Stiže vam poruka „Vaš paket nije mogao biti isporučen, kliknite ovde da ažurirate podatke.“ U žurbi ste, čekate pošiljku i bez razmišljanja otvarate link. Deluje bezazleno, sve dok ne shvatite da ste svoje podatke upravo ostavili nepoznatoj strani.
Šta je fišing?
Prema analizama stručnjaka iz bezbednosno – operativnog centra PULSEC, klik na fišing jedan je od najčešćih scenarija pri kome je u preko 50% slučajeva izvor ljudska greška. Fišing je pažljivo osmišljena manipulativna tehnika koja koristi emocije, poverenje i mentalne prečice koje svakodnevno utiču na donošenje odluka.
Zbog toga fišing i dalje čini više od 80% uspešnih sajber napada. Ne zato što su sistemi slabi, već zato što je ljudsko ponašanje predvidivo. U digitalnom okruženju prepunom informacija naš mozak često reaguje brzo, instinktivno i bez detaljne provere.
Najčešće psihološke pristrasnosti koje hakeri koriste
Napadi nisu slučajni, dizajnirani su da ciljaju ljudske slabosti, rutine i emocije.
Autoritet (Authority bias)
Ako nešto izgleda kao zahtev od direktora, banke ili državne institucije. Naš mozak automatski pretpostavlja da je autoritet = istina.
- „Direktor: hitno potrebna uplata“
- „Pošta Srbije: vaš paket je zadržan“
- „Vaša banka: potvrda transakcije“
Strah od gubitka (Loss aversion)
Razne psihološke studije, među kojima je najpopularnija „Kahneman & Tversky-Prospect Theory“, pokazuju da ljudi mnogo snažnije reaguju na mogućnost da nešto izgube, nego da nešto dobiju. Zbog toga često donose iracionalne odluke samo da bi izbegli gubitak.
Zato fišing poruke zvuče ovako:
- „Vaš pristup je ukinut“
- „Račun će biti ugašen“
- „Promena lozinke je obavezna“
Hitnost i pritisak (Urgency)
Najčešća vrsta manipulativne tehnike. Kada osećamo pritisak vremena, logika se gasi.
- „Vaš nalog će biti ugašen za 15 minuta“
- „Faktura kasni, posebno obratiti pažnju“
- „Obračun zarade, dokument u prilogu“
Radoznalost i rutina (Curiosity)
Jedna od najsnažnijih ljudskih emocija je radoznalost. George Loewenstein u svojoj studiji „The Psychology of Curiosity” objašnjava tzv. „information gap theory”. Radoznalost nastaje kada primetimo prazninu između onoga što znamo i onoga što želimo da znamo. Ta rupa u znanju stvara mentalnu tenziju. Ljudi imaju snažnu potrebu da tu tenziju zatvore: kliknu, otvore, provere sadržaj.
- „Neko vas je tagovao na fotografiji“
- „Kolega je podelio fajl sa vama“
- „Izmenjen raspored smena“
Dok strah od gubitka tera korisnika da reaguje brzo, radoznalost ga navodi da klikne, a rutina osigurava da to učini bez razmišljanja. Upravo kombinacija ovih psiholoških okidača čini fišing napade toliko efikasnim.
Socijalna pripadnost (Social proof)
Ako nešto izgleda kao unutrašnja komunikacija, ljudi znatno ređe proveravaju detalje. Hakeri vrlo dobro znaju da su interne poruke najlakše mesto da podmetnu napad.
- mejl od „kolege“
- HR obaveštenja
- interni dokumenti
- lažni Teams / Slack linkovi
Halo efekat (Halo Effect)
Edward Thorndike u svojoj studji „A Constant Error in Psychological Ratings” proučavao je kako oficiri ocenjuju vojnike i primetio zanimljiv obrazac: ako je vojnik ocenjen kao lep, uredan ili simpatičan, automatski dobija bolje ocene i za inteligenciju, sposobnost i karakter. Ako je prvi utisak loš, sve ostalo se ocenjuje lošije. Jedna pozitivna osobina utiče na percepciju svih drugih osobina. To je nazvao „halo efekat”.
Šta to znači u praksi? Lep dizajn deluje bezbedno, logo poznate firme deluje legitimno, profesionalan ton deluje pouzdano. Ljudi ne analiziraju dalje već prenose taj prvi utisak na sve ostalo.
Kada verujemo nekoj organizaciji (na primer, svojoj banci), taj pozitivan utisak prenosi se i na sve poruke koje izgledaju kao da dolaze od njih. Zbog ove pristrasnosti ljudi ređe proveravaju mejlove koji imaju poznate logotipe ili format.
Kako izgleda jedan savremeni fišing mejl?
Danas fišing izgleda profesionalnije nego ikada: savršeno iskopirani logotipi, mejl adrese koje se razlikuju u jednom slovu, linkovi koji vode na lažne stranice gotovo identične pravim, ton pisanja karakterističan za korporativni mejl.
Moderni fišing je kratak, neutralan, minimalno sumnjiv, precizan, često bez gramatičkih grešaka. I zato ga je teško prepoznati bez mentalnog „pauziranja“. Funkcioniše uspešno baš zato što zaobilazi logičko razmišljanje i cilja na automatsko, emocionalno donošenje odluka.
Pet saveta kako se zaštititi
- Zastanite pre nego što reagujete, odvojite trenutak da procenite svaku poruku koja stvara osećaj hitnosti ili straha
- Dupla provera: neobične zahteve potvrdite telefonom ili preko drugog komunikacionog kanala
- Pređite mišem preko linka pre klika, proverite gde link zaista vodi
- Budite oprezni prema neplaniranim prilozima ili zahtevima, iako možda deluju kao da dolaze od pouzdanog izvora
- Prijavite sve sumnjive poruke
Budućnost fišinga: AI, deepfake i ultrapersonalizovani napadi
Fišing ulazi u novu fazu, mnogo opasniju. AI generiše savršeno napisane mejlove bez grešaka, deepfake glas direktora traži hitnu uplatu, automatski „spear-phishing” koristi javne podatke o vama, lažni video pozivi sa ukradenim identitetom biće sve češća pojava.
Stručnjaci iz bezbednosno – operativnog centra PULSEC navode da je e-mail i dalje najčešći ulazni kanal, dok su web aplikacije i remote pristupi najrizičniji tehnički vektori jer omogućavaju dublju kompromitaciju sistema. U narednim godinama najveći rizik neće biti tehnički alati, već što će napadi postati sofisticirani do te mere da će za ljudsko oko biti gotovo nemoguće da ih prepozna. Razumevanje psihologije fišinga je prvi korak ka stvaranju otpornijih sistema, timova i kompanija.
Edukacija ne samo da povećava svest o opasnostima, već ih pretvara u prvu liniju odbrane svake organizacije. Obratite nam se i saznajte kako naši programi edukacije i awareness treninzi mogu značajno smanjiti rizik i osnažiti vaš tim.
