Curiosidade é principal aliada dos ataques de phishing

As pessoas clicam em links de e-mails de phising. Elas simplesmente clicam. Algumas pesquisas sugerem que uma pequena porcentagem de usuários está simplesmente conectada para clicar durante suas interações online. Até pouco tempo, a razão pela qual a maioria das pessoas clicava nesses links era desconhecida. Agora, temos mais que uma resposta a essa questão, baseada em uma descoberta de acadêmicos alemães. Aviso: Profissionais de segurança de TI não vão achar a conclusão deles confortante.

Atenção, Marketeiros: Altas Taxas de Clique!

De acordo com uma pesquisa de Zinaida Benenson e seus colegas, as razões pelas quais as pessoas clicam em iscas de phishing têm como base um fator de curiosidade geral e, em seguida, conteúdos ligados, de certa forma, à vítima.

O grupo de pesquisa utilizou o seguinte exemplo de e-mail no teste e enviou para mais de 1.200 estudantes de duas universidades diferentes:

Olá!

A Festa de Ano Novo foi ótima! Confira as fotos:

http://<IP address>/photocloud/page.php?h=<participant ID>

Por favor, não compartilhe com pessoas que não estiveram na festa!

Nos vemos na próxima!

<sender’s first name>

A mensagem, a propósito, foi enviada durante a primeira semana de Janeiro.

Alguém quer adivinhar qual foi a taxa de clique, no geral, para essa mensagem spam?

Inacreditáveis 25%.

Profissionais de marketing de todo mundo invejam essa métrica de sucesso.

De qualquer forma, os pesquisadores alemães seguiram com perguntas para encontrar as motivações dessas pessoas.

Aqueles que responderam a pesquisa, 34% disseram que ficaram curiosos sobre as fotos da festa, outros 27% disseram que a mensagem se encaixava com a época do ano e outros 16% disseram que achavam que conheciam o remetente com base no primeiro nome.

Os pesquisadores alemães conduziram um clássico tipo de história falsa em seu teste. Eles escolheram os estudantes para participar de um estudo sobre Hábitos na Internet e ofereceram vouchers para comprar online como incentivo. Nada sobre o envio de e-mail phishing foi mencionado.

Claro que, após a conclusão do estudo, os estudantes foram avisados sobre a verdadeira razão da pesquisa e seus resultados e deram conselhos sobre não clicar nesses tipos de link.

Phishing: a dura verdade

No blog IOS, o phishing também foi abordado e segue sendo uma pesquisa relevante. Resumindo: não podemos dizer que nos surpreendemos com as descobertas dos pesquisadores alemães, especialmente as relacionadas a cliques em links para abrir imagens.

O estudo alemão apenas confirma nossas intuições: pessoas do mundo corporativo, durante o trabalho, ficam entediadas, e quando veem a oportunidade de espiar a vida de estranhos, não se contêm. É parte da natureza humana.

Porém, há uma outra conclusão assustadora relacionada ao contexto geral da mensagem. O estudo mostra que, quanto mais você sabe e pode falar sobre o alvo no e-mail de phishing, mais chances vai ter de conseguir um clique. E um estudo de Benenson realizado anteriormente aponta que 56% do volume de cliques foi alcançado pois o e-mail phishing foi enviado nominalmente.

Problemas para segurança de dados

Na Varonis, pregamos a mensagem de que você não pode esperar que a segurança do perímetro seja sua última linha de defesa. O phishing é uma das maiores razões pelas quais hackers encontram facilmente meios de entrar na rede corporativa.

Os hackers estão cada vez mais espertos, coletando mais detalhes sobre seus alvos de phishing e deixando a isca mais atrativa. A pesquisa alemã mostra que até mesmo conteúdos personalizados e mal produzidos são bastante efetivos. Imagine o que aconteceria se os hackers conseguissem acessar as mídias sociais e coletar informações pessoais e saber mais sobre as preferências das vítimas.