5 Emotions Used in Social Engineering

homepageTop News
Written By David Shipley

French | Spanish

Are you being bombarded with phishing emails? Are you worried even the most basic phish can infiltrate your organization? In this blog, we explain how social engineering works, how cybercriminals target your emotions and how to spot a potential phish.  

 What is Social Engineering?

Social engineering is a highly effective way for cybercriminals to gain unauthorized access to your personal, private information through your phone, laptop or other electronic device. Cybercriminals craft scams which prey on your emotions in an attempt to have you act quickly without fully considering the situation.  

What Emotions are Targeted in Social Engineering?

  • Fear  

  • Greed 

  • Surprise 

  • Anger 

  • Curiosity 

Why Do We Fall for Phishes?

By exploiting emotions such as fear, greed, surprise, anger or curiosity, cybercriminals are looking for you to act on those emotions without thinking critically about the situation. Psychologist and economist, Daniel Kahneman, explains how this works through a model of two systems of thinking: 

System 1 is fast and intuitive. This is the system that deals with emotional responses and decisions that we make on a daily basis. Every day we are faced with thousands of decisions: from which sock to put on first to how much cream we want in our coffee. If we had to deliberate and think critically about every little decision, we wouldn’t be able to get anything done. This is why we depend so heavily on System 1. System 1 relies on mental shortcuts, or “auto pilot” responses which help alleviate the mental burden of making all these decisions. However, System 1 can also harm our decision making. Kahneman states that all humans have a truth bias, or a belief that folks generally tell the truth rather than lie, a belief that can lead to clicking on a suspicious or unbelievable email attachment, for instance.  

System 2 is deliberate and slow. This is the system that we use when making difficult decisions that require us to slow down and consider our options, like if we should change career paths or buy that new car. Cybercriminals depend on us not using this type of decision making and instead relying on our emotions and System 1 response.  

What Tactics Do Social Engineers Use?

Authority: These types of attacks are popular with phishing and vishing. Most folks don’t want to get into any legal trouble, so they go along with the ploy. These attacks typically play on the emotion of fear, as people are afraid of getting in trouble with the law or another authority figure. 

Liking: It’s a known fact that people like folks that are charming or helpful. This tactic could be used in vishing and phishing attacks and is sometimes mixed with Reciprocity. Generally, a cybercriminal will reach out pretending to be helpful and charming for you to give them personal information such as login credentials, SIN or other classified information. These attacks can prey on emotions such as curiosity and surprise. 

Scarcity: Is a popular phishing technique that usually involves quantity or time constraints. For example, you may receive an email from a higher-up in your organization demanding that you click on a link to complete a task in 15 minutes or else! These types of attacks prey on emotions like fear or surprise as the email is unexpected and you most likely are afraid of the consequences of not completing the action demanded. 

Social Proof: Consists of name dropping to trick folks into thinking you have the authority to make specific demands. For example, a cybercriminal could ask you for your login credentials by pretending to either be your boss or someone else who works for your company. This method of social engineering depends on the emotions of fear and surprise.

Reciprocity: Is when you are asked to provide information because you have been given something. For example, you could receive an email stating that you have been offered a raise if you click on the link provided and enter your personal information. This tactic depends on the emotions of surprise, curiosity and even greed. 

How to Spot a Phish

Look Suspicious? – If you receive and email from an address that you don’t recognize or receive a request that is unusual – don’t do it! Always double check that this is a task that you have been asked to complete, or that the person in question actually did send you that email or text.  

Too Good To be True? – If something sounds too good to be true, it probably is. While winning $1 million sounds incredible and you may be tempted to click on that link, take a moment to think about the situation. Most likely, this is a cybercriminal preying on your emotions. 

The best defense against cybercriminals is using System 2 decision making – stopping and analyzing the situation before acting. Always ask yourself: is this too good to be true? Is this something that I have been asked to do in the past? Is this how the person or organization in question usually contacts me? If in doubt – reach out using a trusted method to the person or organization to confirm that what you have been told is legitimate.  

