Een medewerker van MacEwan University kreeg in 2017 een e-mail van iemand die beweerde een bouwaannemer te zijn met het verzoek om het rekeningnummer te wijzigen waar bijna $ 12 miljoen aan betalingen naar zijn verzonden. Een week later belde de eigenlijke aannemer met de vraag wanneer de betaling zou komen. De e-mail over de wijziging van het rekeningnummer was nep. In plaats van naar de aannemer te gaan, werden de betalingen naar door criminelen gecontroleerde rekeningen gestuurd.

Valse e-mails die mensen dingen proberen te laten doen die ze normaal niet zouden doen, zoals geld verzenden, gevaarlijke programma's uitvoeren of wachtwoorden vrijgeven, worden phishing-e-mails genoemd. Cybersecurity-experts geven de mensen die dergelijke berichten ontvangen vaak de schuld dat ze niet merken dat de e-mails nep zijn.

Als cyberbeveiligingsonderzoeker heb ik ontdekt dat de meeste mensen goed zijn in bijna alle vaardigheden die computerbeveiligingsexperts gebruiken om valse e-mails in hun inbox op te merken. Het verschil maken komt neer op luisteren naar je instinct.

Hoe de pro's het doen

In eerder onderzoek ontdekte ik dat wanneer cyberbeveiligingsexperts een phishing-e-mailbericht ontvingen, ze, zoals de meeste mensen, ervan uitgingen dat de e-mail echt was. Ze namen aanvankelijk alles in de e-mail tegen de nominale waarde. Ze probeerden erachter te komen wat de e-mail hen vroeg te doen en hoe het verband hield met dingen in hun leven.

Terwijl ze lazen, merkten ze kleine dingen op die niet klopten, of verschilden van wat normaal gesproken in vergelijkbare e-mailberichten zou staan. Ze merkten dingen op zoals typefouten in een professionele e-mail, of het ontbreken van typefouten van een drukke leidinggevende. Ze merkten dingen op zoals een bank die rekeninginformatie in een e-mailbericht verstrekt in plaats van de standaardmelding dat de ontvanger een bericht had in het beveiligde berichtensysteem van de bank. Ze merkten ook dingen op, zoals iemand die hen ongewoon e-mailt zonder het eerst persoonlijk te noemen.

Maar het opmerken van deze tekens is niet genoeg om erachter te komen dat de e-mail bedrog is. In plaats daarvan werden de experts gewoon ongemakkelijk met het e-mailbericht. Pas toen ze iets in het bericht zagen dat hen aan phishing deed denken, werden ze achterdochtig. Ze zouden een anomalie zien, zoals een link waarop de e-mail hen probeerde te laten klikken. In hun gedachten worden deze vaak geassocieerd met phishing-e-mails.

Gecombineerd met het ongemakkelijke gevoel over het e-mailbericht, bracht deze herinnering de experts ertoe te erkennen dat phishing de vreemde dingen die ze opmerkten, zou kunnen verklaren. Ze kregen argwaan over het bericht en gingen op onderzoek uit om erachter te komen of het om fraude ging.

Goede instincten

Als experts het zo doen, wat doen gewone mensen dan? Toen ik mensen interviewde zonder ervaring met computerbeveiliging, vond ik een soortgelijk proces. De meeste mensen merkten dingen op die niet goed leken, voelden zich ongemakkelijk bij de e-mail, herinnerden zich phishing en deden onderzoek.

Uit mijn onderzoek bleek dat mensen goed zijn in de eerste twee stappen:dingen in de e-mail opmerken die raar lijken en zich ongemakkelijk gaan voelen. Bijna iedereen met wie ik sprak, merkte meerdere problemen op toen ze een valse e-mail zagen en vertelde me dat ze zich niet op hun gemak voelden bij het bericht.

En als mensen aan phishing dachten, waren ze ook goed in onderzoeken. In plaats van naar technische details te kijken, namen de meeste mensen echter contact op met de afzender of vroegen anderen om hulp. Maar ze konden nog steeds correct achterhalen of een e-mailbericht een phishing-aanval was.

Phishing-verhalen

De meeste phishing-trainingen leren mensen om problemen in e-mail te zoeken. Maar voor de meeste mensen is het moeilijkste van phishing niet om de rare dingen in een e-mailbericht op te merken. Mensen hebben vaak te maken met rare maar echte e-mails. Veel berichten voelen een beetje vreemd aan. Soms heeft je baas een slechte dag, of verandert de bank haar beleid. Geen enkel e-mailbericht is perfect, en daar zijn mensen vaak op afgestemd.

De uitdaging voor de meeste mensen was om te onthouden dat phishing bestaat en te erkennen dat phishing die rare dingen zou kunnen verklaren. Zonder dat bewustzijn van phishing kan de gekheid in phishing-berichten verloren gaan in de alledaagse gekte van e-mail.

De meeste mensen die ik heb geïnterviewd, kennen phishing in het algemeen. Maar de mensen die goed waren in het opmerken van phishingberichten, meldden verhalen over specifieke phishing-incidenten waarvan ze hadden gehoord. Ze vertelden me over een keer dat iemand bij hun organisatie viel voor een phishing-e-mail, of over een nieuwsbericht over een incident zoals dat bij MacEwan University.

Bekendheid met specifieke phishing-incidenten helpt mensen phishing in het algemeen te onthouden en te herkennen dat dit de vreemde dingen die ze in een e-mail opmerken, zou kunnen verklaren. Deze verhalen zijn essentieel voor mensen die van "iets is raar" naar "is dit phishing?"