De psychologie van phishing: als e-mails gevaarlijk zijn

Heb jij ooit wel eens een verdachte e-mail ontvangen waarin je werd gevraagd om dringend actie te ondernemen of persoonlijke informatie te delen? Het was waarschijnlijk een geval van phishing, een veelvoorkomende moderne manier van oplichting.
De psychologie van phishing: als e-mails gevaarlijk zijn

Laatste update: 02 maart, 2021

In dit artikel bespreken we het gevaar van phishing. Terwijl de technologie evolueert, past alles zich aan en verandert alles mee. Criminele activiteiten vormen hierop geen uitzondering.

Cybercriminaliteit komt veel voor en neemt vele vormen aan. Er is bijvoorbeeld spyware, adware, wormen, Trojaanse paarden, virussen, enzovoort. Een van de meestvoorkomende vormen van cybercriminaliteit is phishing, waarbij informatie van mensen via e-mail wordt gestolen.

Cybercriminelen doen zich voor als mensen of bedrijven en sturen e-mails waarin staat dat je dringende actie moet ondernemen en bepaalde informatie moet verstrekken.

De e-mails lijken vaak afkomstig te zijn van bedrijven die je kent of waar je een account bij hebt. Ze kunnen dreigen je account te sluiten. Of ze dreigen om kosten in rekening te brengen als je niet doet wat er in de e-mail staat.

Als je een schadelijk bestand opent dat als bijlage bij een van deze e-mails is gevoegd, of als je bepaalde gegevens opgeeft (bankgegevens of persoonlijke gegevens), zullen ze dit in hun voordeel gebruiken. Phishing is een effectieve manier om veel mensen tegelijk op te lichten. Experts schatten dat er in 2019 negen miljoen phishing-aanvallen waren.

Dit soort oplichting is gemakkelijk te identificeren. Sommige cybercriminelen zijn er echter goed in om mensen in hun val te laten lopen. Ze spelen op zo’n manier met de basisemoties en psychologische processen van mensen, dat je niet beseft dat je bedrogen wordt.

Hacker bezig met phishing

Sociale inventiviteit

Cybercriminelen gebruiken concepten uit de sociologie en sociale psychologie om hun scams te ontwerpen. Ze spelen meestal in op vier verschillende menselijke emoties: 

  • hebzucht
  • niewsgierigheid
  • medelijden
  • angst

De combinatie van deze emoties zorgt ervoor dat mensen bijna instinctief reageren. Door met deze vier emoties te spelen en zich bewust te zijn van ander sociaal gedrag, hebben phishing-aanvallers verschillende tactieken ontwikkeld om mensen ertoe te brengen gevoelige informatie vrij te geven.

We zullen nu de drie soorten gedrag beschrijven waar phishing-aanvallers misbruik van maken om mensen op te lichten. Het succes van dit soort aanvallen hangt natuurlijk af van de persoonlijke karakteristieken van iemand en zijn vermogen om verdacht gedrag te detecteren.

Respect voor autoriteit

Mensen hebben de neiging bevelen of instructies op te volgen van mensen in machtsposities. Met andere woorden, we hebben een cognitieve bias waardoor we (al is het maar voor even) onze eigen mening of mogelijke gevolgen van een handeling vergeten. Met angst als belangrijkste drijfveer, haasten we ons om de bevelen van onze ‘superieuren’ op te volgen.

Phishing-aanvallers kunnen autoriteit uitstralen door zich voor te doen als de directeur van een bedrijf, een belangrijke organisatie op staatsniveau of een prestigieus bedrijf. Ze hebben de neiging om e-mails te sturen terwijl ze zich voordoen als grote of bekende bedrijven, met het verzoek iets te doen dat relevant lijkt voor hun bedrijf.

Als je een bedrijfsnaam ziet die je kent, geeft dit je een gevoel van veiligheid. Daardoor is de kans groter dat je gelooft dat wat je leest echt is.

Een voorbeeld van dit soort oplichting is een e-mail die lijkt afkomstig te zijn van een belastingdienst. In die e-mail wordt je gevraagd op een link te klikken om je belasting terug te krijgen. Een ander voorbeeld is een e-mail van een bedrijf waarin wordt gevraagd om een bestand te open over een ‘nieuw project.’

