Psykologien bag phishing: Når emails bliver farlige

15 oktober, 2020
Har du modtaget en mistænksom email, som beder dig om at tage hurtig affære eller dele personlig information? Det var sandsynligvis et tilfælde af phishing, en moderne almindelig scam.

Som teknologien udvikler sig, tilpasser alt sig og ændrer sig med den. Kriminel aktivitet er ingen undtagelse. Cyberkriminalitet er almindeligt og kommer i mange udgaver. Der er spyware, adware, worm, trojanske heste, vira osv. En af de mest almindelige former for cyberkriminalitet er phishing, som indebærer at stjæle folks information via email.

Cyberkriminelle udgiver sig for personer eller virksomheder og sender emails, som beder dig tage hurtig affære og give dem information. Disse emails ser ofte ud til at komme fra virksomheder, som du enten kender eller har en konto hos. De truer måske med at lukke din konto eller opkræve penge, hvis ikke du gør, hvad emailen kræver.

Hvis du åbner en af de filer, som er vedhæftet i emailen, eller giver dem information (bankinformation eller personlig information), vil de bruge dette til deres fordel. Phishing er en effektiv måde til at snyde en masse mennesker på samme tid. Eksperter anslår, at der var 9 millioner angreb af phishing i 2019.

Mens disse typer snyd kan være lette at identificere, er nogle cyberkriminelle så dygtige til at få folk til at gå i deres fælde. De spiller på folks grundlæggende følelser og psykologiske processer på en sådan måde, at du ikke indser, at du bliver bedraget.

Mand med hættetrøje sidder ved computer og er i gang med phishing

Phishing: Social opfindsomhed

Cyberkriminelle bruger koncepter fra sociologi og socialpsykologi til at udvikle deres kriminalitet. De spiller som regel på fire menneskelige følelser: Grådighed, nysgerrighed, medlidenhed og frygt. Kombinationen af disse følelser får mennesker til at reagere nærmest instinktivt.

Ved at spille på disse fire følelser og være klar over andre typer social adfærd, har personerne bag phishing dermed udviklet forskellige taktikker til at få personer til at videregive personlige informationer.

Efterfølgende vil vi beskrive de tre typer adfærd, som personer bag phishing benytter sig af for at snyde folk. Selvfølgelig afhænger succesen af denne type angreb af den individuelles personlige karaktertræk samt deres evne til at opdage mistænksom adfærd.

Respekt for autoriteter

Mennesket har tendens til at adlyde ordrer eller instruktioner fra personer, som er i magtpositioner. Med andre ord har vi en kognitiv bias, som gør, at vi glemmer (måske blot et øjeblik) vores egne meninger eller potentielle konsekvenser af en handling. Med frygt som drivkraft skynder vi os at adlyde ordrer fra vores “overordnede”.

Personerne bag phishing vil måske repræsentere en autoritet ved at lade som om, de er direktør i en virksomhed, en vigtig statsorganisation eller en kendt virksomhed med godt omdømme.

De sender emails, hvori de udgiver sig for at store anerkendte virksomheder og beder dig gøre noget, som synes relevant for deres forretning. Det giver en følelse af tryghed at se et firmanavn, som du kender. Dermed er du mere tilbøjelig til at tro, at det, du læser, er sandt.

Et eksempel på denne type snyd er en email, som påstår at være fra SKAT, som beder dig klikke på et link for at få udbetalt din overskydende skat. Et andet eksempel er en email fra et virksomhed, som beder dig åbne en fil vedrørende et “nyt projekt”.

Phishing indebærer følelsen af, at det haster

Denne manipulationsstrategi er meget almindelig, og ikke kun inden for kriminel aktivitet. Marketing virksomheder bruger det også. Grundlæggende handler det om at skabe en falsk hastesag, som kræver af brugeren, at de tager hurtige beslutninger og handler hurtigt.

Når de bruger denne strategi, spiller de på folks frygt for, at noget slemt vil ske, hvis ikke de handler hurtigt.

Emnet i en sådan email er designet til få folks alarmklokker til at ringe. “Din computer har en virus” eller “nogen har forsøgt at logge ind på din konto” er blot nogle eksempler. En anden variation er at fortælle dig, at du bliver nødt til at være den første til at gøre noget.

For eksempel “kun de første 50, som registrerer, vil vinde en præmie”. Her kan frygten for at gå glip af en chance få dig til at tro på snyd uden at tage højde for andre muligheder.

Målet er her at skabe frygt, så du vil tage en uovervejet og irrationel beslutning. De regner med, at din rationelle hjerne ikke har tid til at sætte spørgsmålstegn ved de mistænkelige aspekter ved emailen, som ellers ville indikere, at det er snyd.

Som regel bruger de også store ord og farven rød til at forstærke følelsen af hast og fare. Problemet er her, at selvom du ikke er helt overbevist af beskeden, vil du måske gå i fælden alligevel. Det skyldes, at du vil handle, hvis det nu skulle vise sig, at det var sandt.

Automatiske handlinger

Gennem dagen gør du mange ting helt automatisk uden at være fuldt klar over det. Det er i reglen resultatet af erfaring og repetition. Du tænder for autopilot og lægger ikke meget mærke til, hvad du laver. For eksempel at klikke på den store røde knap, som siger “klik her”, istedet for den lille knap, som siger “afmeld”.

Personerne bag phishing bruger denne type automatisk adfærd til deres fordel. De bruger den for eksempel, når de beder dig om at gensende en email, som ser ud til aldrig at være blevet sendt.

Det kan også være, at de indsætter et link, som eftersigende tager dig til en side, hvor du kan afmelde dit abonnement på noget eller stoppe med at modtage nyhedsbreve fra et firma. De er selvfølgelig alle falske.

Disse strategier er effektive og farlige. De virker harmløse og minder meget om ting, vi gør hele tiden. Phishing udnytter disse tendenser og håber at fange os ved at føre os ud i at gøre ting, vi gør hele tiden og derfor ikke lægger mærke til.

Disse angribere er effektive, når de kan få os til at skimme hen over detaljer og tage beslutninger uden at tænke for meget over dem.

Phishing på tastatur

Hvordan undgår vi at gå fælden?

Nogle er bedre end andre til at identificere disse emails. Men alle er potentielle ofre. Hvis du vil undgå at blive et offer for denne type bedrag, er det vigtigt at være klar over de mulige farer. Læs altid hele mailen igennem grundigt. Giv den din fulde opmærksomhed. Hvis ikke du kender den person, som har sendt den, så tjek om emailadressen er rigtig.

Det vigtigste er at undgå at tage forhastede beslutninger. Husk at stoppe op og overveje konsekvenserne. Beslut dig om, hvorvidt beskeden giver mening. Beslut, om du tror, at denne virksomhed eller person ville sende dig denne type email.

Tag dig tid til at tænke over, hvad emailen betyder, og se efter mistænkelige tegn. Hvis du opdager tegn på phishing, er det også vigtigt, at du anmelder det.