Tento typ ľudí je náchylnejší podľahnúť phishingovým správam: Patríte ku nim aj vy?
Phishingové útoky sú čoraz rozšírenejšie a obeťou sa môže stať naozaj každý. Táto skupina ľudí však častejšie kliká na podvodné správy.
Phishingové útoky sú na vzostupe a predstavujú hrozbu nielen pre nás, ale aj pre spoločnosti a rôzne firmy. Nový výskum vedcov z Pacific Northwerst National Laboratory ukázal, kto aký typ ľudí môže kliknúť na phishingové e-maily najčastejšie.
Vedci zistili, že stres hrá dôležitú úlohu v tom, či na podvodný phishingový e-mail klikneme alebo nie. V práci síce zažíva stres každý, no v tomto prípade ide o špecifickú formu stresu, ktorá robí ľudí náchylnejšími na tento druh podvodu. Výskumníci vytvorili experiment, do ktorého sa zapojilo 153 dobrovoľníkov. Autori priznávajú, že ide o relatívne malú vzorku, ktorá im nedovolila otestovať všetky faktory spojené s náchylnosťou na phishingové útoky. Napriek tomu získali niekoľko dôležitých poznatkov.
„Prvým krokom ako sa chrániť pred phishingom je pochopiť komplexnú sieť premenných, ktoré robia človeka náchylným na túto formu kyberútoku,“ tvrdí jeden z autorov štúdie, psychológ Corey Fallon.
V práci zistili, že phishingu podľahnú skorej tí, ktorí prechádzajú vysokou mierou úzkosti spojenej s prácou. Počas experimentu dobrovoľníci vypĺňali dotazník a v rámci neho sa stretli aj s otázkou, akú mieru úzkosti v práci prežívajú. Každý jeden bod na škále zodpovedal 15% zvýšeniu rizika kliknutia na phishingový mail.
Autori štúdie pracovnú úzkosť definovali ako pocit napätia a bezmocnosti, keď pracovník nadobúda dojem, že sa nachádza v zložitej situácii a nedokáže si poradiť so svojou úlohou. Táto úzkosť môže vzniknúť, keď zamestnanec dostane príliš veľa úloh alebo si nie je istý či je na danú úlohu patrične zaškolený. Vzniká tiež ak má zamestnanec pocit, že na úlohu má málo času.
Aká taktika funguje najlepšie?
Ako sme už spomenuli, do experimentu sa zapojilo 153 dobrovoľníkov. Tí si neboli vedomí, že pár týždňov po výskume dostanú simulovaný phishingový e-mail. Výskumníci v tomto prípade vytvorili jeden z tých lepších podvodov. Mnohé phishingové e-maily sa vyznačujú otrasnou gramatikou, alebo zvláštnymi vetami. Hackeri častokrát obsah správy prekladajú cez prekladač, čo môže byť jednoduchý spôsob ako rozpoznať tieto podvodné správy. Druhý ľahký spôsob je, že vám príde správa od „afrického princa“ alebo od milionára, ktorý sa z ničoho nič rozhodol prenechať všetok svoj majetok vám, cudzej osobe. Z týchto typov správ si často robíme srandu, no stále sú vo svete rozšírené a množstvo ľudí sa nachytá.
Neprehliadnite
Autori štúdie si dali na phishingovom e-maily záležať. Vytvorili správu, ktorej hlavnou úlohou bolo, čo najlepšie oklamať zamestnancov určitej spoločnosti a len ťažko by ste ho odlíšili od normálneho e-mailu. Tento útok mal simulovať situáciu, kedy hacker úmyselne cieli na konkrétnu firmu.
Každý z dobrovoľníkov dostal odlišnú verziu toho istého e-mailu, ktorý hovoril o novom dress kóde v spoločnosti. E-maily sa líšili tým, že apelovali na iné z najčastejších faktorov, ktoré nútia ľudí reagovať na phishingové správy. Ak e-mail apeloval na pocit naliehavosti, kliklo naň až 49% zúčastnených. Keď sa v správe vyhrážali disciplinárnym konaním, na správu kliklo 47% ľudí. O niečo menej reagovali ľudia na e-mail, ktorý sa ukrýval za autoritu, len v 38%. Najmenej reagovali na mail, ktorý kombinoval všetky taktiky dokopy, a to len v 31% prípadov.
Vedci očakávali, že na kombináciu taktík budú ľudia reagovať viac, no opak bol pravdou.
„Je možné, že čím viac stratégií v e-maili použijeme, tým skôr získajú ľudia pocit, že niečo nesedí. Tvrdíme, že pri phishingových útokoch treba zvoliť vhodnú taktiku, no nemožno to preháňať,“ tvrdí dátový vedec, Dustin Arendt.
Autori štúdie však priznávajú, že spozorovať škodlivý e-mail môže byť niekedy náročné. Naše mozgy ešte nie sú vyvinuté na to, aby si e-maily spájali s hrozbou a počas práce častokrát reagujeme na desiatky prijatých správ. Ľahko tak prehliadneme indikátory phishingového útoku.
Komentáre