อย่าคลิกลิงก์นั้น!

ในตอนนี้ผู้ใช้อินเทอร์เน็ตทุกคนได้รับการบอกกล่าวซ้ำ ๆ ว่าการคลิกลิงก์ในข้อความอีเมลเป็นความคิดที่ไม่ถูกต้องนักต้มตุ๋นและโจรได้เลิกส่งข้อความเหล่านั้นเพราะพวกเขาไม่ทำงานอีกต่อไป ขวา? ไม่เลย ข้อความหลอกลวงที่เชื่อมโยงไปยังเว็บไซต์ที่เป็นอันตรายนั้นมีมากมายเช่นเคยและเป็นความผิดของคุณ ทำไมคุณถึงคลิกลิงค์เหล่านั้น ดร. Zinaida Benenson จากมหาวิทยาลัย Erlangen-Nuremberg ตัดสินใจที่จะค้นพบและเปิดเผยการค้นพบของเธอในการประชุม Black Hat ในลาสเวกัส ผลลัพธ์ไม่ได้กระตุ้น

“ เมื่อเราเริ่มคิดเกี่ยวกับการวิจัยในพื้นที่นี้เราถามว่าเรายังไม่รู้อะไรเลย” เบ็นสันกล่าว "มีความแตกต่างหรือไม่หากคุณส่งข้อความที่น่าสงสัยผ่านทางอีเมลหรือ Facebook เราต้องการถามผู้คนว่าทำไมพวกเขาถึงคลิกลิงค์หรือไม่เพื่อทราบเหตุผลว่าทำไมพวกเขาถึงตัดสินใจด้านความปลอดภัย"

ในการประชุม Black Hat เมื่อปีที่แล้วลอร่าเบลล์นักวิจัยเสนอว่าแทนที่จะสแกนคอมพิวเตอร์เพื่อความปลอดภัยเราสแกนผู้ใช้ เบ็นสันใช้น้ำเสียงที่ระมัดระวังมากขึ้น เธอพูดถึงปัญหาในการทดสอบผู้คนโดยไม่ได้รับความยินยอม "บางครั้งสิ่งนี้เกิดขึ้นในองค์กร" เธอพูด "และมันอาจผิดไปมาก แต่เราไม่สามารถพูดได้เฮ้เราจะส่งข้อความฟิชชิ่งถึงคุณ ."

เบ็นสันมีอาสาสมัครนักเรียนสำหรับการศึกษาเกี่ยวกับ "กิจกรรมออนไลน์" โดยสัญญาว่าผู้เข้าร่วมบางรายจะได้รับบัตรของขวัญ เธอใช้อีเมลและ Facebook เพื่อส่งข้อความถึงนักศึกษาที่มีลิงค์ไปยัง "ภาพจากปาร์ตี้เมื่อสัปดาห์ที่แล้ว 1, 600 คน" ผู้ที่คลิกลิงค์จะไม่ได้เห็นภาพที่มีชีวิตชีวา พวกเขาได้รับข้อความ "การเข้าถึงถูกปฏิเสธ" การทดลองของเบเรนสันบันทึกไว้ว่าใครเป็นคนกลเม็ด

ปรากฎว่าการใช้ชื่อของคุณเป็นวิธีที่ดีในการโน้มน้าวใจผู้รับว่าข้อความนั้นถูกต้อง ผู้รับอีเมลมากกว่าครึ่ง (56 เปอร์เซ็นต์) และ 38 เปอร์เซ็นต์ของผู้ที่ได้รับข้อความ Facebook คลิกลิงค์เมื่อข้อความส่งถึงพวกเขาด้วยชื่อ หากไม่มีชื่อแรกมีเพียง 20 เปอร์เซ็นต์เท่านั้นที่ได้รับข้อความทางอีเมลและ 42.5 เปอร์เซ็นต์ของผู้ใช้ Facebook ก็ตกเป็นเหยื่อ

