Video: Humans Need Not Apply (Oktober 2024)
Nu, hvor enhver internetbruger gentagne gange har fået at vide, at det er en dårlig idé at klikke på links i e-mail-beskeder, har svindlerne og skurkerne givet op med at sende disse meddelelser, fordi de ikke fungerer mere. Ret? Altså nej. Svindelmeddelelser, der linker til ondsindede websteder er lige så almindelige som altid, og det er din skyld. Hvorfor klikker du på disse links? Dr. Zinaida Benenson fra University of Erlangen-Nuremberg besluttede at finde ud af det, og afslørede hendes fund på Black Hat-konferencen i Las Vegas. Resultaterne var ikke opmuntrende.
”Da vi begyndte at tænke på forskning på dette område, spurgte vi, hvad ved vi ikke endnu?”, Sagde Benenson. "Er der nogen forskel, hvis du sender den mistænkelige meddelelse via e-mail eller Facebook? Vi ønskede at spørge folk, hvorfor de klikkede på et link eller ikke, for at vide, hvordan de resonnerer om sikkerhedsbeslutninger."
På sidste års Black Hat-konference foreslog forsker Laura Bell, at i stedet for at scanne pc'er for sikkerhed, scanner vi brugerne. Benenson tog en mere forsigtig tone. Hun nævnte problemet med at teste mennesker uden deres samtykke. ”Nogle gange gøres dette i organisationer, ” sagde hun, ”og det kan gå meget galt. Men vi kan ikke sige, hej, vi vil sende dig nogle phishing-meddelelser, så sørg for at reagere, som du normalt ville."
Benenson fik frivillige studerende til en undersøgelse af "online aktivitet", hvor han lovede, at nogle deltagere ville vinde gavekort. Hun brugte e-mail og Facebook til at sende 1.600 universitetsstuderende en besked med et link til "billeder fra festen i sidste uge." De, der klikkede på linket, kunne ikke se nogen rasende fotos; de fik simpelthen en "adgang nægtet" besked. Berensons eksperiment registrerede naturligvis lige hvem der faldt for gambit.
Det viser sig, at brug af dit fornavn er en god måde at overbevise modtageren om, at meddelelsen er legit. Over halvdelen (56 procent) af e-mailmodtagere og 38 procent af dem, der fik en facebook-besked, klikkede på linket, da beskeden adresserede dem ved navn. Uden fornavnet tog kun 20 procent, der fik beskeden via e-mail, og 42, 5 procent af Facebook-brugere, agnet.
Let at blive narret
Den virkelig interessante statistik kom ind, da Benenson spurgte klikkerne om netop hvilken impuls, der fik dem til at tage det farlige skridt ved at klikke på linket. Den største grund, tilbudt af 34 procent af de adspurgte, var nysgerrighed omkring indholdet af fotos. Yderligere 27 procent stolede på beskeden, fordi den stemte overens med deres oplevelse, idet de for nylig havde deltaget i en fest. Selvom beskeden kom fra et sammensat navn, mente 16 procent, at det var en, de kendte. Omvendt gjorde 51 procent af dem, der afståede fra at klikke, det fordi de ikke genkendte afsenderen, og 36 procent, fordi de for nylig havde været i ingen partier.
Baseret på disse resultater konkluderede Benenson, at næsten enhver kunne induceres til at klikke på et farligt link ved hjælp af en af flere teknikker. Adressering af offeret ved navn, udformning af beskeden for at fremkalde nysgerrighed, forfalskning af en kendt afsender, matching af indholdet af beskeden til offerets nylige oplevelse - dette er de prøvede og sande teknikker.
Bond, James Bond
Hvad ønsker virksomheder fra oplysningstræning? "Hvis vi vil have dem til at beskytte sig selv, " sagde Berenson, "de skal være mistænkelige, selvom de kender afsenderen, selvom beskeden passer til dine nuværende forventninger. De skal være mistænkelige over for alt! Psykologer kalder denne bedrag-mode. Hver gang de se en meddelelse, forvent at den kan være falsk. " Hun nævnte nøjagtigt en medarbejder, der kunne lide at operere i bedrag-mode hele tiden; James Bond.
"Hvis vi ønsker, at medarbejdere skal være i James Bond-tilstand hele tiden, " fortsatte hun, "det er muligt. Men du er nødt til at sætte det i jobbeskrivelsen, og du skal betale dem korrekt." Hun rapporterede om sit eget forsøg på at bevæge bedrag i sin egen handling hele tiden med nogle morsomme eksempler.
Benenson påpegede videre, at uddannelse af phishing-bevidsthed i erhvervslivet kan slå tilbage. Afsendelse af ansatte spear-phishing-e-mails, der påstås at være fra en kollega, kan skære ned på effektiviteten ved at gøre medarbejderne mistillid til og med gyldig post. Hun afsluttede med en anmodning om virksomheder, der ville være villige til at deltage i hendes videre forskning.
Hvad med hjemmebrugeren? Du (eller dine børn) vil helt sikkert klikke på det forkerte link før eller senere. Det er tilfældet, skal du sørge for, at din antivirus- eller sikkerhedssupløsning inkluderer effektiv beskyttelse mod webadresser med malware-hosting. I min egen praktiske test viste Avira Antivirus Pro 2016, McAfee AntiVirus Plus (2016) og Symantec Norton Security Premium sig at være særlig effektive.
