Le persone potrebbero non essere così esperte di cyber come credono di essere quando si tratta di identificare le truffe di phishing via e-mail, secondo i ricercatori S&T del Missouri. Ma i datori di lavoro possono trarre vantaggio dall'insegnare ai dipendenti come individuare il phishing inviando loro regolarmente e-mail di phishing false.

Il phishing è un metodo per raccogliere informazioni personali, coordinate bancarie e carte di credito, e password tramite link nei messaggi, che in superficie, sembrano legittimi.

"Dovresti essere piuttosto sospettoso in generale con le e-mail, "dice il dottor Casey Canfield, Missouri S&T assistant professor di ingegneria gestionale e ingegneria dei sistemi. "Le persone tendevano decisamente a essere troppo sicure della loro capacità di individuare le e-mail di phishing".

L'ultimo studio di Canfield, pubblicato ad accesso libero questo mese sulla rivista Metacognizione e apprendimento , ha esaminato le metriche di metacognizione relative al phishing o alla comprensione da parte degli individui della loro capacità di rilevare le e-mail di phishing. Canfield ha lavorato con i colleghi della Carnegie Mellon University Baruch Fischhoff e Ales Davis allo studio, che ha misurato la corrispondenza con la realtà della fiducia delle persone nella loro capacità di rilevare il phishing.

I partecipanti allo studio hanno visualizzato una serie di e-mail legittime e di phishing e hanno risposto alle domande per determinare se potevano identificare i due tipi. I ricercatori hanno quindi chiesto quanto fossero sicuri della loro risposta, e quanto sarebbero negative le conseguenze se perdessero un'e-mail di phishing.

I ricercatori hanno scoperto che quando le persone erano sicure al 90-99% di aver identificato correttamente un'e-mail come phishing o legittima, hanno identificato correttamente le e-mail di phishing solo circa il 56% delle volte.

Canfield ha poi portato la ricerca a un ulteriore passo avanti confrontando le loro risposte con ciò che stava effettivamente accadendo sui loro computer di casa. I ricercatori hanno utilizzato i dati del Security Behavior Observatory presso Carnegie Mellon, uno studio a lungo termine in cui viene monitorata ogni azione sul computer di un volontario. Utilizzando gli stessi partecipanti allo studio, Canfield ha trovato una correlazione interessante.

"Sorprendentemente, abbiamo visto che le persone con una migliore metacognizione tendevano a essere più brave a proteggersi, " dice Canfield. "Avevano meno file dannosi sui loro computer. Il mio precedente studio sulle metriche delle prestazioni era inconcludente".

Canfield suggerisce che aumentare artificialmente il numero di e-mail di phishing ricevute dalle persone potrebbe potenzialmente migliorare la loro capacità di distinguere le truffe dai messaggi legittimi.

"Una delle sfide con le e-mail di phishing è che non ricevi necessariamente un feedback sul fatto che tu abbia preso o meno la decisione giusta, " dice Canfield. "Potresti avere file dannosi sul tuo computer, ma potresti non saperlo mai. Potresti essere solo un portale per qualche altro obiettivo. Senza quel feedback, è davvero difficile per le persone capire se sono brave a rilevare le email di phishing."

Ecco perché Canfield suggerisce che un programma di formazione in cui i datori di lavoro inviano false e-mail di phishing potrebbe essere utile.

"È un'opportunità per le persone di ottenere feedback su come stanno andando, " dice. "Con la falsa email di phishing, fai clic su di esso e vieni inviato a una pagina che ti dice che hai fatto clic su un'e-mail di phishing. Con email legittime, ottieni quel ciclo di feedback. Invii un'email a qualcuno, e ti rispondono via email. Hai una conversazione con qualcuno."

Canfield afferma che sono necessarie ulteriori ricerche sull'argomento, ma la sua ricerca sosterrebbe tali interventi del datore di lavoro.