Cada año, decenas de millones de correos electrónicos de suplantación de identidad llegan a su bandeja de entrada, sin ser atrapados por el filtro de correo no deseado de su cliente de correo electrónico. De esos, millones más pasan por alto nuestro propio juicio y se hacen clic y se abren.y el Instituto de Privacidad ha revelado cuán probable es que muerdamos el anzuelo.
"A pesar de que las personas fueron generalmente cautelosas, su capacidad para detectar correos electrónicos de phishing era lo suficientemente pobre como para poner en peligro los sistemas informáticos", dice Casey Canfield, investigadora de CyLab del Departamento de Ingeniería y Políticas Públicas de Carnegie Mellon.
El estudio de Canfield se publicó recientemente en la revista Factores humanos . Los interesados pueden probar sus propias habilidades de detección de correo electrónico de phishing en nuestro breve cuestionario en línea.
En el estudio, Canfield y sus colegas mostraron a los participantes información sobre phishing antes de pedirles que evaluaran 38 correos electrónicos diferentes, la mitad de los cuales eran legítimos y la otra mitad eran phishing. Para cada correo electrónico, los participantes respondieron preguntas sobre si el correo electrónico era phishing, qué acción llevarían a cabo, su confianza en sus elecciones y las consecuencias percibidas de enamorarse del correo electrónico si se tratara de phishing.
En promedio, los participantes solo pudieron identificar correctamente poco más de la mitad de los correos electrónicos de phishing que se les presentaron. Afortunadamente, los participantes mostraron un poco más de precaución cuando se trataba de su comportamiento: aproximadamente tres cuartas partes de los enlaces de phishing quedaron sinhecho clic
"Algunos usuarios pudieron identificar la gran mayoría de los correos electrónicos de phishing, pero solo porque estaban predispuestos a pensar que todo era un ataque de phishing", dice Canfield. "Por lo tanto, no necesariamente tenían una gran capacidad para notar la diferenciaentre phishing y correos electrónicos legítimos "
Además, los niveles de confianza de los participantes no siempre se calibraron con su capacidad.
"Al tomar decisiones sobre correos electrónicos de phishing, las personas eran más cautelosas cuando no confiaban y percibían consecuencias muy negativas de abrir un correo electrónico de phishing", dice Canfield. "Desafortunadamente, a menudo se sentían demasiado confiados, por lo que aún caerían en ataques de phishing".
Con base en los resultados, los autores del estudio sugieren intervenciones tales como proporcionar a los usuarios comentarios sobre sus habilidades y enfatizar las consecuencias de los ataques de phishing. Un método efectivo de entrenamiento que las compañías usan comúnmente, explica Canfield, es enviar correos electrónicos falsos de phishing yenseñar a un usuario sobre correos electrónicos de phishing si abren el correo electrónico. Este método de capacitación, denominado "capacitación integrada", fue desarrollado originalmente por el Laboratorio de Privacidad y Seguridad Usable de CyLab.
"Parece que esos entrenamientos no siempre están mejorando a las personas para notar la diferencia, pero probablemente los esté haciendo más cautelosos", dice Canfield. "Ayudar a las personas a notar la diferencia puede no ser tan útil como alentarlos a ser máscauteloso."
Otros autores en el estudio de phishing incluyeron a los profesores de Ingeniería y Políticas Públicas Baruch Fischhoff y Alex Davis.
Fuente de la historia :
Materiales proporcionado por Facultad de Ingeniería, Universidad Carnegie Mellon . Nota: El contenido puede ser editado por estilo y longitud.
Referencia del diario :
Cite esta página :