Um funcionário da Universidade MacEwan recebeu um e-mail em 2017 de alguém que alegava ser um empreiteiro de construção pedindo para alterar o número da conta para onde foram enviados quase US$ 12 milhões em pagamentos. Uma semana depois, o empreiteiro ligou perguntando quando o pagamento chegaria. O e-mail sobre a alteração do número da conta era falso. Em vez de irem para a empreiteira, os pagamentos eram enviados para contas controladas por criminosos.
E-mails falsos que tentam levar as pessoas a fazer coisas que normalmente não fariam, como enviar dinheiro, executar programas perigosos ou fornecer senhas, são conhecidos como e-mails de phishing. Especialistas em segurança cibernética geralmente culpam as pessoas que recebem essas mensagens por não perceberem que os e-mails são falsos.

Como pesquisador de segurança cibernética, descobri que a maioria das pessoas é boa em quase todas as habilidades que os especialistas em segurança de computadores usam para perceber e-mails falsos em suas caixas de entrada. Fazer a diferença se resume a ouvir seus instintos.

Como os profissionais fazem isso

Em pesquisas anteriores, descobri que, quando especialistas em segurança cibernética recebiam uma mensagem de e-mail de phishing, eles, como a maioria das pessoas, presumiam que o e-mail era real. Eles inicialmente levaram tudo no e-mail pelo valor nominal. Eles tentaram descobrir o que o e-mail estava pedindo que eles fizessem e como isso se relacionava com as coisas em suas vidas.

Ao lerem, notaram pequenas coisas que pareciam erradas ou diferentes do que normalmente estaria em mensagens de e-mail semelhantes. Eles notaram coisas como erros de digitação em um e-mail profissional ou a falta de erros de digitação de um executivo ocupado. Eles notaram coisas como um banco fornecendo informações da conta em uma mensagem de e-mail em vez da notificação padrão de que o destinatário tinha uma mensagem esperando por eles no sistema de mensagens seguro do banco. Eles também notaram coisas como alguém estranhamente enviando um e-mail para eles sem mencioná-lo pessoalmente primeiro.

Mas perceber esses sinais não é suficiente para descobrir que o e-mail é uma fraude. Em vez disso, os especialistas ficaram desconfortáveis ​​com a mensagem de e-mail. Só quando viram algo na mensagem que os lembrou de phishing é que começaram a suspeitar. Eles veriam uma anomalia como um link que o e-mail estava tentando fazer com que eles clicassem. Em suas mentes, eles são comumente associados a e-mails de phishing.

Combinado com a sensação desconfortável sobre a mensagem de e-mail, esse lembrete levou os especialistas a reconhecer que o phishing pode explicar as coisas estranhas que eles notaram. Eles suspeitaram da mensagem e investigaram para descobrir se era uma fraude.

Bons instintos

Se é assim que os especialistas fazem, então o que as pessoas comuns fazem? Quando entrevistei pessoas sem experiência em segurança de computadores, encontrei um processo semelhante. A maioria das pessoas notou coisas que pareciam estranhas, ficou desconfortável com o e-mail, lembrou-se de phishing e investigou.

Minha pesquisa descobriu que as pessoas são boas nas duas primeiras etapas:perceber coisas no e-mail que parecem estranhas e ficar desconfortáveis. Quase todos com quem conversei notaram vários problemas quando viram um e-mail falso e me disseram que se sentiam desconfortáveis ​​com a mensagem.

E se as pessoas pensavam em phishing, também eram boas em investigar. Em vez de olhar para os detalhes técnicos, a maioria das pessoas entrou em contato com o remetente ou pediu ajuda a outras pessoas. Mas eles ainda conseguiram descobrir corretamente se uma mensagem de e-mail era um ataque de phishing.

Histórias de phishing

A maioria dos treinamentos de phishing ensina as pessoas a procurar problemas no e-mail. Mas para a maioria das pessoas, a parte difícil do phishing não é perceber as coisas estranhas em uma mensagem de e-mail. As pessoas geralmente lidam com e-mails estranhos, mas reais. Muitas mensagens parecem um pouco erradas. Às vezes, seu chefe está tendo um dia ruim ou o banco muda suas políticas. Nenhuma mensagem de e-mail é perfeita, e as pessoas geralmente estão sintonizadas com isso.

O desafio para a maioria das pessoas foi lembrar que o phishing existe e reconhecer que o phishing pode explicar essas coisas estranhas. Sem essa consciência do phishing, a estranheza nas mensagens de phishing pode ser perdida na estranheza diária dos e-mails.

A maioria das pessoas que entrevistei sabe sobre phishing em geral. Mas as pessoas que eram boas em perceber mensagens de phishing relataram histórias sobre incidentes de phishing específicos de que ouviram falar. Eles me contaram sobre uma ocasião em que alguém em sua organização caiu em um e-mail de phishing, ou sobre uma notícia de um incidente como o da Universidade MacEwan.

A familiaridade com incidentes de phishing específicos ajuda as pessoas a se lembrarem do phishing em geral e a reconhecerem que isso pode explicar as coisas estranhas que notam em um e-mail. Essas histórias são fundamentais para as pessoas passarem de "algo suspeito" para "isso é phishing?"