Oszustwo w Internecie: „Wszyscy, któregoś dnia, mogą paść ofiarą”

Z każdym dniem, media donoszą o coraz poważniejszych sprawach oszustw w sieci (scamów). Kusi, żeby protekcjonalnie westchnąć na widok naiwnej ofiary, która przelała pieniądze na firmę oszusta. Ale władze zajmują się sprawą ofiary. Jeśli zostanie oszukana przez kogoś, kto skopiował jej numer telefonu albo adres e-mail, może (najczęściej) dostać odszkodowanie, mimo że dokonała autoryzacji płatności. Jest nawet temat tego, czy operator telefonu lub dostawca Internetu powinien płacić odszkodowanie. W każdym razie jest to propozycja projektu nowej europejskiej dyrektywy serwisów płatności (DSP3)

Myślenie, że nigdy nie padnie się ofiarą oszustwa jest pierwszym krokiem, żeby tak się właśnie stało. Specjaliści nazywają to tendencją do optymizmu. Powoduje zniekształcenie oceny ryzyka i zmniejsza stosowanie zabezpieczeń. Ale to tłumaczy dlaczego wszyscy, któregoś dnia, mogą paść ofiarą. To Federalna Komisja Handlu (FTC), federalne służby amerykańskie regulacji komercyjnych (w tym online) przedstawiła ciekawy raport na temat psychologicznych podstaw scamów („A Review of Scam Prevention Messaging Research: Takeaways and Recommendations”, FTC, kwiecień 2024).

Istnieje też stereotypowe nastawienie, inny częsty błąd. Niezmiennie uważamy, że to starsze osoby padają ofiarą, jeśli chodzi o urządzenia cyfrowe. Inne pokolenia nie przejmują się zaleceniami ochronnymi. Jest to błąd: oni wszyscy też są ofiarami oszustów.

Nietypowy środek płatności

Jednymi z największych czynników stojących za efektywnością scamów są emocje, strach i nagłe wypadki. Zachowujemy się mniej racjonalnie pod wpływem emocji - właśnie na tym oparte są reklamy. Scamerzy również próbują zdobyć zaufanie: nie jest to ktoś, kto chce dla nas dobrze? Kiedy ofiara wytworzy emocje, poczucie potrzeby i zaufanie, staje się idealnym celem.

Scamy mają też przewagę w stosunku do klasycznych oszustw, w skali korzyści. Skoro po trochę zajmuje się wieloma celami, statystycznie zawsze znajdzie się kogoś w emocjonalnym stanie potrzeby.

W teorii, scamy są łatwe do wykrycia.

Pierwsza taktyka polega na tym, że dzwoni numer w imieniu organizacji, uchodząc za łatwego do zidentyfikowania pracownika (pomyślcie o LinkedIn, gdzie każdy czuje się zobligowany do zaprezentowania się pod kątem profesjonalnym), fałszując numer, z którego dzwoni.

Kolejna taktyka, dzwoni telefon z problemem (oczywiście bardzo nagłym) z policją, bakiem, administracją czy skonfiskowanym samochodem… Czy też dzwoni z inwestycją, z której jako pierwsi otrzymacie korzyści na odpowiedniej stronie internetowej (jeżeli się zarejestrujecie, oddzwonimy najszybciej jak możemy z propozycją pierwszej inwestycji).

Trzecia taktyka, sprawienie, żebyście działali szybko, bez tracenia czasu i wzięcia oddechu (i bez rozmowy z kimś na ten temat), nawet jeśli oznacza to potrzebę utrzymywania was w ryzach i prowadzenie krok po kroku.

I na koniec, nakłaniają do zapłacenia nietypowym środkiem płatności, zawsze poprzez przelew na Western Union, PayPal lub inną stronę, która oferuje kanał płatniczy wyglądający normalnie. Ale nie płatność kartą kredytową (ponieważ można jej się sprzeciwić po fakcie).

Historie nieprawdopodobne ale prawdziwe

Zapobieganie, mówi raport, nie przynosi dobrych efektów: filmiki czy krótkie wiadomości dają efekty średnio trwające trzy miesiące, o ile treści pojawiają się wielokrotnie. Po sześciu miesiącach, osoby, którym wytłumaczono skutki oszustw inwestycyjnych, nie różnią się od osób, które tej informacji nie otrzymały. Efekt kampanii uwrażliwiających na zabezpieczenia również zaciera się po sześciu miesiącach. A kiedy pracodawca wydaje zalecenia (nie należy klikać w linki na e-mailu wysłane pod jego imieniem, ale z innego maila), sam jest pierwszym, który ich nie przestrzega… Pomyślcie o zaproszeniach na wydarzenia, wiadomościach do personelu wypełnionych linkami do zewnętrznych stron, nigdy wcześniej nie widzianych.

Zachęty do ostrożności podczas ryzykownych operacji (na przykład płatności) nie dają najlepszych rezultatów: tak jak kończymy nie zwracając uwagi na ograniczenia prędkości przy drogach, tak samo ogłoszenia na ekranie pozostają niezauważone. Scamerzy poradzą, żeby je zignorować (mając zaufanie), jako że nagła potrzeba sprawia, że w tej sprawie wdrażają „wyjątkowe” procedury.

Jednak nie wszystko stracone, kontynuuje raport FTC. Doświadczenia z drugiej ręki, ciągnie, lepiej działają, opowiadając historie nieprawdopodobne, ale prawdziwe. Empatia działa. Odgrywanie scen też pomaga: powinno się je stosować podczas testów phishingowych w firmach. Zamiast zatrzymywać (z sukcesem) pracownika, kiedy kliknie w link, pozwólmy mu pójść dalej, symulując wnikanie do jego komputera, ponieważ podał swoje hasło… Porozmawianie ze współpracownikiem, przyjacielem, rodzicem, kiedy pojawia się dziwna wiadomość też jest dobrym sposobem, bo wtedy nie podchodzimy do niej tak emocjonalnie.

Bardziej efektywne ostrzeżenie

Ludzie bardziej starają zmniejszyć ryzyko, jeśli są świadomi konsekwencji. Jesteśmy bardziej podatni na wiadomości, które pokazują zalety danego działania, gdy są one pewne. A kiedy nie są one pewne, warto podkreślić ryzyko straty!

Nawet ostrzeżenia mogą zyskać na skuteczności: należy regularnie przerywać monotonność, zmienić formę i tło wiadomości, może nawet kolory. Nie wszyscy też reagują w ten sam sposób na wiadomości z ostrzeżeniami i zabezpieczeniami.

Ponadto, istotne jest, żeby nie traktować ludzi jak idiotów: tłumaczenie jak działa scam, nawet na poziomie technicznym, okazuje się skuteczne, żeby zachować czujność. A to dlatego, że wraz z czasem, scamy mogą zmienić formę. Trenowanie się na przykładach nie wystarczy.

Scamerzy stają się ekspertami w manipulacji psychologicznej. Prawdę mówiąc, nie mają wyboru. Europejska dyrektywa, która ma zostać odnowiona, uzbroiła stronę techniczną. Ponieważ nie można wykorzystać żadnego błędu technicznego, system bankowy miał tendencję uważać płatność autoryzowaną za płatność wykonaną za zgodą. To pójście na skróty nie będzie już miało miejsca.