en
Prospołeczne

Jak specjalistka od perswazji prawie padła ofiarą wyłudzenia pieniędzy (i dlaczego potrzebujemy jeszcze lepszych systemów, a nie mądrzejszych konsumentów)

24 mar   ·   Czas czytania: 8 minut
Artykuł w skrócie
  • W tym tygodniu prawie padłam ofiarą wyłudzenia pieniędzy. Przez 89 z 90 minut rozmowy z oszustami byłam przekonana, że mi pomagają.
  • Oszustwo było szczegółowo przygotowanym procesem, w któreym każdy krok budował na poprzednim i wykorzystywał inny mechanizm manipulacji:
    • Wywołanie strachu, które zawęża pole widzenia.
    • Narzucona „rama”, która sprawia, że nie widzimy rzeczywistości.
    • Realna pomoc, która buduje zaufanie i uruchamia regułę wzajemności.
    • Małe, rozsądne kroki i każde „tak”, które obniżają podejrzliwość.
    • Presja czasu i ciągłe zaangażowanie, które utrudniają refleksję.
    • Autorytet banków i logiczny ciąg zdarzeń, które wyłączają podejrzliwość.
  • Wiedza o pułapkach myślenia nie chroni przed nimi.
  • Rozwiązanie nie jest tylko edukacja konsumentów, ale przede wszystkim tworzenie jeszcze lepszych systemów, które będa chronić ludzi. 
W ostatnich latach udzieliłam dwóch wywiadów dla Pulsu Biznesu o tym, jak oszuści finansowi wyłudzają pieniądze i jakie pułapki myślenia im w tym pomagają (tutu). W tym tygodniu sama prawie padłam ofiarą takiego oszustwa. Na szczęście tylko prawie i kosztowało mnie to tylko 57 PLN (48 PLN połączeń w roamingu i 9 PLN za nieplanowany przelew z konta oszczędnościowego na rozliczeniowe, ale o tym za chwilę).

Opowiem Wam dzisiaj o tym, co się wydarzyło, a potem — już nie jako prawie-ofiara, ale jako ekonomistka behawioralna — o tym, jakie mechanizmy psychologiczne sprawiły, że przez 89 z 90 minut rozmowy byłam przekonana, że „panowie z banków” mi pomagają, kiedy w rzeczywistości chcieli mnie okraść. I o tym, dlaczego każdy z nas — niezależnie od poziomu edukacji, IQ czy doświadczenia życiowego — może dać się nabrać.

„Ktoś próbował wziąć na Panią pożyczkę”


Wczoraj rano zadzwonił do mnie miły pan z ING z pytaniem, czy to ja złożyłam wniosek o kredyt na 6 700 PLN. Nie byłam to ja, więc pan mnie poinformował, że odrzuca wniosek i zgłasza sprawę o cyberoszustwo na policję, bo przejęcie danych dowodu i próba wzięcia na tę osobę kredytu jest w Polsce przestępstwem.
Jak specjalistka od perswazji prawie padła ofiarą wyłudzenia pieniędzy (i dlaczego potrzebujemy jeszcze lepszych systemów, a nie mądrzejszych konsumentów)

Pan bardzo mnie też ostrzegł przed skalą problemu i zapytał, czy mam zastrzeżony PESEL. Nie miałam, więc poinformował mnie, jak ściągnąć aplikację mObywatel i zablokować PESEL. Powiedział mi, że kilka lat temu był wyciek danych w Alab i że jeśli kiedykolwiek korzystałam z ich usług (a chyba korzystałam), to dane mojego dowodu mogły wyciec właśnie wtedy.


Na koniec zapytał, czy chcę, żeby wysłał alert do innych banków. Oczywiście, dziękuję. Dostałam SMS-y od ING z informacją o kontakcie, o anulowaniu wniosku o wzięcie pożyczki i z ostrzeżeniem, abym sprawdziła, czy ktoś nie próbuje wyłudzić danych mojego dowodu.

„Dla Pani bezpieczeństwa...”


