Non tutte le campagne di phishing funzionano, ma quando un attaccante persevera con una strategia che lo fa è la chiave del suo successo. È quanto emerge da un nuovo studio incentrato sull'aggressore, un aspetto in gran parte ignorato ma cruciale del phishing. Oltre a individuare strategie di successo, rivela anche che gli aggressori sono motivati ​​da ricompense più rapide e più grandi, con individui creativi che si impegnano maggiormente nella costruzione di queste e-mail dannose. Approfondimenti dallo studio, pubblicato oggi su una rivista ad accesso aperto Frontiere in Psicologia , può essere utilizzato per sviluppare strumenti e procedure di formazione per rilevare le e-mail di phishing.

"Troviamo strategie di phishing specifiche, come l'uso di toni autoritari, esprimere interesse condiviso e inviare notifiche, hanno maggiori probabilità di successo, "dice il dottor Prashanth Rajivan, autore principale dello studio e con sede presso la Carnegie Mellon University, Pennsylvania, STATI UNITI D'AMERICA.

Il phishing è una forma comune di attacco informatico. I criminali si spacciano per una terza parte affidabile per persuadere le persone a visitare siti Web fraudolenti o a scaricare allegati dannosi, con l'intento di comprometterne la sicurezza. Mentre la ricerca si è in gran parte concentrata sulle vittime di questi crimini, questo nuovo studio esamina un aspetto critico del phishing:il comportamento e le strategie dell'attaccante.

"Abbiamo creato un esperimento simile a un gioco per valutare come funzionano le diverse strategie, e per capire come incentivi e percentuali di successo, o la creatività di un individuo, può influenzare la motivazione, " spiega il dottor Rajivan.

Nell'esperimento, i partecipanti umani svolgono il ruolo di aggressori di phishing e accumulano punti, su un numero di giri, per aver ingannato con successo altre persone che sono "l'utente finale" eseguendo un'attività di gestione della posta elettronica. Il gioco è stato progettato con cura per addestrare e premiare le persone a produrre e-mail di phishing che utilizzano strategie e argomenti diversi.

Le strategie che avevano meno probabilità di successo includevano "offrire offerte, "vendere materiali illegali" e "usare un tono positivo".

"Le persone potrebbero essere meno ricettive alle strategie associate alle truffe che funzionavano dieci anni fa, " spiega il Dr. Rajivan. "Oggi le strategie più efficaci sarebbero "l'invio di notifiche, ' 'uso di tono autorevole, ' 'approfittare della fiducia impersonando un amico o esprimendo interesse condiviso, ' e 'fallimento di comunicazione'."

Il design ripetuto del gioco ha permesso ai ricercatori di valutare le tattiche dell'attaccante nel tempo. Ciò ha rivelato che la perseveranza con una strategia di successo, piuttosto che passare da uno all'altro, può dare risultati migliori. I ricercatori lo attribuiscono agli aggressori che migliorano il testo dell'e-mail ad ogni turno.

Gli incentivi hanno un'influenza diretta sulla motivazione, con ricompense ritardate che comportano uno sforzo minore. Le ricompense più facili e più alte sono state ottenute, maggiore è lo sforzo che un utente malintenzionato applica alla progettazione di e-mail persuasive, così come gli individui che hanno ottenuto un punteggio elevato in un test di "creatività". Non c'erano prove che suggerissero, però, che la creatività potrebbe essere utilizzata come predittore del successo del phishing.

"Negli ultimi anni c'è stata una recrudescenza degli attacchi di phishing e il regolare, Gli utenti non esperti di Internet sono solitamente le vittime di questi crimini. Dobbiamo migliorare le attuali pratiche di sicurezza per cambiare la struttura degli incentivi per l'attaccante. Se le ricompense sono superiori ai costi, gli aggressori continueranno a impegnarsi maggiormente nelle campagne di phishing, " afferma il Dr. Rajivan. "Riteniamo che gli aggressori con una maggiore creatività possano essere in grado di modificare e adattare le e-mail per eludere il rilevamento, anche se la loro creatività non può determinare quanto successo ottengono nel convincere l'utente finale a rispondere."

Lui continua, "Il nostro nuovo design sperimentale potrebbe essere utilizzato per crowdsourcing di persone per giocare al nostro gioco, che ci darebbe molte informazioni sui tassi di successo del phishing e su come queste e-mail possono essere adattate, migliorando così il software di rilevamento. Inoltre, potremmo usarlo come strumento di formazione per aiutare le persone a pensare come hacker per rilevare meglio le e-mail di phishing".