Video: Meghan Trainor - All About That Bass (Noviembre 2024)
Ahora que a todos los usuarios de Internet se les ha dicho repetidamente que hacer clic en los enlaces de los mensajes de correo electrónico es una mala idea, los estafadores y los delincuentes han renunciado a enviar esos mensajes, porque ya no funcionan. ¿Derecho? Bueno no. Los mensajes fraudulentos vinculados a sitios web maliciosos son tan comunes como siempre, y es tu culpa. ¿Por qué haces clic en esos enlaces? La Dra. Zinaida Benenson, de la Universidad de Erlangen-Nuremberg, decidió averiguarlo y reveló sus hallazgos en la conferencia Black Hat en Las Vegas. Los resultados no fueron alentadores.
"Cuando comenzamos a pensar en la investigación en esta área, preguntamos, ¿qué no sabemos aún?", Dijo Benenson. "¿Hay alguna diferencia si envía un mensaje sospechoso por correo electrónico o Facebook? Queríamos preguntarle a la gente por qué hicieron clic en un enlace o no, para saber cómo razonan sobre las decisiones de seguridad".
En la conferencia de Black Hat del año pasado, la investigadora Laura Bell propuso que en lugar de escanear las PC por seguridad, escaneamos a los usuarios. Benenson tomó un tono más cauteloso. Ella mencionó el problema de evaluar a las personas sin su consentimiento. "A veces esto se hace en las organizaciones", dijo, "y puede salir muy mal. Pero no podemos decir, oye, vamos a enviarte algunos mensajes de phishing, así que asegúrate de reaccionar de la forma en que lo harías normalmente". ".
Benenson consiguió estudiantes voluntarios para un estudio sobre "actividad en línea", prometiendo que algunos participantes ganarían tarjetas de regalo. Ella usó el correo electrónico y Facebook para enviarle a 1.600 estudiantes universitarios un mensaje que contenía un enlace a "fotos de la fiesta de la semana pasada". Aquellos que hicieron clic en el enlace no pudieron ver fotos picantes; simplemente recibieron un mensaje de "acceso denegado". Naturalmente, el experimento de Berenson registró quién cayó en la trampa.
Resulta que usar su nombre es una excelente manera de convencer al destinatario de que el mensaje es legítimo. Más de la mitad (56 por ciento) de los destinatarios de correo electrónico y el 38 por ciento de los que reciben un mensaje de Facebook hicieron clic en el enlace cuando el mensaje se dirigió a ellos por su nombre. Sin el primer nombre, solo el 20 por ciento que recibió el mensaje por correo electrónico y el 42.5 por ciento de los usuarios de Facebook mordieron el anzuelo.
Fácil de dejarse engañar
Las estadísticas realmente interesantes aparecieron cuando Benenson preguntó a los clics sobre qué impulso les hizo dar el peligroso paso de hacer clic en el enlace. La razón principal, ofrecida por el 34 por ciento de los encuestados, fue la curiosidad sobre el contenido de las fotos. Otro 27 por ciento confiaba en el mensaje porque coincidía con su experiencia, ya que habían asistido a una fiesta recientemente. Aunque el mensaje provenía de un nombre inventado, el 16 por ciento pensó que era alguien que conocían. Por el contrario, el 51 por ciento de los que se abstuvieron de hacer clic lo hicieron porque no reconocieron al remitente, y el 36 por ciento porque no habían estado en ninguna fiesta recientemente.
Sobre la base de estos resultados, Benenson concluyó que casi cualquiera podría ser inducido a hacer clic en un enlace peligroso utilizando una de varias técnicas. Dirigirse a la víctima por su nombre, elaborar el mensaje para inducir curiosidad, falsificar a un remitente conocido, relacionar el contenido del mensaje con la experiencia reciente de la víctima: estas son las técnicas probadas y verdaderas.
James Bond vínculo
¿Qué quieren las empresas de la formación de sensibilización? "Si queremos que se protejan", dijo Berenson, "deben sospechar incluso si conocen al remitente, incluso si el mensaje se ajusta a sus expectativas actuales. ¡Deben sospechar de todo! Los psicólogos llaman a este modo de engaño. En cualquier momento vea un mensaje, espere que pueda ser falso ". Mencionó exactamente a un empleado al que le gustaría operar en modo de engaño todo el tiempo; James Bond
"Si queremos que los empleados estén en modo James Bond todo el tiempo", continuó, "eso es posible. Pero hay que ponerlo en la descripción del trabajo, y hay que pagarles adecuadamente". Ella informó sobre su propio intento de mantener el modo de engaño en su propia acción todo el tiempo, con algunos ejemplos divertidos.
Benenson continuó señalando que la capacitación sobre conciencia del phishing en los negocios puede ser contraproducente. Enviar a los empleados correos electrónicos de suplantación de identidad supuestamente de un colega puede reducir la eficiencia del trabajo al hacer que los empleados desconfíen incluso del correo válido. Concluyó con una solicitud de negocios que estarían dispuestos a participar en su investigación adicional.
¿Qué pasa con el usuario doméstico? Usted (o sus hijos) seguramente hará clic en el enlace incorrecto tarde o temprano. Siendo ese el caso, debe asegurarse de que su solución antivirus o suite de seguridad incluya protección efectiva contra las URL de alojamiento de malware. En mis propias pruebas prácticas, Avira Antivirus Pro 2016, McAfee AntiVirus Plus (2016) y Symantec Norton Security Premium demostraron ser particularmente eficaces.