Dziesięć minut później zadzwonił mój bank z informacją, że ktoś również u nich próbował wziąć na mnie kredyt. Dla bezpieczeństwa przeszliśmy z panem standardową drogę weryfikacji ostatnich transakcji na karcie i na kontach. Pan poinformował mnie, że blokuje moją kartę kredytową i wszystkie konta. W takiej sytuacji następnym krokiem jest otwarcie tymczasowego konta i ograniczenie dostępu do środków, aż zostaną wydane nowe karty i konta.
Jak specjalistka od perswazji prawie padła ofiarą wyłudzenia pieniędzy (i dlaczego potrzebujemy jeszcze lepszych systemów, a nie mądrzejszych konsumentów)

Dostałam SMS z numerem tymczasowego konta i danymi mojego opiekuna sprawy. Dostałam też e-maila z potwierdzeniem założenia konta, tymi samymi danymi opiekuna i tym samym numerem konta. Pan poprosił, abym dla bezpieczeństwa zrobiła przelew środków z konta oszczędnościowego na rozliczeniowe (te stracone 9 PLN…), bo te środki zostaną zabezpieczone. Jak już większa część moich środków była na koncie rozliczeniowym, następnym krokiem według pana było zrobienie przelewu na to nowe konto tymczasowe. Z tym, że odbiorcą przelewu miał być opiekun konta — pan Paweł. Ze względu na bezpieczeństwo, aby środki były pod opieką banku.

Moment przebudzenia


W tym momencie, jak się pewnie domyślacie, w końcu otworzyłam oczy. Wyszłam z bańki „bronię się przed wyciekiem danych mojego dowodu i próbą wzięcia na mnie pożyczek” i zobaczyłam przed sobą ekran mojego banku: robię przelew na nieznany mi numer konta, a odbiorcą przelewu jest jakiś Paweł O.

W tym samym czasie sprawdziłam, z jakiego adresu został wysłany e-mail z potwierdzeniem założenia konta tymczasowego: Krajowa Izba Rozliczeniowa S.A., pomoc@infokir.pl. Wpisałam adres www do przeglądarki i otworzyła mi się strona w cyrylicy.

Pan się rozłączył. Zadzwoniłam sama do mBanku, który oczywiście nic o sprawie nie wiedział i potwierdził, że to była próba wyłudzenia pieniędzy.

Czerwone flagi, których nie widziałam


Teraz — na chłodno, z perspektywy czasu — widzę ich co najmniej kilkanaście.

  • Błędy w narracji: lekkie niespójności w kwotach niby-pożyczek; pojedyncze nazwisko zamiast podwójnego (pomyślałam wtedy, że może wyciekły dane dowodu sprzed ślubu? Mój mózg sam już sobie tłumaczył niespójności...).
  • Błędy proceduralne: nie zweryfikowałam, czy telefony rzeczywiście były z banków; gdy dzwoni prawdziwy konsultant z mBanku, trzeba potwierdzić rozmowę w aplikacji; bank nigdy nie prosi o podanie sald kont ani modelu telefonu.

  • Ślady w wiadomościach: ten sam format SMS-ów od obu banków; błędy językowe; Krajowa Izba Rozliczeniowa S.A. istnieje, ale ich adres to www.kir.pl, a nie www.infokir.pl.

Każda z tych rzeczy z osobna wystarczyłaby, żeby się zatrzymać i zauwazyć, że coś jest nie tak, a jednak żadna z nich nie zapaliła mi lampki w głowie. Dlaczego?

Sześć kroków, które wyłączyły moją podejrzliwość


Bądźmy szczerzy: do głupich ludzi nie należę. Wyedukowana jestem też całkiem nieźle (doktorat z brytyjskiej uczelni sam drogą nie chodzi, uwierzcie mi). Mam ponad 40 lat doświadczenia życiowego, z czego od kilkunastu lat zajmuję się zawodowo perswazją i tym, jak ludzie podejmują irracjonalne decyzje pod wpływem emocji, stresu i manipulacji (O, ironio!). A jednak przez 89 minut z 90 byłam pewna, że wyciek dowodu naprawdę się wydarzył i że panowie z banków mi pomagają. Ocknęłam się dopiero na ostatnim kroku, gdy miałam kliknąć „Potwierdź przelew”.

