As pessoas podem não ser tão cibernéticas quanto acreditam que são quando se trata de identificar golpes de phishing de e-mail, de acordo com pesquisadores de C&T do Missouri. Mas os empregadores podem se beneficiar ensinando os funcionários a detectar phishing, enviando-lhes regularmente e-mails falsos de phishing.

Phishing é um método de coleta de informações pessoais, dados bancários e de cartão de crédito, e senhas por meio de links em mensagens, que na superfície, parecem ser legítimos.

"Você deve apenas ser bastante suspeito em geral com e-mail, "diz o Dr. Casey Canfield, Missouri S&T professor assistente de gerenciamento de engenharia e engenharia de sistemas. "As pessoas definitivamente tendem a ser excessivamente confiantes em sua capacidade de detectar e-mails de phishing."

O último estudo de Canfield, publicado com acesso aberto este mês na revista Metacognição e Aprendizagem , examinou métricas de metacognição em torno de phishing - ou a compreensão dos indivíduos sobre sua capacidade de detectar e-mails de phishing. Canfield trabalhou com os colegas da Carnegie Mellon University Baruch Fischhoff e Ales Davis no estudo, que mediu o quão bem a confiança das pessoas em sua capacidade de detectar phishing correspondia à realidade.

Os participantes do estudo visualizaram uma série de e-mails legítimos e de phishing e responderam a perguntas para determinar se eles poderiam identificar os dois tipos. Os pesquisadores então perguntaram o quão confiantes estavam em sua resposta, e quão negativas seriam as consequências se eles perdessem um e-mail de phishing.

Os pesquisadores descobriram que quando as pessoas estavam 90-99% confiantes de que haviam identificado corretamente um e-mail como phishing ou legítimo, eles apenas identificaram e-mails de phishing corretamente cerca de 56% das vezes.

Canfield então levou a pesquisa um passo adiante, comparando suas respostas com o que realmente estava acontecendo em seus computadores domésticos. Os pesquisadores usaram dados do Security Behavior Observatory da Carnegie Mellon - um estudo de longo prazo no qual todas as ações no computador de um voluntário são monitoradas. Usando os mesmos participantes do estudo, Canfield encontrou uma correlação interessante.

"Surpreendentemente, vimos que pessoas com melhor metacognição tendiam a se proteger melhor, "diz Canfield." Eles tinham menos arquivos maliciosos em seus computadores. Meu estudo anterior analisando as métricas de desempenho foi inconclusivo. "

Canfield sugere que aumentar artificialmente o número de e-mails de phishing que as pessoas recebem pode melhorar sua capacidade de distinguir golpes de mensagens legítimas.

"Um dos desafios dos e-mails de phishing é que você não necessariamente obtém feedback sobre se tomou ou não a decisão certa, "diz Canfield." Você pode ter arquivos maliciosos em seu computador, mas você pode nunca saber. Você pode ser apenas um portal para algum outro alvo. Sem esse feedback, é realmente difícil para as pessoas saberem se são boas em detectar e-mails de phishing. "

É por isso que Canfield sugere que um programa de treinamento onde os empregadores enviam emails falsos de phishing pode ser benéfico.

"É uma oportunidade para as pessoas obterem feedback sobre como estão se saindo, "ela diz." Com o e-mail de phishing falso, você clica nele e é direcionado a uma página que informa que você clicou em um e-mail de phishing. Com e-mails legítimos, você obtém aquele ciclo de feedback. Você envia um e-mail para alguém, e eles lhe enviam um e-mail de volta. Você tem uma conversa com alguém. "

Canfield diz que mais pesquisas sobre o assunto são necessárias, mas sua pesquisa apoiaria tais intervenções do empregador.