5 émotions utilisées dans les attaques d’ingénierie sociale

Êtes-vous bombardé de courriels d’hameçonnage? Craignez-vous que même l’hameçonnage le plus élémentaire puisse infiltrer votre organisation? Dans ce billet de blogue, nous expliquons comment fonctionne l’ingénierie sociale, comment les cybercriminels ciblent vos émotions et comment repérer les tentatives d’hameçonnage potentielles.

Qu’est-ce que l’ingénierie sociale?

L’ingénierie sociale est un moyen très efficace pour les cybercriminels d’obtenir un accès non autorisé à vos informations personnelles et privées via votre téléphone, votre ordinateur portable ou tout autre appareil électronique. Les cybercriminels créent des escroqueries qui tentent de tirer profit de vos émotions en vous poussant à agir rapidement sans évaluer pleinement la situation. 

Quelles sont les émotions ciblées lors d’attaques d’ingénierie sociale?

  • La peur 

  • La cupidité

  • La surprise

  • La colère

  • La curiosité

Pourquoi sommes-nous victimes de tentatives d’hameçonnage?

En exploitant des émotions telles que la peur, la cupidité, la surprise, la colère ou la curiosité, les cybercriminels cherchent à vous pousser à agir sur ces émotions sans penser de manière critique à la situation. Le psychologue et économiste Daniel Kahneman explique comment cela fonctionne à travers un modèle impliquant deux systèmes de pensée :

Le système no. 1 est rapide et intuitif. C’est le système qui traite les réponses émotionnelles et les décisions que nous prenons quotidiennement. Nous sommes confrontés chaque jour à des milliers de décisions, du choix de la chaussette à enfiler en premier à la quantité de crème que nous voulons dans notre café. Si nous devions réfléchir de manière critique à chaque petite décision, nous ne pourrions plus rien accomplir, c’est pourquoi nous sommes si dépendants du système no. 1. Il s’appuie sur des raccourcis mentaux, ou des réponses du « pilote automatique » qui aident à alléger le fardeau mental de la prise de toutes ces décisions. Cependant, ce système peut également nuire à notre prise de décision. M. Kahneman affirme que tous les humains ont un parti pris envers la vérité, ou une tendance à croire que les gens disent généralement la vérité plutôt que de mentir, croyance qui peut nous pousser à cliquer sur une pièce jointe suspecte ou sur un lien promettant quelque chose de peu vraisemblable, par exemple.

Le système no. 2 est délibéré et lent. C’est le système que nous utilisons lorsque nous prenons des décisions difficiles qui nous obligent à nous arrêter et à considérer nos options, par exemple pour une décision sur un changement de carrière ou pour l’achat d’une nouvelle voiture. Les cybercriminels dépendent du fait que nous n’utilisons pas ce type de prise de décision et que nous faisons plutôt confiance à nos émotions et à la réponse du système no. 1.

 Quelles sont les tactiques d’ingénieries sociales utilisées par les criminels?

Autorité : ce type d’attaque est populaire pour l’hameçonnage vocal et par texto. La plupart des gens ne veulent pas avoir de problème juridique, c’est pourquoi ils ont tendance à faire ce qui est demandé. Ces attaques jouent généralement sur la peur, car nous craignons d’avoir des ennuis avec la justice ou une autre figure d’autorité.

Affection : il est bien connu que les gens aiment les personnes qui sont aimables ou serviables. Cette tactique peut être utilisée lors d’attaques d’hameçonnage vocal ou par courriel, et elle est parfois utilisée en tandem avec une tactique de réciprocité. En général, le cybercriminel communiquera avec vous en prétendant être aimable ou serviable pour vous pousser à lui fournir des informations personnelles, telles que des identifiants de connexion, votre NAS ou d’autres informations classifiées. Ces attaques peuvent tirer profit d’émotions telles que la curiosité et la surprise.

Rareté : il s’agit d’une technique d’hameçonnage populaire qui implique généralement des limites de quantité ou une restriction dans le temps. Par exemple, vous pouvez recevoir un courriel semblant provenir d’une personne à un échelon supérieur de votre organisation vous demandant de cliquer sur un lien pour terminer une tâche en 15 minutes, sans quoi vous pourriez avoir des ennuis. Ce type d’attaque tire parti d’émotions telles que la peur ou la surprise, car le courriel est inattendu et vous craindrez probablement les conséquences qu’impliquerait de ne pas accomplir l’action demandée.

