No feu clic en aquest enllaç.

Ara que a tots els usuaris d'Internet se li ha dit repetidament que fer clic en els enllaços dels missatges de correu electrònic és una mala idea, els estafadors i escrocs han abandonat l'enviament d'aquests missatges perquè ja no funcionen. Dret? Bé no. Els missatges d'estafa que enllacen amb llocs web maliciosos són tan desconcertats com mai, i és culpa vostra. Per què feu clic en aquests enllaços? La doctora Zinaida Benenson, de la Universitat d'Erlangen-Nuremberg, va decidir esbrinar-la i va revelar les seves troballes en la conferència de Black Hat a Las Vegas. Els resultats no van ser encoratjadors.

"Quan vam començar a pensar en la investigació en aquest àmbit, ens vam preguntar, què encara no sabem?", Va dir Benenson. "Hi ha alguna diferència si envieu el missatge sospitós per correu electrònic o Facebook? Volíem preguntar a la gent per què van fer clic en un enllaç o no, per saber com raonen sobre les decisions de seguretat."

A la conferència de Black Hat de l'any passat, la investigadora Laura Bell va proposar que en lloc d'explorar la seguretat dels ordinadors, analitzéssim els usuaris. Benenson va agafar un to més prudent. Va mencionar el problema de provar persones sense el seu consentiment. "De vegades això es fa a les organitzacions", va dir, "i pot anar molt malament, però no podem dir, bé, us enviarem alguns missatges de phishing, així que assegureu-vos de reaccionar tal i com ho faríeu normalment. ".

Benenson va obtenir voluntaris estudiants per a un estudi sobre "l'activitat en línia", prometent que alguns participants guanyessin targetes de regal. Va utilitzar correu electrònic i Facebook per enviar a 1.600 estudiants universitaris un missatge que contenia un enllaç a "imatges de la festa de la setmana passada". Els que van fer clic a l'enllaç no van veure cap foto extravagant; simplement van rebre un missatge "denegat d'accés". L'experiment de Berenson, naturalment, va registrar qui es va acostar al joc.

Resulta que utilitzar el seu primer nom és una forma ideal de convèncer al destinatari que el missatge és legítim. Més de la meitat (56%) dels destinataris de correu electrònic i el 38% dels que rebien un missatge de facebook van fer clic a l’enllaç quan el missatge els va adreçar per nom. Sense el primer nom, només el 20 per cent que va rebre el missatge per correu electrònic i el 42, 5 per cent dels usuaris de Facebook van prendre l’esquer.

Fàcil de ser enganyat

Les estadístiques realment interessants van arribar quan Benenson va preguntar als clics sobre quin impuls els va fer fer el perillós pas de fer clic a l'enllaç. El principal motiu, que va oferir el 34 per cent dels enquestats, va ser la curiositat pel contingut de les fotos. Un altre 27 per cent va confiar en el missatge perquè corresponia a la seva experiència, ja que havien assistit a una festa recentment. Tot i que el missatge prové d’un nom compost, el 16 per cent pensava que era algú que coneixien. Per contra, el 51 per cent dels que no s'havien abstingut de fer clic ho van fer perquè no van reconèixer a l'emissor i el 36 per cent perquè no havien estat a cap partit recentment.

A partir d'aquests resultats, Benenson va concloure que gairebé qualsevol persona podria induir-se a fer clic a un enllaç perillós mitjançant una de les diverses tècniques. Dirigir-se a la víctima pel seu nom, elaborar el missatge per induir curiositat, difondre un emissor conegut, fer coincidir el contingut del missatge amb l’experiència recent de la víctima; aquestes són les tècniques provades i veritables.

Bond, James Bond

Què volen les empreses des de la formació de sensibilització? "Si volem que es protegeixin ells mateixos", va dir Berenson, "han de ser sospitosos encara que coneguin el remitent, fins i tot si el missatge s'ajusta a les vostres expectatives actuals. Han de sospitar de tot! Els psicòlegs criden aquest mode d'engany. Cada vegada que veure un missatge, espereu que pugui ser fals. " Va mencionar exactament un empleat que podria agradar operar en mode d'engany tot el temps; James Bond.

"Si volem que els empleats estiguin sempre en mode James Bond", va continuar, "això és possible. Però cal posar-lo a la descripció del lloc de treball i els haureu de pagar adequadament". Va informar sobre el seu propi intent de mantenir el mode d'engany en la seva pròpia acció tot el temps, amb alguns exemples divertits.

Benenson va assenyalar que la formació de consciència sobre el phishing en empreses pot produir un error contrari. L’enviament de correus de correu electrònic als empleats suposadament d’un col·laborador pot disminuir l’eficiència laboral fent que la desconfiança dels empleats sigui fins i tot un correu vàlid. Va concloure amb una sol·licitud per a empreses que estarien disposades a participar en les seves investigacions posteriors.

Què passa amb l'usuari domèstic? Vós (o els vostres fills) segurament feu clic a l’enllaç incorrecte abans o d’hora. En aquest cas, heu d'assegurar-vos que la vostra solució antivirus o suite de seguretat inclou protecció efectiva contra URL que allotgen programari maliciós. A les meves proves pròpies, Avira Antivirus Pro 2016, McAfee AntiVirus Plus (2016) i Symantec Norton Security Premium van resultar especialment eficaces.