Een gevoel van urgentie

Deze manipulatiestrategie is buitengewoon gebruikelijk, en niet alleen voor criminele activiteiten. Marketingbedrijven maken er ook veel gebruik van.

Het gaat hier om het creëren van een situatie van een valse urgentie die vereist dat de gebruiker snelle beslissingen neemt en snel handelt. Wanneer ze deze strategie gebruiken, azen ze vaak op de angst van mensen dat er iets ergs gebeurt als ze niets doen.

Het onderwerp van de e-mail is bedoeld om de alarmbellen van de lezer af te laten gaan. “Je computer heeft een virus” of “iemand heeft geprobeerd toegang te krijgen tot je account” zijn enkele voorbeelden.

Een andere variatie is je te vertellen dat je de eerste moet zijn om iets te doen. Bijvoorbeeld: “alleen de eerste 50 mensen die zich registreren krijgen een prijs.” Hier kan de angst om een kans te missen je ertoe aanzetten de scam te geloven zonde andere mogelijkheden te overwegen.

Het doel hier is om angst op te wekken, zodat je een overhaaste en irrationele beslissing neemt. Ze rekenen erop dat je rationele geest geen tijd heeft om de verdachte aspecten van de e-mail in twijfel te trekken die erop wijzen dat het om oplichting gaat.

Ze bevatten ook vaak woorden in hoofdletters en de kleur rood om dat gevoel van urgentie en gevaar te versterken. Het probleem hier is dat je, zelfs als je niet helemaal overtuigd bent door de boodschap, toch in de val zou kunnen lopen. Dat komt omdat je actie wilt ondernemen voor het geval het echt waar is.

Automatische acties bij phishing

Gedurende de dag doe je veel dingen automatisch, zonder dat je je daar volledig bewust van bent. Ze zijn meestal het resultaat van ervaring en herhaling.

Je activeert je automatische piloot en besteedt niet veel aandacht aan wat je doet. Een voorbeeld: klikken op een grote rode knop met de tekst ‘Klik hier’, in plaats van te klikken op een kleiner vak met de tekst ‘Annuleren’.

Aanvallers van phishing gebruiken dit soort automatisch gedrag in hun voordeel. Ze gebruiken het bijvoorbeeld wanneer ze je vragen een e-mail opnieuw te verzenden waarvan lijkt alsof deze nooit verzonden was.

Of neem een link, die je zogenaamd naar een pagina leidt om je abonnement op iets op te zeggen of om geen e-mails meer te ontvangen van een bedrijf. Al deze links zijn natuurlijk nep.

Deze strategieën zijn effectief en gevaarlijk. Ze lijken onschuldig en ze lijken erg op dingen die we de hele tijd doen. Phishing aast op deze neigingen. Het hoopt ons te vangen door ons ertoe te brengen dingen te doen die we normaal gesproken ook doen en er daarom minder aandacht aan besteden.

Phishing-aanvallers zijn effectief als ze ons in staat zijn de details te verbloemen en dat wij beslissingen nemen zonder al te veel na te denken.

Let op waar je op klikt in een verdachte e-mail

Hoe de val van phishing te vermijden?

Sommige mensen zijn er beter in dan anderen om dit soort scams te identificeren. Iedereen is echter een potentieel slachtoffer. Als je wilt voorkomen dat je het slachtoffer wordt van dit soort misleidingen, is het belangrijk om je bewust te zijn van de mogelijke gevaren.

Lees altijd grondig de hele e-mail. Geef het je volledige aandacht. Als je de persoon die de e-mail heeft verstuurd niet kent, controleer dan of het e-mailaccount wel echt is.

Het belangrijkste is om niet te snel te reageren. Zorg ervoor dat je even stopt en nadenkt over de gevolgen. Bepaal of het bericht klopt. Beslis of je denkt dat het bedrijf of de persoon waar de e-mail vandaan komt je dit soort e-mail zou sturen.

Denk even na over wat deze e-mail betekent en kijk naar verdachte signalen. Als je een phishing-aanval identificeert, is het ook belangrijk om de autoriteiten te informeren. Wellicht ook interessant voor jou

Uri Geller en het verhaal van een collectieve zwendel
Verken je geest
Lees het op Verken je geest
Uri Geller en het verhaal van een collectieve zwendel

Uri Geller is een zeer bekende illusionist. Zijn illusies zijn echter al meerdere keren ontkracht. Toch blijven mensen in hem geloven.