Psykologien ved phishing: Når e-post er farlig

18 november, 2020
Har du noen gang fått en mistenkelig e-post der du blir bedt om å iverksette hastetiltak eller dele personlig informasjon? Det var sannsynligvis et tilfelle av phishing, en vanlig moderne svindel.

Etter hvert som teknologien utvikler seg, tilpasses alt og endres med den. Kriminell aktivitet er ikke noe unntak. Nettkriminalitet er vanlig og tar mange former. Det finnes spionvare, adware, ormer, trojanske hester, virus, osv. En av de vanligste typene nettkriminalitet er phishing, som innebærer å stjele folks informasjon via e-post.

Nettkriminelle utgir seg som mennesker eller bedrifter og sender e-post som sier at du må gjøre hastetiltak og gi viss informasjon. E-postene ser ofte ut til å være fra selskaper du kjenner, eller du har en konto hos, og de kan true med å stenge kontoen din eller belaste deg hvis du ikke gjør hva e-posten sier. Hvis du åpner en ondsinnet fil som er knyttet til en av disse e-postmeldingene eller oppgir viss informasjon (bankinformasjon eller personlig informasjon), bruker de den til deres fordel. Phishing er en effektiv måte å svindle mange på en gang. Eksperter anslår at det var ni millioner phishing-angrep i 2019.

Selv om denne typen svindel kan være enkel å identifisere, er noen nettkriminelle dyktige i å få folk til å falle i fellen. De leker med menneskers grunnleggende følelser og psykologiske prosesser på en slik måte at du ikke skjønner at du blir lurt.

En hacker i hettegenser.

Phishing: Sosial oppfinnsomhet

Nettkriminelle bruker konsepter fra sosiologi og sosialpsykologi for å designe svindlene sine. De spiller vanligvis på fire forskjellige menneskelige følelser: grådighet, nysgjerrighet, medlidenhet og frykt. Kombinasjonen av disse følelsene får folk til å reagere nesten instinktivt.

Derfor, ved å leke med disse fire følelsene, og være klar over annen sosial atferd, har phishing-angripere utviklet forskjellige taktikker for å få folk til å avsløre sensitiv informasjon. Videre vil vil beskrive de tre typene atferd som phishing-angripere benytter seg av for å svindle folk. Selvfølgelig avhenger suksessen til disse typene angrep av individets personlige egenskaper og deres evne til å oppdage mistenkelig atferd.

Respekt for autoritet

Mennesker har en tendens til å adlyde ordrer eller instruksjoner fra mennesker som har maktposisjoner. Med andre ord har vi en kognitiv bias som får oss til å glemme (om bare for et øyeblikk) våre egne meninger eller potensielle konsekvenser av en handling. Med frykt som hoveddrift, skynder vi oss å adlyde ordren til våre “overordnede”.

Phishing-angripere kan representere autoritet ved å late som om de er direktør for et selskap, en viktig statlig organisasjon eller et prestisjetungt selskap. De pleier å sende e-postmeldinger som utgir seg som bedrifter eller store, kjente selskaper, og ber deg gjøre noe som virker relevant for deres virksomhet. Å se et firmanavn som du kjenner igjen, gir deg en følelse av sikkerhet. Dermed er det mer sannsynlig at du tror at det du leser er ekte.

Et eksempel på denne typen svindel er en e-post som hevder å være fra et skatteinnkrevingsbyrå, der du blir bedt om å klikke på en lenke for å få refusjon på skatten. Et annet eksempel er en e-post fra et selskapsdirektiv som ber deg om å åpne en fil om et “nytt prosjekt”.

En følelse av at det haster

Denne manipulasjonsstrategien er ekstremt vanlig, og ikke bare for kriminell aktivitet. Markedsføringsfirmaer bruker den mye også. I utgangspunktet innebærer det å skape en falsk hastesituasjon som krever at brukeren tar raske avgjørelser og handler raskt. Når de bruker denne strategien, bytter de ofte på frykten for at noe ille skal skje hvis de ikke handler.

Emnet for e-posten er utformet for å motvirke folks alarmklokker. “Datamaskinen din har et virus” eller “Noen har prøvd å få tilgang til kontoen din” er noen eksempler. En annen variant forteller deg at du må være den første til å gjøre noe. For eksempel, “Bare de første 50 personene som registrerer seg, får en premie”. Her kan frykten for å gå glipp av en mulighet få deg til å tro svindelen uten å vurdere andre muligheter.

Målet her er å utløse frykt slik at du tar en forhastet og irrasjonell beslutning. De stoler på at det rasjonelle sinnet ditt ikke rekker å stille spørsmålstegn ved de mistenkelige aspektene av e-posten som peker på at det er svindel. De har også en tendens til å inkludere store ord og fargen rød for å forbedre følelsen av hast og fare. Problemet her er at selv om du ikke er helt overbevist om meldingen, kan du uansett gå i fellen. Det er fordi du vil ta affære i tilfelle det faktisk er sant.

Automatiske handlinger

Gjennom dagen gjør du mange ting automatisk, uten å være helt klar over dem. De pleier å være et resultat av erfaring og repetisjon. Du aktiverer autopiloten din og legger liten vekt på hva du gjør. Ved å klikke på en stor, rød knapp som sier “Klikk her”, for eksempel i stedet for å klikke på en mindre rute som sier “Avbryt”.

Phishing-angripere bruker denne typen automatisk oppførsel til deres fordel. De bruker den når de ber deg om å sende en e-post på nytt som for eksempel virker som den aldri ble sendt. Eller inkluder en lenke som tilsynelatende tar deg til en side for å si opp abonnementet ditt på noe eller slutte å motta e-post fra et selskap. Alt disse lenkene er selvfølgelig falske.

Disse strategiene er effektive og farlige. De virker uskyldige og ligner veldig på ting vi gjør hele tiden. Phishing bytter på disse tendensene og håper å fange oss ved å lede oss til å gjøre ting vi gjør hele tiden, og derfor være mindre oppmerksomme på. Phishing-angripere er effektive når de kan få oss til å blåse i detaljene og ta avgjørelser uten å tenke for mye.

Et tastatur med en phishing-nøkkel.

Hvordan unngå å gå i phishing-fellen

Noen mennesker er bedre enn andre i å identifisere disse svindlene. Men alle er et potensielt offer. Hvis du vil unngå å bli offer for denne typen bedrag, er det viktig å være klar over de potensielle farene. Les alltid hele e-posten grundig. Gi den full oppmerksomhet. Hvis du ikke kjenner personen som sender den, kan du sjekke om e-postkontoen er ekte.

Det viktigste er å unngå å reagere for raskt. Sørg for at du stopper og vurderer konsekvensene. Bestem om meldingen gir mening. Bestem om du tror firmaet eller personen det ser ut til å være fra, vil sende deg denne typen e-post. Ta deg tid til å tenke på hva e-postmeldingen betyr, og se etter mistenkelige tegn. Hvis du identifiserer et phishing-angrep, er det også viktig å informere myndighetene.