Vídeo: Não clique nesse vídeo, sério! (Outubro 2024)
Agora que todo usuário da Internet foi informado repetidamente que clicar em links em mensagens de e-mail é uma má idéia, os golpistas e criminosos desistiram de enviar essas mensagens, porque não funcionam mais. Direito? Bem não. As mensagens fraudulentas vinculadas a sites mal-intencionados são tão comuns quanto sempre, e a culpa é sua. Por que você clica nesses links? A Dra. Zinaida Benenson, da Universidade de Erlangen-Nuremberg, decidiu descobrir, e revelou suas descobertas na conferência Black Hat em Las Vegas. Os resultados não foram animadores.
"Quando começamos a pensar em pesquisas nessa área, perguntamos: o que ainda não sabemos?", Disse Benenson. "Existe alguma diferença se você envia a mensagem suspeita por e-mail ou Facebook? Queríamos perguntar às pessoas por que elas clicaram ou não em um link, para saber como elas raciocinam sobre as decisões de segurança".
Na conferência Black Hat do ano passado, a pesquisadora Laura Bell propôs que, em vez de verificar a segurança dos PCs, examinemos os usuários. Benenson tomou um tom mais cauteloso. Ela mencionou o problema de testar pessoas sem o seu consentimento. "Às vezes isso é feito nas organizações", disse ela, "e pode dar muito errado. Mas não podemos dizer, ei, vamos enviar algumas mensagens de phishing, por isso não deixe de reagir da maneira que normalmente faria."
Benenson conseguiu estudantes voluntários para um estudo sobre "atividade online", prometendo que alguns participantes ganhassem cartões-presente. Ela usou o email e o Facebook para enviar a 1.600 estudantes universitários uma mensagem contendo um link para "fotos da festa na semana passada". Quem clicou no link não conseguiu ver fotos ousadas; eles simplesmente receberam uma mensagem de "acesso negado". Naturalmente, o experimento de Berenson registrou exatamente quem se interessou pela jogada.
Acontece que usar seu primeiro nome é uma ótima maneira de convencer o destinatário de que a mensagem é legítima. Mais da metade (56%) dos destinatários de e-mail e 38% daqueles que recebem uma mensagem no Facebook clicaram no link quando a mensagem os endereçou pelo nome. Sem o primeiro nome, apenas 20% dos que receberam a mensagem por email e 42, 5% dos usuários do Facebook morderam a isca.
Fácil de Ser Enganado
As estatísticas realmente interessantes surgiram quando Benenson questionou os clickers sobre o impulso que os levou a dar o perigoso passo de clicar no link. O maior motivo, oferecido por 34% dos participantes, foi a curiosidade sobre o conteúdo das fotos. Outros 27% confiaram na mensagem porque ela correspondia à sua experiência, na medida em que compareceram a uma festa recentemente. Embora a mensagem tenha vindo de um nome inventado, 16% pensaram que era alguém que eles conheciam. Por outro lado, 51% dos que se abstiveram de clicar o fizeram porque não reconheceram o remetente e 36% porque não estiveram em nenhuma festa recentemente.
Com base nesses resultados, Benenson concluiu que praticamente qualquer pessoa poderia ser induzida a clicar em um link perigoso usando uma das várias técnicas. Dirigir-se à vítima pelo nome, elaborar a mensagem para induzir a curiosidade, falsificar um remetente conhecido, combinar o conteúdo da mensagem com a experiência recente da vítima - essas são as técnicas comprovadas.
James Bond
O que as empresas querem do treinamento de conscientização? "Se queremos que eles se protejam", disse Berenson, "eles devem suspeitar mesmo que conheçam o remetente, mesmo que a mensagem corresponda às suas expectativas atuais. Eles devem suspeitar de tudo! Os psicólogos chamam esse modo de enganar. A qualquer momento veja uma mensagem, espere que ela seja falsa ". Ela mencionou exatamente um funcionário que poderia operar no modo de engano o tempo todo; James Bond.
"Se queremos que os funcionários permaneçam no modo James Bond o tempo todo", ela continuou, "isso é possível. Mas você precisa colocá-lo na descrição do trabalho e pagá-los adequadamente". Ela relatou sua própria tentativa de manter o modo de engano em sua própria ação o tempo todo, com alguns exemplos divertidos.
Benenson ressaltou que o treinamento em conscientização sobre phishing nos negócios pode sair pela culatra. O envio de e-mails de spear-phishing para os funcionários, supostamente de um colega, pode reduzir a eficiência do trabalho, fazendo com que os funcionários desconfiem de mensagens válidas. Ela concluiu com um pedido de empresas que estariam dispostas a participar de suas pesquisas adicionais.
E o usuário doméstico? Você (ou seus filhos) certamente clicará no link errado mais cedo ou mais tarde. Nesse caso, você deve se certificar de que sua solução antivírus ou de conjunto de segurança inclua proteção eficaz contra URLs de hospedagem de malware. Em meus próprios testes práticos, o Avira Antivirus Pro 2016, o McAfee AntiVirus Plus (2016) e o Symantec Norton Security Premium provaram ser particularmente eficazes.
