No todas las campañas de phishing funcionan, pero cuando un atacante persevera con una estrategia que lo hace, es la clave de su éxito. Ese es el hallazgo de un nuevo estudio centrado en el atacante, un aspecto fundamentalmente ignorado pero crucial del phishing. Además deAl identificar estrategias exitosas, también revela que los atacantes están motivados por recompensas más rápidas y más grandes, con individuos creativos que se esfuerzan más en la construcción de estos correos electrónicos maliciosos. Fronteras en psicología , se puede usar para desarrollar herramientas y procedimientos de capacitación para detectar correos electrónicos de phishing.
"Encontramos que las estrategias de phishing específicas, como el uso del tono autoritario, la expresión de interés compartido y el envío de notificaciones, tienen más probabilidades de éxito", dice el Dr. Prashanth Rajivan, autor principal del estudio y con sede en la Universidad Carnegie Mellon, Pennsylvania, ESTADOS UNIDOS.
El phishing es una forma común de ciberataque. Los delincuentes se hacen pasar por un tercero confiable para convencer a las personas de que visiten sitios web fraudulentos o descarguen archivos maliciosos, con la intención de comprometer su seguridad. Mientras que la investigación se ha centrado en gran medida en las víctimas de estos crímenes, este nuevo estudio analiza un aspecto crítico del phishing: el comportamiento y las estrategias del atacante.
"Creamos un experimento similar a un juego para evaluar qué tan bien funcionan las diferentes estrategias y para comprender cómo los incentivos y las tasas de éxito, o la creatividad de un individuo, pueden afectar la motivación", explica el Dr. Rajivan.
En el experimento, los participantes humanos desempeñan el papel de un atacante de phishing y acumulan puntos, durante un número de turnos, para engañar con éxito a otras personas que son el "usuario final" que realizan una tarea de administración de correo electrónico. El juego fue cuidadosamente construido para entrenary recompense a las personas para que produzcan correos electrónicos de phishing que empleen diferentes estrategias y temas.
Las estrategias que tenían menos probabilidades de éxito incluían 'ofrecer ofertas', 'vender materiales ilegales' y 'usar un tono positivo'.
"La gente puede ser menos receptiva a las estrategias asociadas con estafas que funcionaron hace una década", explica el Dr. Rajivan. "Las estrategias más exitosas hoy en día serían 'enviar notificaciones', 'uso de tono autoritario', aprovechando la confianza alhaciéndose pasar por un amigo o expresando interés compartido 'y' fallas en la comunicación '".
El diseño repetido del juego permitió a los investigadores evaluar las tácticas del atacante a lo largo del tiempo. Esto reveló que la perseverancia con una estrategia exitosa, en lugar de cambiar de una a otra, puede producir mejores resultados. Los investigadores atribuyen esto a los atacantes que mejoranmensaje de correo electrónico en cada turno
Los incentivos tuvieron una influencia directa en la motivación, con recompensas retrasadas que resultaron en un menor esfuerzo. Cuanto más fácil y más rápido se obtuvieron recompensas altas, más esfuerzo aplicó un atacante para diseñar correos electrónicos persuasivos, al igual que las personas que obtuvieron puntajes altos en una prueba de 'creatividad'Sin embargo, no hubo evidencia que sugiriera que la creatividad podría usarse como un predictor del éxito del phishing.
"Ha habido un resurgimiento de los ataques de phishing en los últimos años y los usuarios habituales y no expertos de Internet suelen ser víctimas de estos crímenes. Necesitamos mejorar las prácticas de seguridad actuales para cambiar la estructura de incentivos para el atacante. Si"Las recompensas son mayores que los costos, los atacantes continuarán esforzándose más en las campañas de phishing", dice el Dr. Rajivan. "Creemos que los atacantes con mayor creatividad pueden ser capaces de cambiar y adaptar los correos electrónicos para evadir la detección, a pesar de que su creatividad no puededeterminar cuánto éxito logran al hacer que el usuario final responda "
Continúa, "Nuestro novedoso diseño experimental podría usarse para atraer a la gente a jugar nuestro juego, lo que nos daría mucha información sobre las tasas de éxito del phishing y cómo se pueden adaptar estos correos electrónicos, mejorando así el software de detección. Además, podríamosúselo como una herramienta de capacitación para ayudar a las personas a pensar como hackers para detectar mejor los correos electrónicos de phishing ".
Fuente de la historia :
Materiales proporcionados por fronteras . Nota: El contenido puede ser editado por estilo y longitud.
Referencia del diario :
Cita esta página :