Psykologin bakom fenomenet phishing: När mejl blir farliga

09 november, 2020
Har du någon gång fått ett skumt mejl där du ombeds att vidta omedelbara åtgärder eller dela personlig information? I så fall har det förmodligen rört sig om ett fall av phishing, något som blivit en vanlig form av bedrägeri.

Allt anpassas och förändras i takt med att teknologin utvecklas. Brottslig verksamhet är inget undantag. IT-brottsligheten är utbredd och förekommer i många former. Det finns spionprogram, annonsprogram, datormaskar, trojanska hästar, datorvirus osv. En av de vanligaste typerna av IT-brottslighet är fenomenet phishing (nätfiske), varvid människors personuppgifter stjäls via e-post.

IT-brottslingar utger sig ofta för att vara legitima personer eller verksamheter och sänder dig e-postmeddelanden, i vilka de uppmanar dig att vidta omedelbara åtgärder eller att tillhandahålla viss information. Dessa e-postmeddelanden ger ofta sken av att komma från företag som du känner till eller hos vilka du har ett konto. De kan hota med att spärra ditt konto eller att ta ut en avgift om du inte följer deras anvisningar. Om du öppnar en skadlig fil som bifogats i ett av dessa meddelanden eller lämnar viss information (bankuppgifter eller personliga uppgifter) kommer brottslingarna att använda detta till sin fördel. Phishing är ett effektivt sätt att bedra många människor på en gång. Experter uppskattar att det förekom nio miljoner phishing-angrepp under 2019.

Trots att dessa bedrägerier generellt kan vara lätta att identifiera så finns det också IT-brottslingar som är relativt skickliga på att få människor att gå i deras fälla. De spelar på mänskliga grundemotioner och psykologiska processer på ett vis som gör att du inte inser att du blir lurad.

Nätfiskare vet hur de drar nytta av mänskliga emotioner

Fenomenet phishing bygger på social intelligens

IT-brottslingar gör bruk av begrepp från sociologin och socialpsykologin för att utarbeta sina bedrägerier. I regel spelar de på fyra olika mänskliga emotioner: girighet, nyfikenhet, medömkan och rädsla. Tillsammans gör dessa emotioner att människor reagerar närmast instinktivt.

Och genom att utnyttja dessa fyra emotioner och vara observanta på andra sociala beteenden har nätfiskarna utvecklat olika strategier för att få människor att lämna ut känslig information. Här ska vi beskriva tre typer av beteenden som nätfiskare drar fördel av för att lura människor. Hur väl de lyckas med dessa phishing-attacker beror naturligtvis på mottagarnas personliga egenskaper och deras förmåga att upptäcka misstänkta beteenden.

Respekt för auktoriteter

Människor har en benägenhet att åtlyda order och instruktioner som kommer från personer i maktpositioner. Med andra ord har vi en kognitiv bias som får oss att förbise (om än blott för ett ögonblick) våra egna åsikter eller potentiella följder av en handling. Med rädsla som vår huvudsakliga drivkraft skyndar vi oss att lyda de uppmaningar vi får från våra “överordnade”.

Nätfiskare kan representera auktoritet genom att påstå sig vara chef för en verksamhet, en viktig statlig organisation eller ett framstående företag. De sänder ofta e-postmeddelanden som ger sken av att komma från bolag eller stora, välkända företag. I sina meddelanden begär de att du ska göra något som förefaller relevant för deras verksamhet. När du ser ett firmanamn som du känner igen ger detta dig en känsla av trygghet. Därigenom är det mer sannolikt att du tror att meddelandet är autentiskt.

Ett exempel på den här typen av bedrägeri är ett e-postmeddelande som påstås komma från Skatteverket, där du ombeds att klicka på en länk för att få din skatteåterbäring. Ett annat exempel är ett e-postmeddelande från ett bolagsdirektiv som ber dig att öppna en fil om ett “nytt projekt”.