Oszustwo, którego prawie padłam ofiarą, nie było spontaniczne. To była wcześniej zaplanowana i precyzyjnie rozłożona w czasie sekwencja, w której każdy krok budował na poprzednim i wykorzystywał efektywne techniki perswazji i manipulacji.

#1: Wywołanie strachu zawęża pole widzenia

Rozmowa zaczęła się od informacji, że ktoś próbuje wziąć na mnie kredyt. Nie od prośby o pieniądze, nie od podejrzanego linka, lecz od strachu. To jest kluczowe, bo strach uruchamia w mózgu reakcję, która fundamentalnie zmienia sposób, w jaki przetwarzamy informacje.

W psychologii mówi się o tym jako o zawężeniu uwagi pod wpływem zagrożenia (attentional narrowing, tunnel vision). Gdy mózg wykrywa coś, co interpretuje jako niebezpieczeństwo, pole uwagi się zwęża. Zaczynamy intensywnie przetwarzać informacje związane z zagrożeniem, a wszystko inne znika. To mechanizm ewolucyjny, który miał sens — i był warunkiem przetrwania — gdy zagrożeniem był niedźwiedź albo wrogie plemię, które nas atakowało. To nie był moment na myślenie o tym, co będzie na obiad, tylko na pełne skupienie się na zagrożeniu. Walka lub ucieczka. Problem w tym, że ten sam mechanizm uruchamia się, gdy zagrożeniem jest ktoś, kto mówi Ci, że właśnie kradną Twoją tożsamość.

Często mówi się o tzw. amygdala hijack, czyli o tym, jak nasze racjonalne myślenie wyłącza się w sytuacji stresu. Wczoraj po raz pierwszy naprawdę zrozumiałam, co to oznacza w praktyce. Wbrew temu, co zdarzało mi się mówić klientom podczas szkoleń i opisywać w raportach, nie stałam się nagle debilem i nie przestałam myśleć (ogromnie przepraszam klientów, którym tak przedstawiałam reakcję ludzi na stres; to było zbytnie uproszczenie). Było wręcz odwrotnie — uruchomił się we mnie mechanizm walki i myślałam szybko, o kilka kroków do przodu. Planowałam: zablokować PESEL, zgłosić kradzież numeru dowodu, wyrobić nowy, zabezpieczyć środki.

Problem w tym, że myślałam wyłącznie w jednym kierunku. Wszystkie moje zasoby kognitywne poszły w obronę przed wyimaginowanym zagrożeniem. Wszelkie inne problemy — w tym ten właściwy, czyli fakt, że jestem w środku wielkiego scamu — przestały istnieć. Moja racjonalność nie została wyłączona, ale raczej przekierowana na inne, bardzo konkretne tory. Działałam sprawnie, szybko, planowałam, ale wewnątrz ramy, którą zdefiniowali oszuści.

To jest najważniejsza rzecz, jaką wyniosłam z tego doświadczenia i którą chcę Wam przekazać: poczucie, że myślisz racjonalnie, nie jest dowodem, że myślisz poprawnie.

#2: Jesteśmy w narzuconej „ramie”

Krok 1 spowodował, że cała dalsza interakcja była osadzona w jednej ramie: „chronię się przed oszustwem”. Nie: „robię przelew na konto obcej osoby". Nie: „podaję dane swoich kont nieznajomemu przez telefon”. 

W ekonomii behawioralnej i psychologii poznawczej nazywamy to efektem ramowania. Sposób, w jaki informacja jest przedstawiona, zmienia to, jak ją oceniamy i jakie decyzje podejmujemy, nawet jeśli obiektywna treść jest identyczna. W klasycznym eksperymencie Tversky'ego i Kahnemana ludzie podejmowali zupełnie inne decyzje w zależności od tego, czy ten sam wynik był opisany jako „uratowanie 200 osób z 600” czy „śmierć 400 osób z 600”.

