Hoe phishing-aanvallen onze hersenen misleiden

google security Titan-sleutel

google security Titan-sleutel Foto: Google





Het is eenvoudig en effectief: iemand ertoe brengen om op een schadelijke link in een e-mail te klikken en privégegevens zoals een wachtwoord in te voeren, is de belangrijkste vaardigheid in de toolkits van veel hackers. Phishing komt het meest voor vorm van cyberaanval en groeit nog steeds.

En de reden waarom het zo effectief is, volgens onderzoek dat wordt gedaan door Google en de Universiteit van Florida, is dat het profiteert van hoe het menselijk brein werkt - en, cruciaal, hoe mensen misleiding niet detecteren, afhankelijk van factoren zoals emotionele intelligentie, cognitieve motivatie, stemming, hormonen en zelfs de persoonlijkheid van het slachtoffer.

We zijn allemaal vatbaar voor phishing omdat phishing de manier waarop onze hersenen beslissingen nemen bedriegt, zei Daniela Oliveira, universitair hoofddocent aan de Universiteit van Florida, op 7 augustus op de Black Hat-conferentie over cyberbeveiliging in Las Vegas.



De problemen beginnen met bewustwording: volgens Oliveira en Google-onderzoeker Elie Bursztein weet 45% van de internetgebruikers niet eens wat phishing is.

Stemming speelt een rol: mensen die zich gelukkig voelen en niet gestrest zijn dat wel minder waarschijnlijk om bedrog voor hun neus te ontdekken. Cortisol, een stresshormoon, verhoogt de waakzaamheid en maakt het opsporen van een bedrog waarschijnlijker. Serotonine en dopamine, hormonen die geassocieerd worden met positieve gevoelens, kunnen leiden tot risicovol en onvoorspelbaar gedrag dat mensen kwetsbaarder maakt.

Phishers kunnen ook uitzonderlijk goed zijn in het opstellen van berichten die bedoeld zijn om iemand te overtuigen om te klikken. Autoriteit is een van de meest voorkomende en effectieve wapens, bijvoorbeeld een e-mail die beweert afkomstig te zijn van de CEO van het bedrijf, waarin een werknemer wordt gevraagd om wat informatie te verstrekken door op een link te klikken. Andere tools zijn onder meer een winst-/verlieskader, bijvoorbeeld een terugbetalingsmogelijkheid van Amazon.



Sommige van de meest gerichte phishing-e-mails spelen op emotie. Na de verwoestende en recordbrekende bosbranden in Californië in 2018, zag Google onmiddellijk een golf van e-mails waarin om geld werd gevraagd om slachtoffers te helpen. Emotionele signalen - bijvoorbeeld beloften om donaties voor daklozen te evenaren - belemmerden het vermogen van de ontvangers om zich te concentreren op de inhoud en de aanwijzingen dat de e-mail bedrog was. Door deze emotionele reactie op gang te brengen, hebben de hackers mensen zover gekregen dat ze hun scepsis opschorten.

Dat betekent niet dat de enige verdediging tegen phishing is om een ​​permanent gestresste en cynische bal van woede te zijn. Gezonder en effectiever is om twee-factor-authenticatie in te schakelen voor elk van uw belangrijke logins (e-mail, online bankieren, sociale media, winkelsites, enz.). Hier is een lijst van alle sites die authenticatie in twee stappen ondersteunen .

Als het is ingeschakeld, vraagt ​​het systeem u om iets naast een wachtwoord wanneer u zich aanmeldt, zoals een code die via sms naar uw telefoon is verzonden, een code van een authenticator-app , of een fysieke beveiligingssleutel op een USB-stick (de veiligste methode van allemaal, volgens recent onderzoek ). Op die manier kunnen hackers, als u per ongeluk uw wachtwoord aan een hacker hebt gegeven in een phishing-zwendel, nog steeds niet inloggen op uw account. Vorig jaar zei Google dat: minder dan 10% van de gebruikers had tweefactorauthenticatie ingeschakeld op hun accounts.



zich verstoppen