Preuve sociale : il s’agit de faire référence à une organisation ou une personne en particulier pour tromper les gens en leur faisant croire qu’ils ont le pouvoir de faire des demandes spécifiques. Par exemple, un cybercriminel peut demander vos identifiants de connexion en se faisant passer pour votre patron ou pour une autre personne qui travaille pour votre entreprise. Cette méthode d’ingénierie sociale dépend des émotions de peur et de surprise.

Réciprocité : cette tactique consiste à vous demander de fournir des renseignements parce qu’on vous a donné quelque chose. Par exemple, vous pourriez recevoir un courriel indiquant qu’on vous a offert une augmentation si vous cliquez sur le lien fourni et entrez vos renseignements personnels. Cette tactique tire profit des émotions que sont la surprise, la curiosité, et même la cupidité.

 Comment détecter les tentatives d’hameçonnage

 Cela semble-t-il suspect? – Si vous recevez un courriel provenant d’une adresse que vous ne reconnaissez pas ou si recevez une demande inhabituelle, ne faites pas ce qu’on vous y demande! Vérifiez toujours qu’il s’agit d’une tâche qu’on vous a réellement demandé d’effectuer, ou que la personne en question vous a effectivement envoyé ce courriel ou ce message texte. 

Trop beau pour être vrai? – Si quelque chose semble trop beau pour être vrai, c’est probablement le cas. Bien que de gagner un million de dollars serait incroyable et qu’il puisse être tentant de cliquer sur ce lien, prenez un moment pour réfléchir à la situation. Il s’agit probablement d’un cybercriminel qui tente de tirer profit de vos émotions.

La meilleure défense contre les cybercriminels est d’utiliser le système de prise de décision no. 2 : s’arrêter et analyser la situation avant d’agir. Demandez-vous toujours : est-ce trop beau pour être vrai? Est-ce quelque chose qu’on m’a demandé de faire dans le passé? Est-ce ainsi que la personne ou l’organisation en question communique habituellement avec moi? En cas de doute, communiquez avec la personne ou l’organisation en utilisant une méthode fiable pour confirmer que ce qu’on vous demande est légitime. 

5 emociones utilizadas en ingeniería social

¿Está siendo bombardeado con correos electrónicos de phishing? ¿Le preocupa que incluso el phishing más básico pueda infiltrarse en su organización? En esta entrada de blog, explicamos cómo funciona la ingeniería social, cómo los ciberdelincuentes atacan sus emociones y cómo detectar un posible phishing.

¿Qué es la ingeniería social?

La ingeniería social es una forma altamente efectiva en que los ciberdelincuentes obtienen acceso no autorizado a su información personal y privada a través de su teléfono, computadora portátil u otro dispositivo electrónico. Los ciberdelincuentes crean estafas que se aprovechan de sus emociones buscando que actúe rápidamente sin reflexionar bien en la situación. 

¿Qué emociones se busca explotar en la ingeniería social?

  • Miedo

  • Codicia

  • Sorpresa

  • Enojo

  • Curiosidad

¿Por qué caemos en los phishes?

Al explotar emociones como el miedo, la codicia, la sorpresa, el enojo o la curiosidad, los ciberdelincuentes buscan que actúe empujado por estas emociones sin reflexionar de manera crítica en la situación. El psicólogo y economista, Daniel Kahneman, explica cómo funciona esto a través de un modelo de dos sistemas de pensamiento:

El sistema 1 es rápido e intuitivo. Este es el sistema que se ocupa de las respuestas emocionales y las decisiones que tomamos a diario. Cada día nos enfrentamos a miles de decisiones: desde qué calcetín ponernos primero hasta cuánta leche queremos echarle a nuestro café. Si tuviéramos que deliberar y reflexionar de manera crítica sobre cada pequeña decisión, no terminaríamos nunca con nada. Esta es la razón por la que dependemos tanto del sistema 1. El sistema 1 se basa en atajos mentales, o respuestas de "piloto automático" que ayudan a aliviar la carga mental que implica tomar tantas decisiones. Sin embargo, el sistema 1 también podría perjudicar nuestra toma de decisiones. Kahneman afirma que todos los seres humanos tenemos un sesgo de verdad, o una creencia de que la gente suele decir la verdad en lugar de mentir, una creencia que puede llevar a hacer clic en un archivo adjunto de correo electrónico sospechoso o increíble, por ejemplo.

