Phishing-psychologie: het prevalentie-effect

Eén verklaring van het succes van phishing ligt in een bekend psychologisch effect.

Cybercriminelen gebruiken psychologie al tijden als instrument voor bedrog. Maar we kunnen psychologische verschijnselen ook gebruiken om te verklaren waarom bepaalde criminele methodes doeltreffend zijn — en om een juiste beschermingsstrategie te bepalen. Veel psychologen analyseren aanvalsmethodes en de redenen waarom deze effectief zijn. Vandaag onderzoeken we een hypothese die probeert uit te leggen waarom, ondanks de kracht van anti-phishing-technologie, e-mailvallen nog altijd slachtoffers opeisen en aanzienlijke schade kunnen berokkenen. En, belangrijker nog, we bespreken wat we hieraan kunnen doen.

Anti-spam- en anti-phishing-maatregelen zijn sleutelelementen voor de online veiligheid van welk bedrijf dan ook. Bij het onderzoeken van cyber-incidenten ontdekken onze experts vaak dat het probleem begon met een e-mail, ongeacht of dit een massamail was of een gerichte aanval. Tegenwoordig kunnen e-mailfilters typische phishing-e-mails met een hoge mate van zekerheid identificeren, maar soms slagen aanvallers er toch in om door de beveiliging heen te komen, (bijvoorbeeld door de mailbox van een partner te hijacken) en bezorgen ze het bericht bij een menselijk slachtoffer, wat altijd de zwakste schakel is. En hoe effectiever de filters zijn, hoe groter de kans dat het doorgekomen bericht ook de gebruiker om de tuin leidt.

Het experiment

De hypothese van het bestaan van een direct verband tussen de frequentie van kwaadaardige e-mails en de succesvolle identificatie hiervan door gebruikers, werd gemaakt door twee Amerikaanse onderzoekers — Ben D. Sawyer van het Massachusetts Institute of Technology en Peter A. Hancock van de University of Central Florida. Ze baseerden hun theorie op het “prevalentie-effect,” al lang bekend in de psychologie, dat in feite stelt dat een persoon eerder geneigd is om een signaal over het hoofd te zien (of niet te detecteren) dat minder vaak voorkomt dan een signaal dat gebruikelijk is.

De onderzoekers besloten dit te testen door een experiment uit te voeren waarbij er e-mails naar deelnemers werden verzonden, waarvan sommige schadelijke bijlages bevatten. Het percentage aan schadelijke e-mails varieerde voor elke deelnemers — voor sommigen bevatte slechts 1% malware in de bijlagen, voor anderen 5%, en weer anderen 20%. Het resultaat bevestigde hun hypothese dat hoe minder vaak een dreiging voorkwam, hoe moeilijker het voor mensen was om deze te spotten. Bovendien is het verband niet lineair, maar eerder logaritmisch.

We moeten hierbij opmerken dat het experiment een redelijk kleine steekproef was (33 proefpersonen), en alle deelnemers waren studenten, dus het zou voorbarig zijn om zomaar de conclusie ervan te accepteren. Maar binnen de psychologie wordt het prevalentie-effect over het algemeen als bewezen beschouwd, dus waarom zou het niet van toepassing zijn op phishing-e-mails? Sawyer en Hancock beloven hoe dan ook om hun hypothese te verfijnen door meer geavanceerde tests uit te voeren.

De onderzoekers suggereerden een mogelijke verklaring van het verschijnsel betreffende het grotere vertrouwen in de veiligheid van het systeem. In feite stellen ze dat anti-phishing-technologieën gebruikers tegelijkertijd beschermen tegen dreigingen én hun waakzaamheid in slaap wiegen. De onderzoekers suggereren overigens ook dat cybercriminelen weet zouden kunnen hebben van dit effect en dus daarom met opzet minder regelmatig malware versturen.

Praktische conclusies

Zoals u al kunt raden, zijn wij geen voorstander van het afschaffen van geautomatiseerde beveiligingssystemen. Maar als de hypothese van Sawyer en Hancock klopt, dan is het mogelijk dat gebruikers baat zouden kunnen hebben bij de incidentele kennismaking met een phishing-e-mail. Maar geen echte, natuurlijk.

Kaspersky Automated Security Awareness Platform, onze oplossing voor het trainen van werknemers van bedrijven van alle groottes in cybersecurity, laat u op periodieke wijzen controleren hoe goed de cursisten de vaardigheden oppikken. Als onderdeel van de controles, ontvangen ze gesimuleerde phishing-e-mails en moeten ze hier op juiste wijze mee omgaan. Dit helpt om werknemers waakzaam te houden, zodat ze niet vergeten hoe phishing-activiteiten eruitzien.

Zelfs als de theorie uiteindelijk niet blijkt te kloppen, kunnen zulke e-mails geen kwaad. De trainingsmanager weet zo in ieder geval wie de zwakste schakels zijn.

Tips