Eddy Willems, a G DATA internetbiztonsági evangelistája szerint a kiberbűnözők a befolyásolás pszichológiai elveit kihasználva teremtik meg a kapcsolatot lehetséges áldozataikkal. Ha nem szeretnénk bedőlni, érdemes lehet ezeket megismernünk.

2019-ben megjelent Cyberdanger című könyvében Eddy Willems már kijelentette, hogy a legtöbb kiberbiztonsági kérdés és probléma technológiai és humán faktorok kombinációjának következménye. A kibertámadások többségének esélye sem lenne a sikerre kíváncsiság, naivitás vagy más emberi gyengeség nélkül.

A G DATA blogján most megjelent cikkében a szakértő hangsúlyozza, hogy a sikeres bűnözők tudják, hogyan működnek az emberek, és az átverések azért működnek, mert pszichológiai ismeretekre támaszkodva teremtik meg a kapcsolatot a lehetséges áldozatokkal.

De vajon miért kattintunk ismeretlen linkekre, vagy miért adjuk meg jelszavainkat idegeneknek? Robert Cialdini viselkedéskutató szerint hat általános elv befolyásol bennünket, ezek a kölcsönösség, konszenzus, következetesség, szimpátia, autoritás és szűkösség.

A kölcsönösség elve szerint az emberek úgy érzik, hogy az adósaik annak, aki tett értük valamit vagy felajánlott nekik valamit anélkül, hogy kimondottan elvárna valamit cserébe. Ez a tipikus jó szamaritánus megközelítés. Eddy Willems példája szerint ebben a forgatókönyvben egy üzenet érkezik a munkavállaló gépére. Az üzenet tartalma, hogy egy korábbi tettünk nagy problémát okozott valahol, a küldő azonban ezt nem szeretné nagy dobra verni, annak reményében, hogy a felső vezetés beavatása nélkül is meg lehet oldani a problémát. Itt jön képbe a megcélzott személy. A bűnöző megkérheti, hogy cselekedjen, például lépjen be egy webes felületre felhasználói adataival. Hiszen a jó szamaritánus nem engedi, hogy a korábbi probléma gondot okozzon, hanem időt és energiát nem kímélve segít annak megoldásában. Ez viszont morális adósságot generál, amit azzal fizetünk vissza, hogy a bűnöző által kért dolgot megtesszük – megadjuk az adatainkat egy általa megjelölt, hamis helyen, vagy telepítünk egy idegen fájlt.

A konszenzus elve szerint, amikor az emberek bizonytalanok, akkor mások segítségével alakítják ki véleményüket. Még ha biztosak is saját elveikben, meggyőződéseikben, a konszenzusos vélemény nagyon meggyőző tud lenni. Így például, amikor katasztrófa vagy háború van, a kiberbűnözők segélyszervezeteknek álcázva gyűjtenek segélyeket.

A következetesség elve azért működik, mert az emberek szeretnek a korábban ismertetett nézeteik szerint cselekedni. Az elköteleződés miatt nyomást éreznek, hogy bizonyos módon viselkedjenek. Értékelik másokban az őszinteséget, a megbízhatóságot, és ezt mindennapi életükben is vallják. A kiberbűnözők ezt is kihasználják, és például IT-munkatársnak kiadva magukat veszik rá a munkavállalókat, hogy kaput nyissanak számukra egy jelszó megadásával.

A szimpátia vagy kedvelés miatt egy szimpatikus telefonos hangnak könnyebben megadjuk adatainkat. Hiszen ezek az emberek szerethető karakterek, akikkel jólesik egy nagyot beszélgetni, megértő fülekre találni.

Sok esetben az autoritáskártyát is felhasználják a bűnözők. Ilyenkor például hamis e-mailt küldenek az ügyvezető nevében, melyben megkérnek, hogy utaljunk el bizonyos összeget egy adott számlára. Az emberek legtöbbször kérdezés nélkül megteszik, hiszen az utasítás egy magasabb rangú embertől érkezik. Egy másik klasszikus példa: a kiberbűnöző a bank nevében felszólít, hogy ellenőrizzük az adatokat, ha nem szeretnénk, hogy számlánkat zárolják.

Végül az utolsó elv a szűkösség. Így például ha az emberek azt gondolják, hogy egy bizonyos termék egy adott webáruházban korlátozottan elérhető, sokkal nagyobb valószínűséggel cselekednek figyelmetlenül. De példa lehet egy hamis levél is az adóhatóságtól, melyben arra kérik az embereket, hogy gyorsan válaszoljanak és kattintsanak a linkre, különben hamarosan nagyobb büntetést kapnak.

Trauma az áldozatoknak, veszteség a cégeknek

Csak mostanában kezdték el kutatni, hogy milyen traumát jelent, ha valaki internetes átverés áldozatává válik, és az első eredmények szerint a hatás a hagyományos bűnözéséhez hasonló. Mások nehezen értik meg, hogyan engedhette meg valaki, hogy átverjék. Sokan az áldozatokat okolják, még akkor is, ha a célzott támadásoknak még a hozzáértő felhasználók is bedőlhetnek.

Eddy Willems szerint ezért az oktatásban fontos és megkerülhetetlen szerep jut a munkáltatóknak, akik átfogó képzési programok segítségével kerülhetik el cégeik és munkavállalóik áldozattá válását. A G DATA nemrég tette hozzáférhetővé partnerei részére oktatási platformját, melynek anyagaiból a legtöbb támadási mechanizmus életszerű történeteken keresztül ismerhető meg.