Video: Virkad vinterjacka väldigt lätt (September 2024)
Nu när alla Internetanvändare upprepade gånger har fått höra att det är en dålig idé att klicka på länkar i e-postmeddelanden har svindlarna och skurkarna gett upp att skicka dessa meddelanden, eftersom de inte fungerar längre. Höger? Tja, nej. Scammeddelanden som länkar till skadliga webbplatser är lika vanliga som alltid, och det är ditt fel. Varför klickar du på dessa länkar? Dr. Zinaida Benenson, från universitetet i Erlangen-Nürnberg beslutade att ta reda på det och avslöjade sina resultat på Black Hat-konferensen i Las Vegas. Resultaten var inte uppmuntrande.
"När vi började tänka på forskning på detta område, frågade vi, vad vet vi inte ännu?", Sade Benenson. "Finns det någon skillnad om du skickar det misstänkta meddelandet via e-post eller Facebook? Vi ville fråga människor varför de klickade på en länk eller inte, för att veta hur de resonerar om säkerhetsbeslut."
Vid förra årets Black Hat-konferens föreslog forskaren Laura Bell att istället för att skanna datorer för säkerhet, skannar vi användarna. Benenson tog en mer försiktig ton. Hon nämnde problemet med att testa människor utan deras samtycke. "Ibland görs detta i organisationer, " sa hon, "och det kan gå mycket fel. Men vi kan inte säga, hej, vi kommer att skicka några phishing-meddelanden, så se till att reagera som du brukar göra."
Benenson fick frivilliga studenter för en studie om "online-aktivitet", vilket lovade att vissa deltagare skulle vinna presentkort. Hon använde e-post och Facebook för att skicka 1 600 universitetsstudenter ett meddelande med en länk till "bilder från festen förra veckan." De som klickade på länken fick inte se några rasiga foton; de fick helt enkelt ett "åtkomst nekad" meddelande. Naturligtvis registrerade Berensons experiment just vem som föll för gambiten.
Det visar sig att användningen av ditt förnamn är ett bra sätt att övertyga mottagaren meddelandet är legitimt. Över hälften (56 procent) av e-postmottagarna och 38 procent av de som fick ett Facebook-meddelande klickade på länken när meddelandet adresserade dem med namn. Utan förnamnet var det bara 20 procent som fick meddelandet via e-post och 42, 5 procent av Facebook-användare tog betet.
Lätt att bli lurad
Den riktigt intressanta statistiken kom in när Benenson frågade klickarna om vilken impuls som fick dem att ta det farliga steget att klicka på länken. Den största anledningen, som erbjuds av 34 procent av de svarande, var nyfikenhet på innehållet på fotona. Ytterligare 27 procent litade på meddelandet eftersom det stämde överens med deras erfarenhet genom att de hade deltagit på ett parti nyligen. Även om meddelandet kom från ett sammansatt namn, tyckte 16 procent att det var någon de kände. Omvänt, 51 procent av dem som avstått från att klicka gjorde det för att de inte kände igen avsändaren och 36 procent för att de inte varit i någon parti nyligen.
Baserat på dessa resultat drog Benenson slutsatsen att nästan vem som helst skulle kunna induceras att klicka på en farlig länk med hjälp av en av flera tekniker. Att adressera offret med namn, skapa meddelandet för att framkalla nyfikenhet, förfalska en känd avsändare, matcha meddelandens innehåll till offrets senaste erfarenhet - det är de beprövade teknikerna.
Bond, James Bond
Vad vill företag ha av medvetenhetsutbildning? "Om vi vill att de ska skydda sig själva, " sade Berenson, "de måste vara misstänkta även om de känner avsändaren, även om meddelandet passar dina nuvarande förväntningar. De måste vara misstänkta för allt! Psykologer kallar detta bedragsläge. Varje gång de se ett meddelande, förvänta dig att det kan vara falskt. " Hon nämnde exakt en anställd som hela tiden kunde arbeta i bedragsläge; James Bond.
"Om vi vill att de anställda ska vara i James Bond-läge hela tiden, " fortsatte hon, "det är möjligt. Men du måste sätta det i arbetsbeskrivningen och du måste betala dem på lämpligt sätt." Hon berättade om sitt eget försök att hålla vilseläge i sin egen handling hela tiden, med några underhållande exempel.
Benenson påpekade att utbildning för nätfiskmedvetenhet i företag kan backfire. Att skicka anställda spear-phishing-e-post som påstås från en kollega kan minska arbetseffektiviteten genom att göra anställda misstro ens giltig post. Hon avslutade med en begäran om företag som skulle vara villiga att delta i hennes ytterligare forskning.
Vad sägs om hemanvändaren? Du (eller dina barn) kommer säkert att klicka på fel länk förr eller senare. Därför bör du se till att din antivirus- eller säkerhetssvitlösning innehåller ett effektivt skydd mot webbhotell-webbhotell. I min egen praktiska testning visade sig Avira Antivirus Pro 2016, McAfee AntiVirus Plus (2016) och Symantec Norton Security Premium vara särskilt effektiva.
