PB: Jednym z najgroźniejszych typów oszustw online są obecnie scamy inwestycyjne. Ofiary nierzadko nie tylko wpłacają pieniądze rzekomym brokerom, a nawet instalują oprogramowanie dające zdalny dostęp do komputera. Jak przestępcom udaje się przekonać do takiego zaangażowania, jaki jest psychologiczny schemat ich postępowania?
Małgorzata Jungowska: Przestępcy osiągają swój cel przez zbudowanie zaufania przy równoczesnym stworzeniu poczucia pilności. Zacznijmy od drugiego elementu, czyli poczucia pilności. Nasz mózg wykorzystuje dwa systemy w swoim działaniu: system refleksyjny — wolny i system szybki. Ten ostatni charakteryzuje się szybkim podejmowaniem decyzji przy braku szczegółowej analizy. To znaczy, że wykorzystujemy skróty poznawcze, czyli tzw. heurystyki. System szybki został ukształtowany w wyniku ewolucji i jest nam niezbędny, aby przeżyć. Gdy atakowało nas dzikie zwierzę, nie było czasu na refleksję, trzeba było działać natychmiast.
Drugim powodem, dla którego nasz mózg uruchamia system szybki, jest oszczędność energii i „mocy obliczeniowej”. Jeśli trafiamy na problem podobny do tego, z którym się już spotkaliśmy, to niejako automatycznie reagujemy w podobny sposób. Wiedząc to, przestępcy posługują się poczuciem pilności, aby wyłączyć naszą refleksyjność, doprowadzić nas do błędnych wniosków i przejść w tryb działania, czyli np. skłonić do wpłacenia pieniędzy. Stosowane w rozmowie przez oszustów techniki perswazji wykorzystują te właśnie skróty myślowe.
Jakie chwyty są wykorzystywane do zbudowania zaufanie? Dlaczego tracimy ostrożność, mimo że chodzi przecież o nasze pieniądze?
Przestępcy stosują tzw. efekt autorytetu. Ludzie ufają osobom, które postrzegają jako ekspertów, lub ludziom, którzy mają władzę. Oszuści podają się za specjalistów lub używają tytułów naukowych — np. doradca przedstawia się jako doktor ekonomii — aby zbudować pozory wiarygodności. Takie działanie buduje zaufanie i wyłącza refleksyjność.
Przestępcy wykorzystują też zasadę społecznego dowodu słuszności. Ludzie są skłonni naśladować decyzje innych szczególnie w sytuacjach niepewności. Na tym opiera się mechanizm tworzenia fałszywych inwestycji. Oszuści wykorzystują wizerunki znanych osób, które rzekomo skorzystały na ofercie — np. zdjęcie Roberta Lewandowskiego, aby zbudować pozory wiarygodności.
Istotną rolę odgrywa również efekt zakotwiczenia — pierwsza informacja, którą otrzymujemy na dany temat, często staje się punktem odniesienia dla wszystkich kolejnych decyzji. Oszuści starają się, żeby ich oferta była pierwszą informacją, jaką otrzymamy na temat oferowanej inwestycji, a najlepiej pierwszą o jakiejkolwiek inwestycji. Wtedy każde kolejne informacje będziemy odnosić do tej pierwszej.
Charakterystyczną cechą działania oszustów jest częsty kontakt z ofiarą — mejlowy lub telefoniczny. Celem jest z jednej strony zbudowanie więzi i zaufania, a z drugiej izolacja ofiary od zewnętrznych źródeł informacji i wsparcia. Jeśli przestępca jest jedynym źródłem informacji dla ofiary, to trudno taką informację zweryfikować.
Wiele przynęt przygotowywanych przez oszustów — mejle phishingowe, reklamy inwestycji, fałszywych sklepów online — razi niestarannością, brakiem dbałości o poprawność językową i szatę graficzną. Mimo to takie proste schematy okazują się skuteczne. Jakie mechanizmy za tym stoją? Czy chodzi o selekcję najbardziej naiwnych użytkowników?
Oszuści szukają osób, które nie są specjalistami od inwestycji oraz charakteryzują się nadmiernym zaufaniem i skłonnością do ryzyka. Taka kombinacja cech powoduje, że ofiara ataku przykłada mniejszą wagę do analizy przynęty — reklamy, strony internetowej czy treści wiadomości, a większą do potencjalnych zysków. Dodatkowo ta kombinacja cech powoduje, że przestępcy łatwiej jest zdobyć zaufanie ofiary.
