De acuerdo a Cialdini (2009), el marco de referencia más utilizado y conocido sobre influencia social consiste en seis principios: autoridad, consistencia, gusto, reciprocidad, escasez y prueba social. Estos principios son utilizados por los ciberdelincuentes en los ataques de phishing.
El principio de autoridad establece que las personas tienen más probabilidades de responder a una solicitud de alguien en una posición de poder o autoridad (Cialdini, 2009). El principio de consistencia indica que las personas buscan cumplir sus compromisos y ser consistentes con sus palabras. Por ejemplo, recordarle a una persona por correo electrónico que previamente apoyó a una organización benéfica aumenta la posibilidad de que la persona donará nuevamente (Guadagno y Cialdini, 2010). El principio del gusto indica que las personas son persuadidas fácilmente por alguien que le guste, que puede ser provocado por el uso de cumplidos o su atractivo. El principio de reciprocidad establece que las personas se sentirán obligadas a pagar por un servicio o favor que hayan recibido (Cialdini, 2009). Steinhoff y Palmatier (2016) explican que existen programas de fidelización o recompensa de los clientes para crear gratitud hacia el cliente, lo que debería inducir un deseo de comportarse recíprocamente. En el caso del principio de escasez, los ciberdelincuentes se hacen pasar por personal de una empresa de entrega y envió de encomiendas y engañan a las personas que un paquete no se le pudo entregar. Las potenciales víctimas recibieron un período de tiempo limitado en el que podían reclamar la encomienda. Como se aprecia en el ejemplo la escasez es la “presión de tiempo” (Cialdini, 2009). Finalmente, el principio de prueba social establece que las personas quieren ser vistas haciendo lo que el resto de sus compañeros hace. Por ejemplo, los ciberdelincuentes pueden persuadir a las personas a hacer clic en un enlace por la afirmación de que muchas otras personas ya han realizado esta acción (Butavicius et al., 2015)
En el estudio de Parsons et al. (2019), se realizó un experimento basado en juego de roles de phishing a 985 participantes usando los principios de Cialdini. En estudios previos de Akbar (2014) sobre phishing los principios más comunes utilizados en ataques de phishing fueron: autoridad, escasez y gusto.
El estudio de Parsons et al. (2019) concluye que las personas son menos susceptibles a los correos electrónicos de phishing que contenían el principio de escasez y prueba social porque ha sido muy utilizado en el phishing (Akbar, 2014; Atkins y Huang, 2013), y las víctimas fácilmente pueden detectar el engaño.
Finalmente, los participantes fueron más susceptibles a los principios de consistencia y reciprocidad, que son dos de los principios menos comunes en el phishing del mundo real. Por lo tanto, como estos principios son menos comunes en los correos de phishing, es posible que las personas no hayan sido tan expuestas a estos correos electrónicos como para desarrollar inmunidad.
Podemos concluir que los programas de concientización deberían enfocarse en los principios de consistencia y reciprocidad que son los menos comunes en el mundo real y que pueden afectar a los usuarios que no están acostumbrados a los nuevos tipos de persuasión o engaños. Así mismo, los ethical hackers deberán aplicar estos principios en sus pruebas de ingeniería social para evaluar el nivel concientización de los colaboradores.
Referencias
Akbar, N. (2014). Analysing persuasion principles in phishing emails. (Masters degree), University of Twente.
Australia Post. (2018). Scam alerts. Retrieved from https://auspost.com.au/about-us/aboutour-site/online-security-scams-fraud/scam-alerts.
Butavicius, M., Parsons, K., Pattinson, M., & McCormac, A. (2015, 30 Nov – 4 Dec). Breaching the Human Firewall: Social Engineering in Phishing and Spear-Phishing Emails. Paper presented at the 26th Australasian Conference of Information Systems (ACIS), Adelaide.
Cialdini, R. B. (2009). Influence: Science and Practice. New York: William Morrow
Guadagno, R. E., & Cialdini, R. B. (2007). Persuade him by email, but see her in person: Online persuasion revisited. Computers in Human Behavior, 23(2), 999-1015.
Guadagno, R. E., & Cialdini, R. B. (2010). Preference for consistency and social influence: A review of current research findings. Social Influence, 5(3), 152-163.
Parsons, K., Butavicius, M., Delfabbro, P., & Lillie, M. (2019). Predicting Susceptibility to Social Influence in Phishing Emails. International Journal of Human-Computer Studies. doi:10.1016/j.ijhcs.2019.02.007
Steinhoff, L., & Palmatier, R. W. (2016). Understanding loyalty program effectiveness: managing target and bystander effects. Journal of the Academy of Marketing Science, 44(1), 88-107.