W moim przypadku ramowanie sprawiło, że każda kolejna prośba oszustów była przetwarzana jako logiczny krok w obronie moich pieniędzy. Przelew środków na obce konto w normalnym kontekście? Absurdalny. Przelew środków na „konto tymczasowe, bo ktoś może mieć dostęp do Twoich kont i kart”? Całkiem logiczny następny krok. Rama zmieniła kategorię, do której mój mózg przypisywał każdą czynność.

#3: Pomoc buduje zaufanie

W pierwszym telefonie „z ING” nie było nic o wyłudzeniu pieniędzy. Ta rozmowa była (w ramach mojego rozumienia sytuacji, że wyciekły dane mojego dowodu osobistego) realną pomocą. Pan ostrzegł mnie przed wyciekiem w Alab. Powiedział, jak ściągnąć mObywatel. Wytłumaczył, jak zablokować PESEL (nie mieszkam w Polsce od paru lat, więc nie wiedziałam, że to takie proste; wybaczcie, jeśli wychodzi na to, że żyję pod kamieniem). Wysłał alerty do innych banków. Był rzeczowy, spokojny i konkretny.

Działa tu reguła wzajemności. Pan dał mi coś wartościowego: konkretną pomoc, poczucie bezpieczeństwa, informacje, których potrzebowałam. Reguła wzajemności sprawia, że gdy ktoś nam pomaga, jesteśmy bardziej skłonni do współpracy. Tak działają ludzkie relacje i bez tej reguły nie przetrwalibyśmy jako gatunek. Oszuści to wiedzą i wykorzystują.

#4: Małe kroki są niewidoczne

Stopa w drzwiach, czyli technika stopniowej eskalacji zaangażowania, zaczyna się od małej, rozsądnej prośby.
  • Ściągnij aplikację.
  • Zablokuj PESEL.
  • Sprawdź ostatnie transakcje.
Każda z tych rzeczy brzmi sensownie. Każde moje „tak” czyniło następne „tak” bardziej prawdopodobnym, bo odmówienie na późniejszym etapie wymagałoby zakwestionowania wszystkich poprzednich kroków. Z każdym krokiem odmowa lub wycofanie się jest bardziej kosztowne psychologicznie.

Z każdą upływającą minutą rozmowy, w której aktywnie współpracowałam z „bankami”, coraz trudniej było się zatrzymać. Cialdini nazywa to mechanizmem zaangażowania i spójności. Gdy każda kolejna decyzja, którą podejmujemy, jest spójna z poprzednią, cofnięcie się oznacza zakwestionowanie ich wszystkich, więc jesteśmy mniej skłonni, by to zrobić.

Co ciekawe, ten sam mechanizm działa u ofiar, co i u samych oszustów. W filmie Dana Ariely'ego (Dis)Honesty: The Truth About Lies jeden z bohaterów opowiada, jak zaczynał od dopingu krwią jako kolarz amator, a skończył jako dealer środków dopingujących. Nie planował tego. Najpierw wziął raz. Potem drugi. Potem kupował trochę więcej dla siebie. Potem dla znajomych z drużyny. Potem dla znajomych znajomych. I nagle był kimś, kim „nigdy w życiu by nie został”. W procesie tych powolnych, małych zmian nie zauważył momentu, w którym przekroczył granicę. Nasz umysł nie widzi małych zmian.

Dokładnie tak samo działała sekwencja, w której uczestniczyłam jako ofiara. Zbyt długo nie było oczywistego momentu, w którym powinnam była powiedzieć „stop”. Był ciąg drobnych, (prawie) rozsądnych decyzji.

Na szczęście aż do tej ostatniej, która rozsądna w końcu nie była.

#5: Presja czasu, które powoduje brak krytycznej refleksji

Przez 90 minut byłam ciągle na telefonie. Słuchałam, odpowiadałam na pytania, otwierałam aplikacje, sprawdzałam konta, weryfikowałam transakcje, ściągałam mObywatel, blokowałam PESEL — wszystko jednocześnie i pod presją wizji, że w tej chwili ktoś bierze kolejny kredyt na moje dane.

