Opis sytuacji wskazuje na podszywanie się pod serwis i wysyłanie fałszywych wiadomości o konieczności zmiany hasła, co jest charakterystyczne dla phishingu i szerzej: inżynierii społecznej. Taki bodziec ma wywołać u użytkownika presję czasu, strach przed utratą dostępu oraz skłonić do kliknięcia w link lub podania danych.
Odpowiedź "Użytkownicy mogą czuć się zdezorientowani i zaniepokojeni." jest poprawna, ponieważ z perspektywy sfery emocjonalnej (psychicznej) najbardziej typową reakcją na sprzeczne sygnały (serwis nie wysyłał maila, a mail twierdzi coś innego) jest niepewność i obawa o bezpieczeństwo konta. Użytkownik może martwić się, że ktoś poznał hasło, że konto zostało przejęte albo że doszło do wycieku danych.
Pozostałe odpowiedzi opisują emocje pozytywne lub neutralnie pozytywne, które nie są typowym "zagrożeniem" w kontekście ataku. "Zrelaksowani i spokojni" stoi w sprzeczności z celem phishingu (wzbudzenie niepokoju i skłonienie do działania). "Podekscytowani i zainteresowani" może się zdarzyć u nielicznych osób z ciekawości technicznej, ale nie jest to standardowa, ryzykowna konsekwencja emocjonalna dla użytkowników. "Zadowoleni i usatysfakcjonowani" również nie pasuje, bo informacja o zmianie hasła w nieoficjalnym mailu zwykle obniża poczucie bezpieczeństwa i zaufanie do usługi.
W praktyce administrator powinien ograniczać ten skutek psychologiczny przez szybkie ostrzeżenie na stronie, jasne wytyczne weryfikacji nadawcy, wskazanie oficjalnych kanałów kontaktu i procedurę zmiany hasła uruchamianą wyłącznie po zalogowaniu lub w oficjalnym procesie resetu.
