„Невъзможният“ имейл от шефа
Петък, 14:58 ч.
Иван – финансов контрольор в средна българска IT-фирма – получава имейл от CEO-то:
„Иване, в момента съм на среща с инвеститори. Спешно преведи 38 000 лв. по сметката на доставчика. Пратих ти IBAN в отделен PDF. Това е критично – всичко зависи от нас!“
Иван познава гласа на шефа си, вижда и познатия подпис. Превежда сумата за 7 минути.
След 30 минути разбира, че CEO-то всъщност е на летището и няма представа за имейла.
„Как изобщо успяха?“ – пита се той.
Отговорът е: експлоатираха точно три когнитивни пристрастия, които всички носим в себе си.
Шестте bias-а, които хакерите „нагряват“
1. Оптимизъм
„Това няма как да се случи на мен“
Научен механизъм: Префронталният кортекс подценява личния риск, защото еволюционно е по-удобно да действаме, вместо да се плашим.
Експлойт: Фишинг-имейлите често започват с „Вашата сметка е компрометирана“ – но вместо паника, мозъкът казва „аз нямам такава сметка“ и кликва, за да провери.
2. Нещо познато
„Познавам този подпис/глас/лого“
Мозъчна основа: Amygdala бързо „етикетира“ познатите стимули като безопасни.
Експлойт: Deepfake аудио с дикцията и любимите фрази на шефа; имейл с точния corporate disclaimer.
3. Закотвяне
Как работи: Първата информация задава „референтна рамка“.
Експлойт: „Ако не актуализираш паролата до 17:00, профилът ще бъде заключен.“ Часът става якор – жертвата бърза да кликне, вместо да провери домейна.
4. Авторитет
Мозък: Виждаме символи на власт (CEO, „Банка ДСК“, НАП) и предаваме контрола.
Експлойт: Имейл от support@nap-bg[.]online – домейнът е фалшив, но логото и ЕГН-полето създават авторитет.
5. Спешност
Неврохимия: Допаминов пик при мисълта за „губеща възможност“.
Експлойт: „Ваучерът за 200 лв. изтича след 15 минути“ – жертвата изключва prefrontal контрола.
6. Рационализация
„Това е малък риск, но голяма полза“
Психология: Cognitive dissonance – намаляваме вътрешното напрежение.
Експлойт: „Само един клик, за да видя сметката си – какво пък толкова…“
Как точно изглежда експлойтът
Реален фишинг имейл (февруари 2025):
From: CEO@company[.]bg
Subject: ???? Важно: Промяна в IBAN на доставчик
Attachment: 2025_iban_update.pdf
Body: „…ако не бъде актуализирано до 16:00, договорът ни се анулира.“
- PDF-ът съдържа JavaScript, който прави POST към
hxxps://ceo-docs[.]ru/. - „CEO@company.bg“ е spoof-нат чрез open-relay в AWS SES.
- DKIM подписът е валиден, защото злоумишленикът е компрометирал subdomain SPF.
Обръщаме bias-а срещу хакера
Оптимизъм
Контра-мерка: Симулирани атаки с лична статистика: „Иване, ти си в 11 % от хората, които кликват на фишинг“.
Nudge техника: Персонализирано писмо + сравнение с колегите.
Нещо познато
Контра-мерка: 2-факторна проверка на глас: „Ако CEO-то те звъни за пари, затвори и му се обади обратно на известен номер“.
Nudge техника: Sticky note на монитора: „Провери гласа“.
Закотвяне
Контра-мерка: Системен Slack-бот, който автоматично „замразява“ заявки > 5 000 лв. за 30 минути.
Nudge техника: Default cooling-off.
Авторитет
Контра-мерка: Всеки външен имейл с ключова дума „плащане“ се боядисва в червено + банер: „Външен домейн!“.
Nudge техника: Visual salience.
Спешност
Контра-мерка: Политика: никакво „спешно“ плащане по имейл; само през ERP workflow.
Nudge техника: Friction (допълнителен клик).
Рационализация
Контра-мерка: Микро-обучение за 90 сек. веднага след клик на фишинг симулация.
Nudge техника: Just-in-time learning.
Заключение
Хакерите не пробиват само firewall-и – пробиват нашите мозъци.
Когато разберем кои точно bias-и използват, можем да превърнем една проста „червена лампичка“ в мощно оръжие за защита.
А ти кой bias хвана днес?
Готов ли си да превърнеш прочетеното в действие?
Разгледай цялата ни програма по киберсигурност и избери обучението, което ще направи екипа ти невъзможен за манипулация.
От „Социално инженерство“ до „Съвременни заплахи от спам и фишинг имейли“ – всички курсове са онлайн, с достъп 3 месеца и сертификат.