ง่ายที่จะโง่

สถิติที่น่าสนใจจริง ๆ เกิดขึ้นเมื่อเบ็นสันถามคนคลิกเกี่ยวกับแรงกระตุ้นที่ทำให้พวกเขาต้องคลิกที่ลิงค์ที่อันตราย เหตุผลที่ดีที่สุดที่นำเสนอโดยร้อยละ 34 ของผู้ตอบแบบสอบถามเป็นความอยากรู้เกี่ยวกับเนื้อหาของภาพถ่าย อีกร้อยละ 27 เชื่อถือข้อความเพราะตรงกับประสบการณ์ของพวกเขาเมื่อเร็ว ๆ นี้พวกเขาได้เข้าร่วมงานปาร์ตี้ แม้ว่าข้อความนั้นมาจากชื่อที่แต่งขึ้น แต่ร้อยละ 16 คิดว่าเป็นคนที่พวกเขารู้จัก ในทางกลับกัน 51 เปอร์เซ็นต์ของผู้ที่งดการคลิกทำเช่นนั้นเพราะพวกเขาไม่รู้จักผู้ส่งและ 36 เปอร์เซ็นต์เพราะพวกเขาไม่เคยไปปาร์ตี้เลย

จากผลลัพธ์เหล่านี้เบ็นสันสรุปว่าใครก็ตามสามารถคลิกลิงค์อันตรายโดยใช้หนึ่งในหลายเทคนิค การกล่าวถึงเหยื่อโดยใช้ชื่อประดิษฐ์ข้อความเพื่อชักนำให้เกิดความอยากรู้อยากเห็นแกล้งผู้ส่งที่รู้จักรู้จักจับคู่เนื้อหาข้อความกับประสบการณ์ล่าสุดของเหยื่อ - นี่คือเทคนิคที่ทดลองและเป็นจริง

บอร์นเจมส์บอนด์

ธุรกิจต้องการอะไรจากการฝึกอบรมการรับรู้? “ ถ้าเราต้องการให้พวกเขาปกป้องตนเอง” Berenson กล่าว“ พวกเขาต้องสงสัยแม้ว่าพวกเขาจะรู้จักผู้ส่งถึงแม้ว่าข้อความนั้นจะตรงกับความคาดหวังของคุณในปัจจุบันก็ตามพวกเขาจะต้องสงสัยทุกอย่าง! นักจิตวิทยาเรียกโหมดการหลอกลวงนี้ ดูข้อความคาดหวังว่ามันอาจเป็นของปลอม " เธอพูดถึงพนักงานคนหนึ่งที่สามารถทำงานในโหมดหลอกลวงได้ตลอดเวลา เจมส์บอนด์.

“ ถ้าเราต้องการให้พนักงานอยู่ในโหมดเจมส์บอนด์ตลอดเวลา” เธอพูดต่อ“ เป็นไปได้ แต่คุณต้องใส่มันไว้ในรายละเอียดงานและคุณต้องจ่ายให้เหมาะสม” เธอรายงานถึงความพยายามของตัวเองที่จะรักษาโหมดการหลอกลวงในการกระทำของตัวเองตลอดเวลาพร้อมตัวอย่างที่น่าขบขัน

เบ็นสันกล่าวต่อไปว่าการฝึกอบรมการรับรู้เรื่องฟิชชิ่งในธุรกิจสามารถย้อนกลับมาได้ การส่งอีเมลอีเมลหลอกลวงจากพนักงานที่อ้างว่าเป็นเพื่อนร่วมงานสามารถลดประสิทธิภาพในการทำงานโดยทำให้พนักงานไม่ไว้ใจแม้แต่จดหมายที่ถูกต้อง เธอสรุปด้วยคำขอธุรกิจที่ยินดีจะมีส่วนร่วมในการวิจัยเพิ่มเติมของเธอ

แล้วผู้ใช้ตามบ้านล่ะ? คุณ (หรือลูก ๆ ของคุณ) จะคลิกลิงก์ผิดไม่ช้าก็เร็ว คุณควรตรวจสอบให้แน่ใจว่าโซลูชันป้องกันไวรัสหรือชุดความปลอดภัยของคุณมีการป้องกัน URL ที่โฮสต์มัลแวร์อย่างมีประสิทธิภาพ ในการทดสอบด้วยตนเองของฉัน Avira Antivirus Pro 2016, McAfee AntiVirus Plus (2016) และ Symantec Norton Security Premium พิสูจน์แล้วว่ามีประสิทธิภาพเป็นพิเศษ