Ikke klikk på den lenken!

Nå som alle Internett-brukere gjentatte ganger har blitt fortalt at det er en dårlig ide å klikke på koblinger i e-postmeldinger, har svindlerne og kjeltringene gitt opp å sende disse meldingene, fordi de ikke fungerer lenger. Ikke sant? Vel nei. Svindelmeldinger som lenker til ondsinnede nettsteder er like store som alltid, og det er din skyld. Hvorfor klikker du på disse lenkene? Dr. Zinaida Benenson, fra Universitetet i Erlangen-Nürnberg, bestemte seg for å finne ut av det, og avslørte funnene hennes på Black Hat-konferansen i Las Vegas. Resultatene var ikke oppmuntrende.

"Da vi begynte å tenke på forskning på dette området, spurte vi, hva vet vi ikke ennå?", Sa Benenson. "Er det noen forskjell hvis du sender den mistenkelige meldingen via e-post eller Facebook? Vi ønsket å spørre folk hvorfor de klikket på en kobling eller ikke, for å vite hvordan de resonerer om sikkerhetsavgjørelser."

På fjorårets Black Hat-konferanse foreslo forsker Laura Bell at i stedet for å skanne PC-er for sikkerhet, skanner vi brukerne. Benenson tok en mer forsiktig tone. Hun nevnte problemet med å teste mennesker uten deres samtykke. "Noen ganger blir dette gjort i organisasjoner, " sa hun, "og det kan gå veldig galt. Men vi kan ikke si, hei, vi kommer til å sende deg noen phishing-meldinger, så husk å reagere slik du pleide å gjøre."

Benenson fikk frivillige studenter til en studie om "online aktivitet", og lovet at noen deltakere ville vinne gavekort. Hun brukte e-post og Facebook for å sende 1.600 universitetsstudenter en melding som inneholder en lenke til "bilder fra festen forrige uke." De som klikket på lenken, fikk ikke se noen rasende bilder; de fikk ganske enkelt en "tilgang nektet" -melding. Naturligvis registrerte Berensons eksperiment akkurat hvem som falt for gambit.

Det viser seg at bruk av fornavnet ditt er en fin måte å overbevise mottakeren om at meldingen er legitim. Over halvparten (56 prosent) av e-postmottakerne og 38 prosent av de som fikk en facebook-melding klikket på lenken da meldingen adresserte dem med navn. Uten fornavn var det bare 20 prosent som fikk meldingen på e-post og 42, 5 prosent av Facebook-brukerne tok agnet.

Lett å bli tullete

Den virkelig interessante statistikken kom inn da Benenson spurte klikkerne om akkurat hvilken impuls som fikk dem til å ta det farlige skrittet ved å klikke på lenken. Den største grunnen, tilbudt av 34 prosent av de spurte, var nysgjerrighet rundt innholdet på bildene. Ytterligere 27 prosent stolte på meldingen fordi den stemte overens med deres opplevelse, ved at de hadde deltatt på en fest nylig. Selv om meldingen kom fra et sammensatt navn, mente 16 prosent at det var noen de kjente. Motsatt gjorde 51 prosent av de som avsto fra å klikke det fordi de ikke kjente igjen avsenderen, og 36 prosent fordi de ikke hadde vært i noen partier nylig.

Basert på disse resultatene, konkluderte Benenson at omtrent hvem som helst kunne bli indusert til å klikke på en farlig kobling ved hjelp av en av flere teknikker. Å adressere offeret ved navn, lage meldingen for å fremkalle nysgjerrighet, forfalskning av en kjent avsender, matche meldingens innhold til offerets nylige opplevelse - dette er de prøvde og sanne teknikkene.

Bond, James Bond

Hva ønsker virksomheter fra bevissthetstrening? "Hvis vi vil at de skal beskytte seg selv, " sa Berenson, "de må være mistenksomme selv om de kjenner avsenderen, selv om meldingen passer til dine nåværende forventninger. De må være mistenksomme for alt! Psykologer kaller denne bedrag-modusen. Hver gang de se en melding, forvent at den kan være falsk. " Hun nevnte nøyaktig en ansatt som kunne tenke seg å operere i bedrag-modus hele tiden; James Bond.

"Hvis vi vil at ansatte skal være i James Bond-modus hele tiden, " fortsatte hun, "det er mulig. Men du må legge det inn i stillingsbeskrivelsen, og du må betale dem på passende måte." Hun rapporterte om sitt eget forsøk på å holde bedrag-modus i sin egen handling hele tiden, med noen morsomme eksempler.

Benenson påpekte videre at opplæring om phishing-bevissthet i virksomheten kan slå tilbake. Å sende ansatte spear-phishing-e-poster påstått fra en kollega, kan redusere arbeidseffektiviteten ved å gjøre ansatte mistillit til og med gyldig post. Hun avsluttet med en forespørsel om virksomheter som ville være villige til å delta i hennes videre forskning.

Hva med hjemmebrukeren? Du (eller barna) vil sikkert klikke på feil kobling før eller senere. Når det er tilfelle, bør du sørge for at antivirus- eller sikkerhetssuite-løsningen din inkluderer effektiv beskyttelse mot URL-adresser som er skadelig for malware. I mine egne praktiske tester viste Avira Antivirus Pro 2016, McAfee AntiVirus Plus (2016) og Symantec Norton Security Premium seg som spesielt effektive.