Nem todas as campanhas de phishing funcionam, mas quando um invasor persevera com uma estratégia que o faz, é a chave para seu sucesso. Essa é a descoberta de um novo estudo com foco no invasor, um aspecto amplamente ignorado, mas crucial do phishing. Além de identificar estratégias de sucesso, também revela que os invasores são motivados por recompensas mais rápidas e maiores - com indivíduos criativos se esforçando mais para construir esses e-mails maliciosos. Percepções do estudo, publicado hoje em jornal de acesso aberto Fronteiras em psicologia , pode ser usado para desenvolver ferramentas e procedimentos de treinamento para detectar e-mails de phishing.

“Encontramos estratégias específicas de phishing, como o uso de um tom autoritário, expressando interesse compartilhado e enviando notificações, são mais propensos a ter sucesso, "diz o Dr. Prashanth Rajivan, autor principal do estudo e baseado na Carnegie Mellon University, Pensilvânia, EUA.

Phishing é uma forma comum de ataque cibernético. Os criminosos se fazem passar por terceiros confiáveis ​​para persuadir as pessoas a visitar sites fraudulentos ou baixar anexos maliciosos, com a intenção de comprometer sua segurança. Embora a pesquisa tenha se concentrado amplamente nas vítimas desses crimes, este novo estudo examina um aspecto crítico do phishing:o comportamento e as estratégias do invasor.

"Criamos um experimento semelhante a um jogo para avaliar o quão bem diferentes estratégias funcionam, e entender como incentivos e taxas de sucesso, ou a criatividade de um indivíduo, pode afetar a motivação, "explica o Dr. Rajivan.

No experimento, participantes humanos desempenham o papel de atacantes de phishing e acumulam pontos, depois de várias voltas, para enganar com sucesso outras pessoas que são o 'usuário final' executando uma tarefa de gerenciamento de e-mail. O jogo foi cuidadosamente construído para treinar e recompensar as pessoas na produção de e-mails de phishing que empregam diferentes estratégias e tópicos.

As estratégias com menor probabilidade de sucesso incluíam 'ofertas de oferta, '' vendendo materiais ilegais 'e' usando um tom positivo. '

"As pessoas podem ser menos receptivas às estratégias associadas a golpes que funcionaram há uma década, "explica o Dr. Rajivan." Estratégias mais bem-sucedidas hoje seriam 'enviar notificações, '' uso de tom autoritário, '' tirar vantagem da confiança ao se passar por um amigo ou expressar interesse em comum, 'e' falha de comunicação '. "

O design repetido do jogo permitiu aos pesquisadores avaliar as táticas do atacante ao longo do tempo. Isso revelou que perseverança com uma estratégia de sucesso, em vez de mudar de um para outro, pode produzir melhores resultados. Os pesquisadores atribuem isso aos invasores que aprimoram o texto do e-mail a cada vez.

Os incentivos tiveram uma influência direta na motivação, com recompensas atrasadas, resultando em menos esforço. Quanto mais fácil e rápido maiores recompensas foram obtidas, quanto mais esforço um invasor aplica para criar e-mails persuasivos, assim como os indivíduos que obtiveram pontuação alta em um teste de "criatividade". Não havia nenhuma evidência para sugerir, Contudo, que a criatividade pode ser usada como um indicador do sucesso do phishing.

"Tem havido um ressurgimento de ataques de phishing nos últimos anos e, regularmente, os usuários não especialistas da Internet são geralmente as vítimas desses crimes. Precisamos melhorar as práticas de segurança atuais para mudar a estrutura de incentivos para o invasor. Se as recompensas forem maiores do que os custos, os invasores continuarão a se esforçar mais nas campanhas de phishing, "diz o Dr. Rajivan." Acreditamos que os invasores com maior criatividade podem ser capazes de alterar e adaptar e-mails para evitar a detecção, mesmo que sua criatividade não possa determinar o grau de sucesso que eles alcançam em fazer com que o usuário final responda. "

Ele continua, "Nosso novo projeto experimental pode ser usado para atrair pessoas para jogar nosso jogo, o que nos daria muitas informações sobre as taxas de sucesso de phishing e como esses e-mails podem ser adaptados, melhorando assim o software de detecção. Além disso, poderíamos usá-lo como uma ferramenta de treinamento para ajudar as pessoas a pensar como hackers para detectar melhor os e-mails de phishing. "