Att förstå bedrägerioffer
(Publicerad 2009-11-18)
Säkerhetsforskarlaget på Cambridge har värpt ännu ett guldägg.
Tillsammans med en av personerna bakom den brittiska TV-serien The Real Hustle ("Syna bluffen" i svensk TV) har Frank Stajano författat rapporten Understanding scam vicitims: seven principles for systems security (pdf).
Sammanfattningen av rapporten lyder:
The success of many attacks on computer systems can be traced back to the security engineers not understanding the psychology of the system users they meant to protect. We examine a variety of scams and “short cons” that were investigated, documented and recreated for the BBC TV programme The Real Hustle and we extract from them some general principles about the recurring behavioural patterns of victims that hustlers have learnt to exploit.
Rapporten tar bland annat upp det klassiska "spelet" Monte (Youtube-film) som t ex förekommer på Drottninggatan utanför riksdagshuset. Denna och ett gäng andra bedrägerier beskrivs och i rapportens andra halva kopplas sju principer som bedragarna använder för att kunna blåsa sina offer. De sju principerna är som följer:
1. The Distraction principle
Medan du är distraherad av vad som intresserar dig kan bedragare göra vad de vill mot dig och du kommer inte att märka det.
2. The Social Compliance principle
Samhället tränar personer till att inte ifrågasätta auktoriteter. Bedragare utnyttjar denna "minskning av misstänksamhet" för att få dig att göra som de vill.
3. The Herd principle
Även misstänksamma offer sänker guarden när alla andra i närheten verkar dela samma risker. Säker i flocken? Inte om alla konspirerar emot dig.
4. The Dishonesty principle
Allt illegalt du gör kommer att användas emot dig av bedragaren vilket gör det svårare för dig att söka hjälp från myndigheterna när du inser att du blivit lurad.
5. The Deception principle
Saker och personer är inte alltid vad de verkar vara. Bedragare vet hur de ska manipulera dig att tro att de verkligen är det.
6. The Need and Greed principle
Dina behov och önskningar gör dig sårbar. Så snart en bedragare vet vad du verkligen vill ha kan de enkelt manipulera dig.
7. The Time principle
När du ska fatta ett viktigt beslut under tidspress använder du en annorlunda beslutsstrategi. Bedragare styr dig mot en strategi som involverar mindre resonemang.
Stefan och Armanijackorna
Minns ni Stefan? Han som köpte tre skinnjackor av en "Italienare" på en bensinmack och insåg (med frugans hjälp) att de var (rejält dåliga) piratkopior först efter att han betalat 2 000 spänn för dem.
I det fallet utnyttjade bedragaren främst "The Need and Greed principle"; Stefan sade ju själv att han "blev bara begeistrad av att få så mycket märkesgrejor för så lite". Vidare gjorde jag antagandet att det hela gjordes under viss tidspress för att Stefan skulle ha begränsat med tid för att autentisera jackorna, ringa frugan, etc. Alltså "The Time principle". Naturligtvis passar också "The Deception principle".
Dessutom skulle man kunna applicera "The Dishonesty principle". Även om Stefan inte gör sig skyldig till ett brott i Sverige (i Italien hade det inneburit rejäla böter) så är det förstås inte helt kosher att köpa svindyra jackor billigt vid bensinmackar mitt i natten.
Uppdatering @ 13:24
Om det är något man ska ta med sig från rapporten så är det:
[...] it is naive and pointless just to lay the blame on the users and whinge that "the system I designed would be secure if only users were less gullible"; instead, the successful security designer seeking a robust solution will acknowledge the existence of these vulnerabilities as an unavoidable consequence of human nature and will actively build safeguards that prevent their exploitation.
--
Stefan Pettersson
Säkerhetsforskarlaget på Cambridge har värpt ännu ett guldägg.
Tillsammans med en av personerna bakom den brittiska TV-serien The Real Hustle ("Syna bluffen" i svensk TV) har Frank Stajano författat rapporten Understanding scam vicitims: seven principles for systems security (pdf).
Sammanfattningen av rapporten lyder:
The success of many attacks on computer systems can be traced back to the security engineers not understanding the psychology of the system users they meant to protect. We examine a variety of scams and “short cons” that were investigated, documented and recreated for the BBC TV programme The Real Hustle and we extract from them some general principles about the recurring behavioural patterns of victims that hustlers have learnt to exploit.
Rapporten tar bland annat upp det klassiska "spelet" Monte (Youtube-film) som t ex förekommer på Drottninggatan utanför riksdagshuset. Denna och ett gäng andra bedrägerier beskrivs och i rapportens andra halva kopplas sju principer som bedragarna använder för att kunna blåsa sina offer. De sju principerna är som följer:
1. The Distraction principle
Medan du är distraherad av vad som intresserar dig kan bedragare göra vad de vill mot dig och du kommer inte att märka det.
2. The Social Compliance principle
Samhället tränar personer till att inte ifrågasätta auktoriteter. Bedragare utnyttjar denna "minskning av misstänksamhet" för att få dig att göra som de vill.
3. The Herd principle
Även misstänksamma offer sänker guarden när alla andra i närheten verkar dela samma risker. Säker i flocken? Inte om alla konspirerar emot dig.
4. The Dishonesty principle
Allt illegalt du gör kommer att användas emot dig av bedragaren vilket gör det svårare för dig att söka hjälp från myndigheterna när du inser att du blivit lurad.
5. The Deception principle
Saker och personer är inte alltid vad de verkar vara. Bedragare vet hur de ska manipulera dig att tro att de verkligen är det.
6. The Need and Greed principle
Dina behov och önskningar gör dig sårbar. Så snart en bedragare vet vad du verkligen vill ha kan de enkelt manipulera dig.
7. The Time principle
När du ska fatta ett viktigt beslut under tidspress använder du en annorlunda beslutsstrategi. Bedragare styr dig mot en strategi som involverar mindre resonemang.
Stefan och Armanijackorna
Minns ni Stefan? Han som köpte tre skinnjackor av en "Italienare" på en bensinmack och insåg (med frugans hjälp) att de var (rejält dåliga) piratkopior först efter att han betalat 2 000 spänn för dem.
I det fallet utnyttjade bedragaren främst "The Need and Greed principle"; Stefan sade ju själv att han "blev bara begeistrad av att få så mycket märkesgrejor för så lite". Vidare gjorde jag antagandet att det hela gjordes under viss tidspress för att Stefan skulle ha begränsat med tid för att autentisera jackorna, ringa frugan, etc. Alltså "The Time principle". Naturligtvis passar också "The Deception principle".
Dessutom skulle man kunna applicera "The Dishonesty principle". Även om Stefan inte gör sig skyldig till ett brott i Sverige (i Italien hade det inneburit rejäla böter) så är det förstås inte helt kosher att köpa svindyra jackor billigt vid bensinmackar mitt i natten.
Uppdatering @ 13:24
Om det är något man ska ta med sig från rapporten så är det:
[...] it is naive and pointless just to lay the blame on the users and whinge that "the system I designed would be secure if only users were less gullible"; instead, the successful security designer seeking a robust solution will acknowledge the existence of these vulnerabilities as an unavoidable consequence of human nature and will actively build safeguards that prevent their exploitation.
--
Stefan Pettersson
Kommentarer
Trackback
