Oszuści sięgają po cały arsenał środków psychologicznych – od heurystyk przez efekt autorytetu. Za skuteczność ataków odpowiada m.in. odwołanie się do automatycznych reakcji i skojarzeń, wskazuje Małgorzata Jungowska, psycholożka badająca zachowania osób atakowanych w cyberprzestrzeni.
Michał Kisiel: Jednym z najgroźniejszych typów oszustw online są obecnie scamy inwestycyjne. Ofiary nierzadko nie tylko wpłacają pieniądze rzekomym brokerom, a nawet instalują oprogramowanie dające zdalny dostęp do komputera. Jak przestępcom udaje się przekonać "klientów" do takiego zaangażowania, jaki jest psychologiczny schemat ich postępowania?
Małgorzata Jungowska*: Przestępcy osiągają swój cel poprzez zbudowanie zaufania przy równoczesnym stworzeniu poczucia pilności. Zacznijmy od tego drugiego elementu, czyli poczucia pilności.
Nasz mózg wykorzystuje dwa systemy w swoim działaniu: system refleksyjny (wolny) i system szybki. Ten ostatni charakteryzuje się szybkim podejmowaniem decyzji przy braku szczegółowej analizy. To znaczy, że wykorzystujemy skróty poznawcze, czyli tak zwane heurystyki. System szybki został ukształtowany w wyniku ewolucji i jest nam niezbędny, aby przeżyć. Gdy atakowało nas dzikie zwierzę, nie było czasu na refleksję, trzeba było działać natychmiast.
Drugim powodem, dla którego nasz mózg uruchamia system szybki jest oszczędność energii i “mocy obliczeniowej”. Jeśli trafiamy na problem podobny do tego, z którym się już spotkaliśmy, to niejako automatycznie reagujemy w podobny sposób. Wiedząc to, przestępcy posługują się poczuciem pilności, aby wyłączyć naszą refleksyjność, doprowadzić nas do błędnych wniosków i przejść w tryb działania (czyli np. wpłacenia pieniędzy), a stosowane w rozmowie przez oszustów techniki perswazji wykorzystują te właśnie skróty myślowe.
Po jakie chwyty sięga się, aby zbudować zaufanie? Dlaczego tracimy ostrożność, mimo że chodzi przecież o nasze pieniądze?
Aby zbudować zaufanie przestępcy, stosują tak zwany efekt autorytetu. Ludzie ufają osobom, które postrzegają jako ekspertów lub tym, którzy mają władzę. Oszuści podają się za specjalistów lub używają tytułów, aby zbudować pozory wiarygodności (np. doradca przedstawia się jako doktor ekonomii). Takie działanie buduje zaufanie i wyłącza refleksyjność.
Kolejnym ważnym czynnikiem jest zasada społecznego dowodu słuszności. Ludzie są skłonni naśladować decyzje innych, szczególnie w sytuacjach niepewności. Oszuści wykorzystują to, tworząc fałszywe dowody sukcesu i pokazując najczęściej znane osoby, które rzekomo skorzystały na inwestycji (w Polsce wykorzystano np. zdjęcie Roberta Lewandowskiego).
Istotną rolę odgrywa również efekt zakotwiczenia – pierwsza informacja, którą otrzymujemy na dany temat, często staje się punktem odniesienia dla wszystkich kolejnych decyzji. Oszuści starają się, żeby ich oferta była pierwszą informacją jaką otrzymamy na temat oferowanej inwestycji, a najlepiej pierwszą o jakiejkolwiek inwestycji. Wtedy każde kolejne informacje będziemy odnosić do tej pierwszej.
Charakterystyczną cechą działania oszustów jest częsty kontakt z ofiarą (mailowy lub telefoniczny). Celem tego działania jest z jednej strony zbudowanie więzi i zaufania, a z drugiej izolacja ofiary od zewnętrznych źródeł informacji i wsparcia. Jeśli przestępca jest jedynym źródłem informacji dla ofiary to trudno tą informację zweryfikować.
Wiele przynęt przygotowywanych przez oszustów (chociażby maile phishingowe, reklamy inwestycji, fałszywych sklepów online), zbudowanych jest niestarannie, bez dbałości o poprawność językową i szatę graficzną. Mimo tego takie schematy okazują się skuteczne. Jakie mechanizmy stoją za tą skutecznością? Czy kiepska przynęta to w istocie mechanizm selekcji najbardziej "naiwnych" użytkowników?
Oszuści szukają osób nie będących specjalistami w dziedzinie inwestycji oraz charakteryzujących się nadmiernym zaufaniem i skłonnością do ryzyka. Taka kombinacja cech powoduje, że przykładamy mniejszą wagę do analizy przynęty (reklamy, strony internetowej czy treści wiadomości), a większą do potencjalnych zysków. Dodatkowo ta kombinacja cech powoduje, że łatwiej jest przestępcy zdobyć nasze zaufanie.
