Video: Sito per professionisti in 5 minuti (Novembre 2024)
Ora che a tutti gli utenti di Internet è stato ripetutamente detto che fare clic sui collegamenti nei messaggi di posta elettronica è una cattiva idea, i truffatori e i truffatori hanno rinunciato a inviare quei messaggi, perché non funzionano più. Giusto? Beh no. I messaggi di truffa che si collegano a siti Web dannosi sono sempre più diffusi ed è colpa tua. Perché fai clic su quei link? La dottoressa Zinaida Benenson, dell'Università di Erlangen-Norimberga, ha deciso di scoprirlo e ha rivelato le sue scoperte alla conferenza Black Hat di Las Vegas. I risultati non sono stati incoraggianti.
"Quando abbiamo iniziato a pensare alla ricerca in questo settore, abbiamo chiesto, cosa non sappiamo ancora?", Ha detto Benenson. "C'è qualche differenza se invii il messaggio sospetto via e-mail o Facebook? Volevamo chiedere alle persone perché hanno cliccato su un link o no, per sapere come ragionano sulle decisioni di sicurezza."
Alla conferenza di Black Hat dell'anno scorso, la ricercatrice Laura Bell ha proposto di scansionare gli utenti invece di scansionare i PC per motivi di sicurezza. Benenson prese un tono più cauto. Ha menzionato il problema di testare le persone senza il loro consenso. "A volte questo viene fatto nelle organizzazioni", ha detto, "e può andare molto male. Ma non possiamo dire, ehi, ti invieremo alcuni messaggi di phishing, quindi assicurati di reagire come faresti di solito ".
Benenson ha ottenuto studenti volontari per uno studio su "attività online", promettendo che alcuni partecipanti avrebbero vinto buoni regalo. Ha usato la posta elettronica e Facebook per inviare a 1.600 studenti universitari un messaggio contenente un link a "immagini della festa della scorsa settimana". Coloro che hanno cliccato sul link non sono riusciti a vedere nessuna foto vivace; hanno semplicemente ricevuto un messaggio "accesso negato". Naturalmente l'esperimento di Berenson ha registrato solo chi si è innamorato della mossa.
Si scopre che usare il tuo nome è un ottimo modo per convincere il destinatario che il messaggio è legittimo. Oltre la metà (56 percento) dei destinatari e-mail e il 38 percento di coloro che hanno ricevuto un messaggio su Facebook hanno fatto clic sul collegamento quando il messaggio li ha indirizzati per nome. Senza il nome, solo il 20 percento ha ricevuto il messaggio via e-mail e il 42, 5 percento degli utenti di Facebook ha preso l'esca.
Facile da prendere in giro
Le statistiche davvero interessanti sono arrivate quando Benenson ha interrogato i clicker su quale impulso li ha spinti a fare il passo pericoloso facendo clic sul link. Il motivo principale, offerto dal 34 percento degli intervistati, è stata la curiosità sul contenuto delle foto. Un altro 27 percento si è fidato del messaggio perché corrispondeva alla loro esperienza, in quanto avevano partecipato di recente a una festa. Sebbene il messaggio provenisse da un nome inventato, il 16 percento pensava che fosse qualcuno che conoscevano. Al contrario, il 51% di coloro che si sono astenuti dal fare clic ha fatto ciò perché non hanno riconosciuto il mittente e il 36% perché non erano stati di recente a nessuna delle parti.
Sulla base di questi risultati, Benenson ha concluso che chiunque potrebbe essere indotto a fare clic su un link pericoloso utilizzando una delle diverse tecniche. Rivolgersi alla vittima per nome, elaborare il messaggio per indurre curiosità, falsificare un mittente conosciuto, abbinare il contenuto del messaggio alla recente esperienza della vittima: queste sono le tecniche collaudate e vere.
Bond James Bond
Cosa vogliono le aziende dalla formazione sulla consapevolezza? "Se vogliamo che si proteggano", ha detto Berenson, "devono essere sospettosi anche se conoscono il mittente, anche se il messaggio soddisfa le tue aspettative attuali. Devono essere sospettosi di tutto! Gli psicologi chiamano questa modalità di inganno. Ogni volta che vedere un messaggio, aspettarsi che possa essere falso ". Ha menzionato esattamente un dipendente a cui piacerebbe operare sempre in modalità inganno; James Bond.
"Se vogliamo che i dipendenti siano sempre in modalità James Bond", ha continuato, "è possibile. Ma devi inserirlo nella descrizione del lavoro e devi pagarli in modo appropriato." Ha riferito del suo tentativo di mantenere sempre la modalità dell'inganno nella sua azione, con alcuni esempi divertenti.
Benenson ha continuato a sottolineare che la formazione alla consapevolezza del phishing negli affari può ritorcersi contro. L'invio di e-mail di spear phishing da parte di un collega presumibilmente da un collega può ridurre l'efficienza del lavoro rendendo i dipendenti diffidenti anche sulla posta valida. Ha concluso con una richiesta per le imprese che sarebbero disposte a partecipare alle sue ulteriori ricerche.
E l'utente domestico? Tu (o i tuoi figli) farete sicuramente clic sul link sbagliato prima o poi. Stando così le cose, dovresti assicurarti che la soluzione antivirus o della suite di sicurezza includa una protezione efficace contro gli URL che ospitano malware. Nei miei test pratici, Avira Antivirus Pro 2016, McAfee AntiVirus Plus (2016) e Symantec Norton Security Premium si sono dimostrati particolarmente efficaci.