Hur nätfiskeattacker lurar våra hjärnor

google säkerhets Titan nyckel

google säkerhets Titan nyckel Foto: Google





Det är enkelt och effektivt: att få någon att klicka på en skadlig länk i ett e-postmeddelande och ange privat information som ett lösenord är den viktigaste färdigheten i många hackares verktygslåda. Nätfiske är det vanligaste form av cyberattack och växer fortfarande.

Och anledningen till att den är så effektiv, enligt forskning som görs vid Google och University of Florida, är att den drar fördel av hur den mänskliga hjärnan fungerar – och, avgörande, hur människor misslyckas med att upptäcka bedrägeri, beroende på faktorer som emotionell intelligens, kognitiv motivation, humör, hormoner och till och med offrets personlighet.

Vi är alla mottagliga för nätfiske eftersom nätfiske lurar hur vår hjärna fattar beslut, sa Daniela Oliveira, docent vid University of Florida, den 7 augusti vid Black Hat cybersäkerhetskonferensen i Las Vegas.



Problemen börjar med medvetenhet: 45 % av internetanvändarna vet inte ens vad nätfiske är, enligt Oliveira och Google-forskaren Elie Bursztein.

Humör spelar en roll: människor som känner sig glada och inte är stressade är det mindre sannolikt att upptäcka bedrägeri framför dem. Kortisol, ett stresshormon, ökar vaksamheten och gör det mer troligt att upptäcka ett bedrägeri. Serotonin och dopamin, hormoner förknippade med positiva känslor, kan leda till riskfyllt och oförutsägbart beteende som gör människor mer sårbara.

Nätfiskare kan också vara exceptionellt bra på att skapa meddelanden som är avsedda att övertala en person att klicka. Auktoritet är bland de vanligaste och mest effektiva vapnen – till exempel ett e-postmeddelande som påstår sig vara från företagets VD, som ber en anställd att ge lite information genom att klicka på en länk. Andra verktyg inkluderar en vinst/förlustramning - till exempel en återbetalningsmöjlighet från Amazon.



Några av de mest spetsiga nätfiskemeddelandena spelar på känslor. Efter de förödande och rekordstora skogsbränderna i Kalifornien 2018 såg Google en omedelbar våg av e-postmeddelanden som bad om pengar för att hjälpa offren. Känslomässiga signaler – till exempel löften om att matcha donationer för människor som lämnats hemlösa – försämrade mottagarnas förmåga att fokusera på innehållet och ledtrådarna om att e-postmeddelandet var ett bedrägeri. Genom att utlösa denna känslomässiga reaktion fick hackarna människor att avbryta sin skepsis.

Det betyder inte att det enda försvaret mot nätfiske är att vara en permanent stressad och cynisk ilska. Hälsosammare och effektivare är att möjliggöra tvåfaktorsautentisering för alla dina viktiga inloggningar (e-post, nätbank, sociala medier, shoppingsajter, etc.). Här är en lista över alla webbplatser som stöder tvåfaktorsautentisering .

När det är aktiverat ber systemet dig om något utöver ett lösenord när du loggar in, till exempel en kod som skickas till din telefon via sms, en kod från en autentiseringsapp , eller en fysisk säkerhetsnyckel på ett USB-minne (den säkraste metoden av alla, enligt nyare forskning ). På så sätt, om du oavsiktligt har gett ditt lösenord till en hackare i ett nätfiskebedrägeri, kommer de fortfarande inte att kunna logga in på ditt konto. Förra året sa Google det mindre än 10 % av dess användare hade tvåfaktorsautentisering aktiverad på sina konton.



Dölj