Emocje, które otwierają drzwi cyberprzestępcom

Żaden antywirus nie powstrzyma człowieka, który w stresie kliknie w fałszywy link. Phishing nie działa dzięki technologii, lecz dzięki psychologii. Wykorzystuje nasze emocje, lęki, impulsy i zmęczenie. Dlatego najnowsze badania nad bezpieczeństwem w sieci coraz częściej nie zaczynają się od kodu, lecz od ludzkiego mózgu.

Każdego dnia w skrzynkach mailowych lądują miliony prób oszustw. Wiadomości z pozoru pilne, emocjonalne, wiarygodne: „Twoje konto zostanie zablokowane”, „Wygrałeś nagrodę”, „Odzyskaj utracone pieniądze”. Większość z nich zatrzymują filtry antyspamowe, ale te kilka procent, które przedostają się przez zabezpieczenia, wystarcza, by wywołać poważne straty. Bo choć technologia coraz lepiej chroni komputery, wciąż nie potrafi skutecznie chronić człowieka przed nim samym.

Właśnie ten problem postanowili rozwiązać badacze z projektu EVE (Emotions and Vulnerabilities Exposed and Protected). Ich celem nie było stworzenie kolejnego programu antywirusowego, lecz opracowanie systemu, który rozumie psychologię użytkownika. Nowy algorytm oparty na badaniach z pogranicza neuronauki, technologii i psychologii. Analizuje emocje, osobowość i kontekst działania, by przewidywać, w jakich sytuacjach człowiek staje się najbardziej podatny na cyberatak.

Ludzki mózg przez miliony lat uczył się reagować na fizyczne niebezpieczeństwa te, które można usłyszeć, zobaczyć lub poczuć. Kiedy coś nas przestraszy, uruchamia się amygdala, wysyłając sygnał „walcz albo uciekaj”. Ten instynkt ratował nas przed drapieżnikami, ale w internecie jest bezużyteczny.

Przy otwarciu maila nic nie ryczy, nic nie błyska. Mózg nie rozpoznaje zagrożenia, bo nie ma bezpośredniego bodźca. Co więcej często reaguje odwrotnie. Zamiast obawiać się oszustwa, boimy się konsekwencji braku działania. Wiadomość o rzekomym zablokowaniu konta czy utracie pieniędzy wywołuje lęk przed stratą. Wtedy emocje przejmują kontrolę, a racjonalne myślenie wolniejsze i wymagające schodzi na dalszy plan.

Wystarczy zmęczenie, pośpiech albo stres, by odruchowo kliknąć w link, który prowadzi prosto do pułapki. Algorytm EVE opiera się na trzech kluczowych zmiennych psychologicznych, które determinują naszą podatność na manipulację.

Pierwsza to system hamowania zachowań (BIS), ściśle związany z lękiem. Osoby o wysokim poziomie BIS reagują silnym niepokojem na groźbę kary, dlatego częściej ulegają wiadomościom typu: „jeśli nie zareagujesz natychmiast, stracisz dostęp”.

Druga to system aktywacji zachowań (BAS), związany z impulsywnością i poszukiwaniem nagrody. Dla takich osób bardziej kuszące są komunikaty obiecujące zysk: „wygraj nagrodę”, „skorzystaj z oferty”.

Trzecia to potrzeba poznania (NC) skłonność do analizowania i refleksji. Osoby o wysokiej NC są bardziej odporne na proste triki, ale mogą ulec wiadomościom apelującym do ciekawości: „przeczytaj ekskluzywny raport”, „poznaj wyniki badań”.

EVE nie tworzy jednego, sztywnego profilu użytkownika. Oblicza jego zmienną podatność to, jak konkretna osoba reaguje w różnych warunkach. Uwzględnia też czynniki kontekstowe: presję czasu, wielozadaniowość, poziom stresu czy zaangażowanie w temat wiadomości.

System uczy się nieustannie. Przeprowadza symulacje phishingowe, analizuje decyzje użytkowników i dostosowuje komunikaty edukacyjne do ich profilu. Mechanizm nazwany „semaforem” ostrzega o wzroście ryzyka i pokazuje krótkie „mikrohistorie”, które tłumaczą, dlaczego dana osoba kliknęła lub tym razem nie.

Zespół badawczy testował EVE w dwóch środowiskach: wśród studentów oraz pracowników firm. Uczestnicy wykonywali testy osobowości, a następnie mierzyli się z realistycznymi symulacjami cyberataków. System rejestrował czas reakcji, emocje i decyzje, a potem generował spersonalizowane rekomendacje dotyczące bezpieczeństwa.

Wnioski były jednoznaczne: nie istnieje uniwersalne szkolenie z cyberbezpieczeństwa. Osoba impulsywna wymaga innego podejścia niż ktoś o wysokim poziomie lęku. Wspólne kursy dają złudne poczucie bezpieczeństwa, a nie realną odporność.

Personalizacja szkoleń, oparta na psychologii, może znacząco ograniczyć ryzyko. Uczy nie tylko, jak rozpoznać podejrzany mail, lecz także jak rozpoznać własne emocje w chwili, gdy decydujemy się kliknąć. Projekt EVE proponuje zmianę paradygmatu. Cyberbezpieczeństwo nie jest już wyłącznie sprawą technologii, zapór i protokołów. To także, a może przede wszystkim kwestia emocji.

Hakerzy nie atakują maszyn. Atakują ludzką psychikę. Wykorzystują zaufanie, pośpiech, ciekawość i lęk. Dlatego systemy przyszłości będą musiały chronić nie tylko dane, ale też nasze reakcje i decyzje. Bo w epoce cyfrowej nie wystarczy wiedzieć, jak działa internet. Trzeba wiedzieć, jak działa człowiek w internecie.

Laura WIECZOREK