El sistema 2 es deliberado y lento. Este es el sistema que utilizamos para tomar decisiones difíciles que requieren que disminuyamos la velocidad y consideremos nuestras opciones, como haríamos si tuviéramos que cambiar de carrera o comprar un auto nuevo. Los ciberdelincuentes dependen de que no utilicemos este tipo de toma de decisiones y que más bien confiemos en nuestras emociones y en la respuesta del sistema 1.

¿Qué tácticas utilizan los ingenieros sociales?

Autoridad: Este tipo de ataques son populares en el phishing y el vishing. La mayoría de las personas no quieren meterse en ningún problema legal, por lo que siguen la corriente. Estos ataques generalmente juegan con la emoción del miedo, ya que las personas tienen miedo de meterse en problemas con la ley u otra figura de autoridad.

El agrado: Es un hecho que a la gente le gustan las personas que son encantadoras o serviciales. Esta táctica podría usarse en ataques de vishing y phishing y, a veces, se mezcla con la reciprocidad. En general, un ciberdelincuente se comunica fingiendo ser útil y encantador para que usted le brinde información personal, como credenciales de inicio de sesión, número de seguridad social u otra información clasificada. Estos ataques pueden aprovecharse de emociones como la curiosidad y la sorpresa.

Escasez: Esta es una técnica popular de phishing que generalmente implica limitaciones de cantidad o tiempo. Por ejemplo, podría recibir un correo electrónico de un superior de su organización exigiéndole que haga clic en un enlace para completar una tarea en 15 minutos o de lo contrario sucederá algo malo. Este tipo de ataques se aprovechan de emociones como el miedo o la sorpresa, ya que el correo electrónico es inesperado y lo más probable es que le tema a las consecuencias de no completar la acción exigida.

Prueba social: Consiste en usar un nombre para engañar a la gente y que piense que tiene la autoridad para hacer demandas específicas. Por ejemplo, un ciberdelincuente podría pedirle sus credenciales de inicio de sesión haciéndose pasar por su jefe o alguien más que trabaje para su empresa. Este método de ingeniería social depende de las emociones del miedo y la sorpresa.

Reciprocidad: Sucede cuando se le pide que proporcione información porque ha recibido algo. Por ejemplo, podría recibir un correo electrónico indicando que se le dará un aumento si hace clic en el enlace proporcionado e ingresa su información personal. Esta táctica depende de las emociones de sorpresa, curiosidad e incluso codicia.

Cómo detectar un phishing

 ¿Parece sospechoso? Si recibe un correo electrónico de una dirección que no reconoce o recibe una solicitud que es inusual, ¡no lo haga! Siempre verifique que sea una tarea que se le haya pedido realizar, o que la persona en cuestión realmente sea quien le haya enviado ese correo electrónico o texto.

¿Demasiado bueno para ser verdad? Si algo suena demasiado bueno para ser verdad, probablemente no lo sea. Si bien ganar un millón de dólares suena increíble y puede sentirse tentado a hacer clic en ese enlace, tómese un momento para pensar en la situación. Lo más probable es que se trate de un ciberdelincuente aprovechándose de sus emociones.

La mejor defensa contra los ciberdelincuentes es utilizar la toma de decisiones del sistema 2: detenerse y analizar la situación antes de actuar. Siempre pregúntese: ¿es esto demasiado bueno para ser verdad? ¿Es esto algo que ya me han pedido hacer en el pasado? ¿Esta persona u organización suele ponerse en contacto conmigo de esta manera? En caso de duda, comuníquese con la persona u organización utilizando un método confiable para confirmar que lo que le han dicho sea legítimo.

David Shipley
Previous

Phishing for Your Information: Spear-Phishing and Whaling Explained
Next

Zero-Day Vulnerability