوسط فش سے کہیں زیادہ مشکل تھا۔”

ہر شریک کو ان کی تنظیم میں لاگو کیے جانے والے مبینہ نئے ڈریس کوڈ کے بارے میں ایک پیغام کے چار مختلف ورژن میں سے ایک موصول ہوا۔ ٹیم نے تین عام فشنگ حربوں کا الگ الگ اور ایک ساتھ تجربہ کیا۔ انہیں جو ملا وہ یہاں ہے:

• عجلت۔ 49 فیصد وصول کنندگان نے لنکس پر کلک کیا۔ نمونہ متن: “یہ پالیسی اس نوٹس کی وصولی کے 3 دن بعد نافذ العمل ہو جائے گی… تبدیلیوں کو فوری طور پر تسلیم کریں۔”
• دھمکی۔ 47 فیصد کلک کیا گیا۔ “…ڈریس کوڈ میں اس تبدیلی کی تعمیل کریں ورنہ آپ پر تادیبی کارروائی ہو سکتی ہے۔”
• اقتدار. 38 فیصد کلک کیا گیا۔ “آفس آف جنرل کونسل کے مطابق…”
• تینوں حربے ایک ساتھ: 31 فیصد کلک ہوئے۔

جب کہ ٹیم نے توقع کی تھی کہ ایک ساتھ استعمال کیے جانے والے مزید ہتھکنڈوں کے نتیجے میں زیادہ سے زیادہ لوگ پیغام پر کلک کریں گے، ایسا نہیں تھا۔

“یہ ممکن ہے کہ جتنے زیادہ ہتھکنڈے استعمال کیے جائیں، اتنا ہی واضح ہو کہ یہ ایک فریب کاری کا پیغام تھا،” مصنف ڈسٹن آرینڈٹ، ایک ڈیٹا سائنسدان نے کہا۔ “حکمت عملی مجبوری ہونی چاہیے، لیکن ایک درمیانی بنیاد ہے۔ اگر بہت زیادہ حربے استعمال کیے جائیں، تو یہ واضح ہو سکتا ہے کہ آپ سے جوڑ توڑ کیا جا رہا ہے۔”

روزانہ کی کارروائیوں میں، PNNL وقتاً فوقتاً جعلی فشنگ ای میلز کے ساتھ اپنے عملے کی جانچ کرتا ہے۔ عام طور پر صرف 1 فیصد وصول کنندگان کلک کریں گے۔ PNNL کے چیف انفارمیشن سیکیورٹی آفیسر جوزف ہگبی نے کہا کہ بہت زیادہ ملازمین فش کو جلد ہی دیکھتے ہیں اور لیبارٹری کے سائبر سیکیورٹی ماہرین کو ہجوم سے متعلق الرٹ فراہم کرتے ہیں۔ جب ایک حقیقی فشنگ ای میل کا پتہ چل جاتا ہے، تو لیبارٹری فوری طور پر ای میل کی تمام مثالوں کے سسٹم کو صاف کر دیتی ہے۔ معلومات اکثر دیگر DOE لیبارٹریوں کے ساتھ شیئر کی جاتی ہیں۔

کم کرنے کے لئے انسانی مشین ٹیمنگ سائبر سیکورٹی خطرہ

کمپنیاں اور ملازمین خطرے کو کم کرنے کے لیے اس ڈیٹا کو کیسے استعمال کر سکتے ہیں؟

فیلون نے کہا، “ایک آپشن یہ ہے کہ لوگوں کو پہچاننے میں مدد کی جائے جب وہ پریشان محسوس کر رہے ہوں،” فیلون نے کہا، “تاکہ جب وہ خاص طور پر کمزور ہوں تو وہ اضافی آگاہ اور محتاط رہ سکیں۔”

مستقبل میں، ایک آپشن ہیومن مشین ٹیمنگ ہو سکتا ہے۔ اگر ایک الگورتھم کام کے پیٹرن میں تبدیلی کو نوٹ کرتا ہے جو تھکاوٹ یا عدم توجہ کی نشاندہی کر سکتا ہے، تو ایک سمارٹ مشین اسسٹنٹ ای میل سے وقفے کا مشورہ دے سکتا ہے۔ خودکار انتباہات عام ہوتے جا رہے ہیں، مثال کے طور پر، جب ڈرائیور غیر متوقع طور پر چلا جاتا ہے اور کار تھکاوٹ کے بارے میں انتباہ جاری کرتی ہے۔ محققین نے نوٹ کیا کہ مشین اسسٹنٹ سے ان پٹ کے ممکنہ فوائد کو ملازم کی رازداری کے خدشات کے خلاف وزن کرنے کی ضرورت ہوگی۔

باویجا نے کہا، “ای میل کو خطرے کے طور پر دیکھنا مشکل ہو سکتا ہے۔” “ہمارا قدیم دماغ ای میل کو خوفناک چیزوں کے برابر کرنے کے لیے وائرڈ نہیں ہے۔ آپ سارا دن ای میلز کے ذریعے کام کر رہے ہیں اور یہ معمول ہے؛ یہ سوچنے کی بہت کم وجہ ہے کہ وہ آپ کو یا ہماری تنظیم کو نقصان پہنچا سکتے ہیں۔

انہوں نے مزید کہا کہ “تنظیموں کو اس بارے میں سوچنے کی ضرورت ہے کہ لوگوں کو کس طرح اچھے انتخاب کرنے کی ترغیب دی جائے۔ لوگ فشنگ ای میلز کا پتہ لگانے کی اپنی صلاحیت کو بہت زیادہ سمجھتے ہیں۔”

پی این این ایل کے محققین کام جاری رکھے ہوئے ہیں، لیکن ایک موڑ کے ساتھ۔ یہ پوچھنے کے بجائے کہ کیا چیز لوگوں کو فشنگ کا زیادہ خطرہ بناتی ہے، وہ ان لوگوں کا ایک چھوٹا سا مطالعہ کریں گے جنہوں نے بیت کے خلاف مزاحمت کی، تاکہ وہ اپنے ای میل کی نگرانی کرتے ہوئے ان کی خصلتوں اور ذہنی حالت کے بارے میں مزید جان سکیں۔

یہ کام PNNL میں انسانی مشین ٹیمنگ اور انسانی عوامل کی تحقیق کے ایک وسیع پروگرام کا حصہ ہے، جس نے حال ہی میں انسانی عوامل پر ایک سمپوزیم کی میزبانی کی ہے۔

اس کام کو سائبرسیکیوریٹی اور انفراسٹرکچر سیکیورٹی ایجنسی نے مالی اعانت فراہم کی تھی، جو محکمہ ہوم لینڈ سیکیورٹی کا حصہ ہے۔ Arendt، Baweja اور Fallon کے علاوہ، مصنفین میں PNNL کے جی ینگ یون اور نک تھامسن اور Zhuanyi شا، جو پہلے PNNL کے تھے۔