Osoby skłonne do podejmowania ryzyka przykładają po prostu mniejszą wagę do takich elementów jak szata graficzna czy język – oni widzą niesamowitą okazję i chcą z niej skorzystać. Skłonność do ryzyka w psychologii to postrzeganie ryzyka przede wszystkim jako szansy na zdobycie korzyści. Osoba o dużej skłonności do ryzyka częściej wybiera bardziej ryzykowne warianty, które potencjalnie oferują największe zyski. Także postawiona teza jest prawdziwa - kiepska przynęta działa jak filtr wybierający ofiary najbardziej podatne na ataki. Nie nazwałabym jednak tych ludzi naiwnymi. Warto zauważyć, że skłonność do ryzyka jest niezbędną cechą dla rozwoju nauki, technologii czy innowacji. Bez tego postęp społeczny byłby znacznie wolniejszy.
Oszustwa typu spoofing ("na wnuczka", "na policjanta") to niemal czysta socjotechnika. W czasach narzędzi sztucznej inteligencji mogą one wejść na nowy poziom. Jak można zabezpieczyć się przed wykorzystaniem przez podszywających się pod bliskich czy zaufane instytucje?
W dobie sztucznej inteligencji rosnącym zagrożeniem jest tzw. deepfake czyli sfałszowane nagrania głosu lub obrazu stworzone na podstawie prawdziwej próbki. Oszuści z wykorzystaniem sztucznej inteligencji potrafią użyć tej próbki, aby poprowadzić całą rozmowę udając znaną nam osobę.
Badania przeprowadzone przez firmę iProov w tym roku pokazały, że tylko jedna osoba na dwadzieścia była w stanie rozpoznać, że dany głos czy nagranie nie jest prawdziwym a wygenerowanym przez sztuczną inteligencję. W związku z gwałtownym rozwojem sztucznej inteligencji należy założyć, że jakość generowanych przez nią nagrań i sposób prowadzenia rozmowy będą się jeszcze poprawiać.
Problem polega na tym, że nasz mózg jest tak zaprogramowany, że przede wszystkim ufa temu, co widzimy i słyszymy i ten przekaz jest bardziej wiarygodny niż inne źródła. Najpewniejszym zabezpieczeniem jest sprawdzenie potwierdzenie tej samej informacji przez inne źródło, które my wybierzemy, w czasie i w sposób wybrany przez nas. W przypadku metody “na policjanta” należy zadzwonić na komendę policji i potwierdzić informacje, które nam przekazano.
Różne schematy oszustw mogą być szczególnie niebezpieczne dla seniorów - często wykluczonych cyfrowo i nierzadko posiadających znaczne oszczędności. Co warto polecić jako "psychologiczną szczepionkę" dla naszych rodziców, dziadków? Na co powinniśmy zwrócić uwagę?
Najważniejsza jest świadomość zagrożeń (nawet bez dokładnego rozumienia mechanizmów jakie za nimi stoją) oraz poczucie wsparcia. Jeśli osoba wie, że może do kogoś zaufanego zadzwonić i otrzymać pomoc to tak zrobi. Kluczowa zatem jest edukacja i zapewnienie wsparcia dla osób starszych.
Statystyki pokazują, że osoby starsze, które już raz padły ofiarą ataku są ponownie skutecznie atakowane. Badania przeprowadzone w Stanach Zjednoczonych na grupie osób starszych, które padły ofiarą scamów inwestycyjnych pokazały, że już rozesłanie pojedynczej ulotki uświadamiającej o zagrożeniach zredukowało liczbę osób, które ponownie padły ofiarą ataku o 8,6 proc., a kilkukrotne wysłanie materiałów informacyjnych spowodowało redukcję skuteczności ataków już o 22,4 proc.
Zajmuje się Pani naukowo tym właśnie problemem. Jakie wnioski płyną z prowadzonych przez Panią badań?
W ramach mojej pracy naukowej badałam zagadnienia związane z podatnością na ataki phishingowe, które są najbardziej popularną formą ataków cybernetycznych (obecnie ponad 3,4 miliarda dziennie). Sprawdzałam w warunkach rzeczywistych jaka jest różnica między deklarowaną i rzeczywistą podatnością na ataki phishingowe, przy atakach wykorzystujących różne techniki wpływu. Okazało się, że rzeczywista podatność na ataki jest od 40 do 55 proc. wyższa niż deklarowana. W praktyce oznacza to, że osoby, które ukończyły jednorazowo szkolenia i bardzo dobrze zdały test i tak w warunkach rzeczywistych mogą okazać się podatne na ataki. Obecnie kontynuuję badania w obszarze phishingu i ludzkiej odporności na ataki cybernetyczne.
Dziękuję za rozmowę.
* Małgorzata Jungowska – psycholog, doktorantka w Instytucie Psychologii PAN, naukowo zajmująca się psychologią społeczną. Prowadzi badania eksperymentalne nad zachowaniem człowieka w sytuacji ataków phishingowych, w szczególności w kontekście technik wpływu wykorzystywanych przez atakujących. Kieruje I.m.jun Centrum Psychodporności we Wrocławiu.