Oczywiście, to nie był przypadek. Oszuści celowo utrzymują nas w ciągłym zaangażowaniu. W psychologii poznawczej nazywa się to obciążeniem poznawczym. Nasza pamięć robocza — ta część umysłu, która przetwarza bieżące informacje i podejmuje decyzje — ma ograniczoną pojemność. Gdy jest w pełni zajęta jednym zadaniem, nie ma zasobów na refleksję, krytyczną ocenę ani dystans.

Drugą warstwą był efekt niedostatku, czyli presja czasu. Ponieważ drugi bank zadzwonił 10 minut po pierwszym, wyglądało na to, że ktoś szybko składa wnioski na moje dane bank po banku. Kto wie, ile jeszcze takich wniosków może złożyć w ciągu godziny? A przecież — jak mnie w „dobrej intencji” poinformował „pan z ING” — nie wszystkie instytucje udzielające kredytów mają chroniący konsumenta proces decyzyjny. Presja czasu wzmacnia zawężenie uwagi, bo zmusza mózg do jeszcze większej selekcji informacji. Nie ma czasu na weryfikację, bo każda minuta zwłoki to potencjalnie kolejna pożyczka wzięta na moje dane.

#6: Dwie osoby, autorytet i logiczny ciąg zdarzeń wyłączają podejrzliwość

Nie rozmawiałam z jedną osobą, a z dwoma. W całej ich narracji był logiczny ciąg:
wyciek danych w Alab → próba wzięcia kredytu w ING → ING informuje policję i inne banki → kontakt z mojego banku

Każdy element wynikał z poprzedniego. Z psychologii poznawczej wiemy, że im łatwiej nasz mózg przetwarza informację, tym bardziej jest skłonny uznać ją za prawdziwą. Spójna, logiczna narracja „wchodzi” gładko i wzbudza mniej podejrzeń.

Ponadto obaj panowie byli „przedstawicielami” instytucji finansowych, co automatycznie buduje autorytet. Badania nad tzw. efektem posłańca pokazują, że ufamy informacjom bardziej, gdy pochodzą od osób lub instytucji, które postrzegamy jako wiarygodne i kompetentne. Jeśli nadawca brzmi jak bank, mamy większą skłonność do zaufania mówcy.

Co więcej, proces weryfikacji transakcji przebiegał dokładnie tak, jak znałam z wcześniejszych doświadczeń z wyciekiem danych karty kredytowej (dziękuję Ci, booking.com). Ten pozorny profesjonalizm jeszcze bardziej utwierdzał mnie w przekonaniu, że rozmawiam z prawdziwym bankiem.

Dlaczego wiedza nie chroni


Sekwencja, sześć warstw manipulacji, z których każda budowała na poprzedniej. Wszystko zbudowane na początkowym strachu, który zawęził moją uwagę i na „pomocy”, która zbudowała zaufanie i poczucie zobowiązania. Ramowanie przekierowało moje myślenie. Ciągłe zaangażowanie i presja czasu utrudniły refleksję. Autorytet i spójna narracja utwierdzały mnie zbyt długo w fałszywym obrazie sytuacji.

I to jest chyba najważniejsza rzecz, jaką chcę tu powiedzieć — zarówno jako osoba, która to przeżyła, jak i jako ktoś, kto zawodowo zajmuje się ludzką „irracjonalnością”: wiedza o mechanizmach nie chroni przed mechanizmami. Wiem doskonale, czym jest zawężenie uwagi, efekt niedostatku oraz jak działają reguła wzajemności i efekt ramowania. A jednak wczoraj przez półtorej godziny moja wiedza mi w niczym nie pomogła.

Na szkoleniach i w artykułach (także moich) często pada stwierdzenie, że stres „wyłącza racjonalne myślenie”. Po wczorajszym doświadczeniu widzę jednak, że to jest zbytnie uproszczenie. Sugeruje ono, że wystarczy „zachować spokój”, żeby się nie dać nabrać. Moja racjonalność wczoraj nie została wyłączona. Wręcz przeciwnie, pracowała na najwyższych obrotach. Planowałam, analizowałam, podejmowałam decyzje. Tyle że robiłam to wszystko wewnątrz scenariusza, który napisali oszuści. A poczucie, że myślę sprawnie i racjonalnie, dawało mi fałszywe poczucie bezpieczeństwa — bo skoro myślę logicznie, to chyba wszystko jest w porządku, prawda?

