NAJVEĆA RANJIVOST SRPSKIH KOMPANIJA: Zašto klikćemo na sumnjive linkove čak i kada znamo da ne treba

Ukoliko vam stigne poruka: “Vaš paket nije mogao biti isporučen. Kliknite ovde da ažurirate podatke” da li ćete to uraditi? Ako ćete zastati i proveriti da li je poruka fišing – svaka čast, među retkima ste koji imaju svest o sajber bezbednosti. Ipak, manjina ste. Više je onih koji će u žurbi otvoriti maliciozan link i tako ugroziti i sebe i svoju kompaniju.

Prema analizama stručnjaka iz bezbednosno-operativnog centra kompanije PULSEC, u više od 50% sajber incidenata uzrok je bila upravo ljudska greška. Ali zašto su one tako česte? Zato to je ljudsko ponašanje predvidivo, a znanje često ograničeno.

Napadi nisu slučajni, dizajnirani su. Znate li koje se taktike koriste?

Moderna fišing poruka nije napravljena nasumično. Ona je pažljivo osmišljena da cilja tačno određene emocije, rutine i mentalne prečice koje koristimo svaki dan.

Jedan od najmoćnijih mehanizama je autoritet. Kada poruka izgleda kao da dolazi od neke zvanične institucije, mozak automatski pretpostavlja da je autoritet jednak istini. Ukoliko vam banka pošalje: „Izvršena vam je uplata. Kliknite i potvrdite transakciju”, inicijalna sreća zbog priliva novca lako se može pretvoriti u ozbiljan incident.

Podjednako efikasan je strah od gubitka. Psihološke studije pokazuju da ljudi mnogo snažnije reaguju na mogućnost da nešto izgube nego na mogućnost dobitka. Poruke poput „Vaš pristup je ukinut” ili „Račun će biti ugašen” nisu slučajno formulisane, one teraju na iracionalne odluke donete u sekundi.

Tu je i pritisak vremena. „Vaš nalog će biti ugašen za 15 minuta” je tipičan primer. Kada osećamo vremenski pritisak, logika se gasi. Mozak prelazi u reaktivni mod i preskače korake provere koje bi inače preduzeo. Baš taj preskočeni korak je ono što napadač čeka.

Zanimljivo je i da radoznalost postaje oružje. Kako? Kada primetimo jaz između onoga što znamo i onoga što želimo da znamo, taj jaz stvara mentalnu tenziju koju moramo zatvoriti. „Kolega je podelio fajl sa vama” ili „Izmenjen raspored smena” su neutralne poruke koje gotovo refleksno otvaramo, bez da se pitamo odakle zaista dolaze.

Posebno podmukla je zloupotreba poverenja unutar organizacije. Ako poruka izgleda kao interna komunikacija, mejl od „kolege”, HR obaveštenje ili lažni Teams link, ljudi znatno ređe proveravaju detalje.

Konačno, tu je i ono što psiholozi nazivaju halo efektom. Jedno pozitivno svojstvo utiče na to kako procenjujemo sve ostalo. Lep dizajn mejla deluje bezbedno, logo poznate banke deluje legitimno, profesionalan ton deluje pouzdan. I zato ne analiziramo dalje, prenosimo prvi utisak na celu poruku.

Kako danas izgleda fišing napad?

Zaboravite na mejlove pune pravopisnih grešaka i nelogičnih rečenica. Moderni fišing je kratak, neutralan i sa veoma malo vidljivih znakova upozorenja. Zahvaljujući veštačkoj inteligenciji moguće je generisati savršeno napisane mejlove, a automatizovani napadi koriste javno dostupne podatke o vama kako bi poruke zvučale zastrašujuće uverljivo.

Pet navika koje mogu da zaštite vas i vašu kompaniju

Dobra vest je da u ovom trenutku relativno jednostavne navike mogu pomoći da se odbranite. Pre svega, zastanite pre nego što reagujete. Svaka poruka koja stvara osećaj hitnosti ili straha zaslužuje bar nekoliko sekundi pažnje.

Neobične zahteve, posebno finansijske, uvek potvrdite telefonom ili kroz drugi komunikacioni kanal. Pre nego što kliknete na link, pređite mišem preko njega i proverite da li vodi na legitimnu adresu. Budite oprezni prema neplaniranim prilozima, čak i kada izgledaju kao da dolaze od poznatog pošiljaoca. I na kraju, prijavite svaku sumnjivu poruku, jer ono što vi prepoznate može zaštititi i kolege.

Razumevanje psihologije fišinga nije samo zanimljiva tema, to je prva (ali ne i jedina) linija odbrane svake organizacije.

Edukacija zaposlenih i sistematični awareness treninzi nisu trošak, već investicija. Kompanija koja razume kako napadi funkcionišu i na ljudskom i na tehničkom nivou bolje je pripremljena za potencijalne napade.