En känsla av brådska

Denna manipulationsstrategi är oerhört vanlig, och inte bara för kriminell verksamhet. Även marketingföretag använder sig ofta av den. I princip går den ut på att skapa en situation som ger ett falskt intryck av att vara brådskande, vilket innebär att mottagaren måste fatta snabba beslut och handla raskt. När nätfiskare använder denna strategi spelar de på människors rädsla att något hemskt skulle kunna inträffa om de inte agerade.

E-postmeddelandets ämne är avsett att få mottagarens varningsklocka att ringa. “Din dator har ett virus” eller “Någon har försökt logga in på ditt konto” är ett par exempel. En annan variant är att säga dig att du måste vara först med att göra något. Ett exempel: “Endast de första 50 personerna som anmäler sig vinner ett pris.” Här kan rädslan att gå miste om ett tillfälle få dig att tro på lurendrejeriet utan att överväga andra möjligheter.

Målsättningen här är att väcka rädsla så att du tar ett förhastat och irrationellt beslut. Man räknar med att ditt rationella sinne inte ska ha tid att ifrågasätta e-postmeddelandets suspekta karaktär, som pekar på att det handlar om ett bedrägeri. Dessa meddelanden brukar också ha förstorade ord skrivna med röda bokstäver för att förstärka intrycket av att det är fråga om en brådskande och kritisk situation. Problemet är att även om du inte är helt övertygad om meddelandets autenticitet så kan du ändå gå i fällan. Detta beror på att du väljer att agera för säkerhets skull, eftersom det skulle kunna vara sant.

Fenomenet phishing utnyttjar automatiskt handlande

Under dagens lopp är det mycket som du gör som sker automatiskt, utan att du är fullt medveten om det. Ofta är det resultatet av erfarenhet och repetition. Du slår på din autopilot och fäster inte någon större uppmärksamhet vid det du gör. Som exempelvis att klicka på den stora röda knappen som säger “Klicka här”, istället för att klicka på den mindre rutan som säger “Avbryt”.

Nätfiskare använder den här typen av automatiskt beteende till sin fördel. De använder det när de ber dig att skicka om ett e-postmeddelande som aldrig tycks ha blivit sänt, för att nämna ännu ett exempel. Eller när de bifogar en länk som tillsynes tar dig till en sida där du kan säga upp en prenumeration eller tacka nej till fler utskick från ett företag. Alla sådana länkar är givetvis falska.

Dessa strategier är effektiva och farliga. De verkar harmlösa och försöker likna saker vi har för vana att göra. Fenomenet phishing bygger på dessa tendenser och möjligheten att vilseleda oss genom att få oss att göra saker som vi har en vana att göra, och som vi därför är mindre uppmärksamma på. Nätfiskare lyckas när de får oss att förbigå detaljer och fatta beslut utan att tänka oss för.

Ofta ignorerar vi de uppenbara varningssignalerna för phishing

Hur man undviker att gå i fällan

En del människor är bättre än andra på att upptäcka dessa bedrägerier. Men vem som helst kan falla offer för dem. Om du vill undvika att bli föremål för den här typen av bluff är det viktigt att du blir medveten om eventuella faror. Läs alltid hela e-postmeddelandet noga. Koncentrera dig helt på det du läser. Om du inte känner personen som du har fått meddelandet från, kolla i så fall om e-postadressen existerar. Och var medveten om att fenomenet phishing är en modern tendens som bara ökar.

Det viktigaste är att du inte reagerar för fort. Var noga med att stanna upp och begrunda konsekvenserna. Gör en bedömning om huruvida meddelandet verkar rimligt. Avväg om du tror att det företag eller den person som e-postmeddelandet tycks komma från har anledning att skicka dig den här typen av meddelande. Ägna en stund åt att fundera över vad e-postmeddelandet betyder och sök efter tecken som tyder på något skumt. Om du skulle upptäcka en phishing-attack är det också viktigt att du underrättar behöriga myndigheter.