Co dalej?

Nie napiszę tu listy „10 sposobów, jak się obronić przed oszustami”. Takich list jest pełno w internecie i powiedzmy sobie szczerze: ja też takie znałam (a niektóre współtworzyłam), zanim prawie przelałam swoje oszczędności na konto Pawła O.

Mój wniosek jest inny: to doświadczenie zmieniło moje myślenie o tym, jak powinniśmy projektować ochronę przed oszustwami. Bo jeśli ekonomistka behawioralna, która zawodowo uczy ludzi o pułapkach myślenia, daje się nabrać, to problem nie leży w edukacji konsumentów. Problem leży w systemach, które zakładają, że ludzie pod presją będą się zachowywać racjonalnie.

  • Banki mogłyby na przykład wymagać potwierdzenia dużych przelewów z opóźnieniem, np. po 15 minutach. Tyle by wystarczyło, żeby człowiek wyszedł z tunelu i zobaczył to, czego nie widzi w trakcie rozmowy.
  • Mogłyby blokować przelewy inicjowane podczas trwającej rozmowy telefonicznej z nieznanego numeru.
  • Mogłyby lepiej weryfikować, kto wysyła SMS-y z nazwą banku jako nadawcą — a jeśli to niemożliwe, to przynajmniej aktywnie walczyć z osobami, które to robią. Mogłyby pomagać wyciągać konsekwencje, lub chociaż mieć system automatycznego informowania odpowiednich służb o próbach wyłudzenia pieniędzy. Bo powiem Wam, że jak pierwszy „pan z ING” mi mówił, kogo „informuje” o próbie wzięcia kredytu, to się poczułam naprawdę zaopiekowana. A jak później mi mój prawdziwy bank powiedział, że „ewentualnie mogę wysłać maila" na alert@... a strona CERT mi odpisała, że dziękują za zgłoszenie sprawy, ale nie zajmują się oszustwami telefonicznymi (choć taka kategoria widnieje na ich stronie i spędziłam 10 minut wypełniając wniosek… Po co?), to pomyślałam sobie, że szkoda, że nie są tak pomocni jak „pan z ING”.

Wiem, że banki robią dużo i że te rozmowy się tocza. Ale jak pokazała mi wczorajsza sytuacja, daleka jeszcze droga to rozwiązania problemu i za dużo mamy pola do eksploatacji konsumentów.

Potrzebujemy więcej rozmów o projektowaniu systemów, a nie przerzucaniu odpowiedzialności na ludzi. George Loewenstein i Nick Chater, moi znajomi profesorowie z Carnagie Mellon i Warwick Business School, piszą o tym w swojej najnowszej książce It's on You: How the Rich and Powerful Have Convinced Us that We're to Blame for Society's Deepest Problems. Wyjaśniają też, dlaczego tych rozmów nie prowadzimy: bo gdy ludzie wierzą, że problem leży po ich stronie, przestają domagać się zmian od instytucji. Dopóki po każdym oszustwie pierwszym pytaniem będzie „jak mogłeś się na to nabrać?”, a nie „dlaczego system na to pozwolił?”, nic się nie zmieni.
Może Cię też zainteresować...
12 lekcji, których nauczyła mnie ekonomia behawioralna

12 lekcji, których nauczyła mnie ekonomia behawioralna

8 lis   ·   Czas czytania: 10 minut
Top siedem książek 2022, które pomogą Ci lepiej zrozumieć siebie i innych ludzi

Top siedem książek 2022, które pomogą Ci lepiej zrozumieć siebie i innych ludzi

4 wrz   ·   Czas czytania: 6 minut
My vs. oni, czyli o tym dlaczego społeczeństwo i świat są coraz bardziej podzielone

My vs. oni, czyli o tym dlaczego społeczeństwo i świat są coraz bardziej podzielone

11 lis   ·   Czas czytania: 9 minut
Wybacz, ale musiałam. Ta strona korzysta z plików cookies w celach korzystania z narzędzi analitycznych, reklamowych i społecznościowych.
Więcej o plikach cookies
OK