Psychologia phishingu: niebezpieczne e-maile
Czy kiedykolwiek otrzymałeś podejrzaną wiadomość z pytaniem lub poleceniem, by coś pilnie zrobić? Prawdopodobnie padłeś ofiarą phishingu. Jest to powszechny rodzaj oszustwa. Opowiemy o nim w tym artykule.
Wraz z pojawieniem się technologii, a konkretnie z rozwojem Internetu, wszystko, co nas otacza dostosowywało się do tego formatu. Również przestępstwa. Cyberataki są dość powszechne i przybierały różne formy: oprogramowanie szpiegujące, oprogramowanie reklamowe, robaki lub trojany.
Innym z najczęstszych cyberataków jest phishing, który polega na kradzieży informacji za pośrednictwem poczty elektronicznej.
Ten rodzaj ataku jest bardzo niebezpieczny, ponieważ cyberprzestępcy podszywają się pod osoby lub firmy, które wymagają od użytkowników podjęcia konkretnych działań.
Wśród nich może być otwieranie złośliwego pliku lub podanie szeregu danych – bankowych lub osobistych – co zawsze będzie wyglądać na korzystne dla ofiary. Ponadto jest to metoda, która może bardzo szybko zostać przesłana dla wielu osób. Szacuje się, że w 2019 roku doszło do ponad 9 mln ataków tego typu.
Chociaż a priori zidentyfikowanie tych oszustw może wydawać się łatwe to przestępcy wiedzą, jak to zrobić, aby użytkownicy wpadli w ich pułapkę. Bawią się emocjami i podstawowymi procesami psychologicznymi ludzi wielokrotnie doprowadzając do tego, że ich strategia nie jest identyfikowana jako oszustwo.
Inżynieria społeczna phishingu
Cyberprzestępcy opierają swoje oszustwa na spostrzeżeniach z socjologii i psychologii społecznej. Generalnie wszystkie ich sztuczki są nastawione na grę na czterech emocjach: chciwości, ciekawości, żalu i strachu. Połączenie tych emocji sprawia, że ludzie reagują niemal instynktownie.
Bawiąc się tymi czterema aspektami i biorąc pod uwagę inne zachowania społeczne cyberprzestępcy phishingowi opracowali różne taktyki, aby skłonić nas do dostarczenia im cennych informacji.
W dalszej części artykułu opiszemy trzy główne zachowania, których używają, aby nas zaatakować. Będzie to jednak zależeć od indywidualnych cech każdej osoby i umiejętności rozróżniania sygnałów, które mogą posłużyć jako sygnał ostrzegawczy.
Szacunek dla autorytetu
Na ogół ludzie mają skłonność do wykonywania rozkazów lub poleceń bez wahania, jeśli pochodzą one od kogoś, kto ma pewnego rodzaju prestiż lub władzę.
Innymi słowy, to poznawcze nastawienie powoduje, że przez chwilę ignorują własne opinie lub konsekwencje swoich działań. I wykonują, głównie ze strachu, polecenia wydawane przez tę osobę.
Tą reprezentacją władzy może być szef, ważna organizacja państwowa lub nawet firma o określonym prestiżu. Dlatego w celu wyłudzenia informacji przestępcy często używają kont, które wyglądają jak korporacyjne żądając podjęcia działań, które mogą wydawać się odpowiednie.
W ten sposób odbiorca listu uzna na pierwszy rzut oka, że to, co czyta jest prawdziwe i da mu poczucie bezpieczeństwa.
Przykładem takiej strategii są oszustwa, które zostały przeprowadzone w imieniu Urzędu Skarbowego żądając dostępu za pomocą linku obiecując zwrotu podatku. Lub e-mail od kierownika firmy z prośbą o otwarcie pliku do nowego projektu.
Poczucie pilności
Ta technika manipulacji jest szeroko stosowana w obszarach innych niż phishing, takich jak marketing. Zasadniczo polega na stworzeniu sytuacji pilnej, która stawia użytkownika w sytuacji konieczności szybkiego działania. Podczas korzystania z tej strategii zwykle stosuje się również strach.
Odebrana wiadomość e-mail zawiera ostrzeżenie o niebezpieczeństwie. Na przykład: „Na Twoim komputerze wykryto obecność wirusów” lub „Ktoś próbował uzyskać dostęp do Twojego konta osobistego”.
Inną odmianą jest generowanie potrzeby bycia pierwszym („Tylko pierwsze 50 osób, które się zarejestruje otrzyma nagrodę”). Wówczas strach przed przegapieniem okazji może spowodować, że kupimy lub zaakceptujemy propozycję bez rozważania innych opcji.
Innymi słowy, wywołują strach, który prowadzi do nieprzemyślanej, szybkiej i irracjonalnej decyzji ignorując aspekty przekazu, które mogą być kluczowe. Ponadto często pojawiają się słowa na czerwono, aby wzmocnić poczucie zagrożenia.
Problem polega na tym, że nawet jeśli istnieją podejrzenia, że może to być oszustwo nadal możesz wpaść w pułapkę z powodu wątpliwości.
Działania automatyczne
Jest wiele działań, które wykonujemy automatycznie nie będąc ich w pełni świadomymi. Zwykle są wynikiem doświadczenia i powtarzalności, więc aktywujemy automatycznego pilota i nie zwracamy na nie większej uwagi.
Na przykład kliknięcie dużego czerwonego przycisku z napisem „kliknij tutaj” zamiast przycisku, który jest mnie widoczny.
W przypadku phishingu przestępcy wykorzystują te automatyzmy, aby ofiara łatwiej wpadła w pułapkę. Mogą z tego skorzystać prosząc nas o ponowne przesłanie wiadomości e-mail, która nie została wysłana.
Lub dając nam fałszywą opcję, aby nie otrzymywać więcej e-maili z danego konta. W rzeczywistości żadne z tych działań nie jest realne.
Ten rodzaj strategii jest skuteczny i niebezpieczny, ponieważ są pozornie niewinnymi działaniami, do których jesteśmy przyzwyczajeni. Oszuści wykorzystują to wiedząc, że w obliczu tego typu zadań nasza uwaga jest pomniejszona i nieświadomie wybieramy tylko dobrze widoczne informacje.
Oznacza to, że ignorujemy szczegóły i podejmujemy decyzje bez zbyt szczegółowej analizy.
Jak nie wpaść w pułapkę phishingu?
Oczywiście są ludzie, którzy lepiej niż inni wiedzą, jak wykryć tego typu oszustwa. Ale wszyscy jesteśmy potencjalnymi ofiarami. Dlatego, aby nie paść ofiarą phishingu należy w pierwszej kolejności zdać sobie sprawę z potencjalnego niebezpieczeństwa.
Dzięki temu cała wiadomość e-mail zostanie przeczytana bardziej świadomie. Jeśli nadawca nie jest znany spróbuj sprawdzić, czy konto e-mail jest prawdziwe.
A przede wszystkim musisz starać się nie reagować szybko. Myśl o konsekwencjach lub o tym, czy przekaz jest istotny. Lub czy zazwyczaj tego rodzaju wiadomości są przekazywane w tej formie. Poświęć chwilę, aby spróbować dostrzec znaki, które mogą być podejrzane.
Ponadto ważne jest, aby powiadomić władze, aby oszuści nie wyrządzili krzywdy innym ludziom.