Osoby skłonne do podejmowania ryzyka przykładają po prostu mniejszą wagę do takich kwestii jak szata graficzna czy język — widzą niesamowitą okazję i chcą z niej skorzystać. Skłonność do ryzyka w psychologii to postrzeganie ryzyka przede wszystkim jako szansy na zdobycie korzyści. Osoba o dużej skłonności do ryzyka częściej wybiera bardziej ryzykowne warianty, które potencjalnie oferują największe zyski. Teza, że kiepska przynęta działa jak filtr wybierający ofiary najbardziej podatne na ataki, jest prawdziwa. Nie nazwałabym jednak tych ludzi naiwnymi. Warto zauważyć, że skłonność do ryzyka jest niezbędną cechą dla rozwoju nauki, technologii czy innowacji. Bez tego postęp społeczny byłby znacznie wolniejszy.
Oszustwa typu spoofing na wnuczka czy na policjanta to niemal czysta socjotechnika. W czasach narzędzi sztucznej inteligencji mogą one wejść na nowy poziom. Jak można zabezpieczyć się przed wykorzystaniem przez podszywających się pod bliskich czy zaufane instytucje?
Badania przeprowadzone przez firmę iProov w tym roku pokazały, że tylko jedna osoba na dwadzieścia była w stanie rozpoznać, że dany głos czy nagranie nie są prawdziwe, lecz wygenerowane przez sztuczną inteligencję. W związku z gwałtownym rozwojem sztucznej inteligencji należy założyć, że jakość generowanych przez nią nagrań i sposób prowadzenia rozmowy będą się jeszcze poprawiać. Problem polega na tym, że nasz mózg jest tak zaprogramowany, że przede wszystkim ufa temu, co widzimy i słyszymy, i ten przekaz jest bardziej wiarygodny niż inne źródła. Najpewniejszym zabezpieczeniem jest potwierdzenie tej informacji przez inne źródło, które my wybierzemy, w czasie i w sposób wybrany przez nas. W przypadku metody na policjanta należy zadzwonić na komendę policji i potwierdzić informacje.
Cyberoszustwa mogą być szczególnie niebezpieczne dla seniorów — często wykluczonych cyfrowo i nierzadko posiadających znaczne oszczędności. Co warto polecić jako psychologiczną szczepionkę dla naszych rodziców czy dziadków? Na co powinniśmy zwrócić uwagę?
Najważniejsza jest świadomość zagrożeń — nawet bez dokładnego rozumienia mechanizmów, jakie za nimi stoją — oraz poczucie wsparcia. Jeśli osoba wie, że może do kogoś zaufanego zadzwonić i otrzymać pomoc, to tak zrobi. Kluczowa zatem jest edukacja i zapewnienie wsparcia osobom starszym. Statystyki pokazują, że osoby starsze, które już raz padły ofiarą ataku, są ponownie skutecznie atakowane. Badania przeprowadzone w Stanach Zjednoczonych na grupie osób starszych, które padły ofiarą scamów inwestycyjnych, pokazały, że już rozesłanie pojedynczej ulotki uświadamiającej o zagrożeniach zredukowało liczbę osób, które ponownie padły ofiarą ataku, o 8,6 proc., a kilkakrotne wysłanie materiałów informacyjnych spowodowało redukcję skuteczności ataków już o 22,4 proc.
Zajmuje się pani naukowo tym właśnie problemem. Jakie wnioski płyną z prowadzonych przez panią badań?
W ramach mojej pracy naukowej badałam zagadnienia związane z podatnością na ataki phishingowe, które są najbardziej popularną formą ataków cybernetycznych — obecnie ponad 3,4 mld dziennie. Sprawdzałam w warunkach rzeczywistych, jaka jest różnica między deklarowaną a rzeczywistą podatnością na ataki phishingowe przy atakach wykorzystujących różne techniki wpływu. Okazało się, że rzeczywista podatność na ataki jest od 40 do 55 proc. wyższa niż deklarowana. W praktyce oznacza to, że osoby, które ukończyły jednorazowo szkolenia i bardzo dobrze zdały test, i tak w warunkach rzeczywistych mogą okazać się podatne na ataki. Obecnie kontynuuję badania w obszarze phishingu i ludzkiej odporności na ataki cybernetyczne.
Psycholożka, doktorantka w Instytucie Psychologii PAN, naukowo zajmuje się psychologią społeczną. Prowadzi m.in. Centrum Psychoodporności we Wrocławiu. Realizuje badania eksperymentalne nad zachowaniem człowieka w sytuacji ataków phishingowych, a w szczególności w kontekście technik wpływu wykorzystywanych przez atakujących.
