Cyberprzestępcy od dawna wykorzystują psychologię jako narzędzie oszustwa. Dziś postanowiliśmy omówić pewne zjawisko psychologiczne, dzięki któremu część metod przestępczych nadal działa. Przytoczymy hipotezę, która próbuje wyjaśniać, dlaczego pomimo istnienia skutecznej technologii chroniącej przed phishingiem nadal pojawiają się ofiary fałszywych e-maili. Postaramy się też nakreślić odpowiednią strategię ochrony przed tym zagrożeniem.
Narzędzia zapewniające ochronę przed spamem i phishingiem to kluczowe składniki ochrony, gdy w firmie jest dostępny internet. Podczas analizowania cyberincydentów nasi eksperci zwykle odkrywają, że źródłem problemu była wiadomość e-mail, bez względu na to, czy została ona wysłana masowo, czy w ramach ataku ukierunkowanego. Współczesne filtry poczty potrafią rozpoznać typową wiadomość phishingową z wysokim współczynnikiem prawdopodobieństwa, a mimo to atakujący nadal potrafią się przez nie przedostać (na przykład poprzez przechwycenie skrzynki pocztowej partnera) i dostarczyć wiadomość do ofiary — człowieka, który zawsze stanowi najsłabsze ogniwo. Im skuteczniejsze są filtry, tym większe szanse, że taka wiadomość oszuka również użytkownika.
Eksperyment
Istnienie bezpośredniego związku między częstotliwością otrzymywania szkodliwych wiadomości e-mail a prawidłowym rozpoznaniem ich przez użytkownika było przedmiotem hipotezy, jaką postawiło dwóch amerykańskich badaczy — Ben D. Sawyer z instytutu Massachusetts Institute of Technology i Peter A. Hancock z uczelni University of Central Florida. Swoją teorię oparli oni na znanym od dawna w świecie psychologii efekcie rozpowszechnienia, zgodnie z którym z większym prawdopodobieństwem nie dostrzeżemy sygnału, który jest mniej powszechny, niż sygnału, który pojawia się często.
Badacze postanowili sprawdzić to w praktyce, przeprowadzając eksperyment. Do jego uczestników wysłali wiadomości e-mail, z których część zawierała szkodliwe załączniki. Odsetek szkodliwych wiadomości e-mail był inny dla każdego z uczestników — niektórzy dostali zaledwie 1% szkodliwych programów w załączniku, inni od 5% do 20%. Wynik potwierdził ich założenie, że im rzadziej pojawia się zagrożenie, tym trudniej jest ludziom je dostrzec. Co więcej, zależność ta nie jest nawet liniowa, lecz raczej logarytmiczna.
Należy tu zauważyć, że eksperyment opierał się na dość małej próbie (33 tematy), a wszyscy uczestnicy byli studentami, zatem wyników nie można uznać za pewnik. Skoro w psychologii efekt rozpowszechnienia jest uważany za udowodniony, dlaczego nie możemy zastosować go do wiadomości phishingowych? Sawyer i Hancock obiecali udoskonalić swoją hipotezę, poddając ją bardziej zaawansowanym testom.
Badacze zasugerowali, że być może wyjaśnienie tego zjawiska leży w większym zaufaniu do zabezpieczeń systemu. Zasugerowali oni, że technologie chroniące przed phishingiem usypiają czujność ich użytkowników. Nawiasem mówiąc, badacze postulowali także, że cyberprzestępcy mogą mieć świadomość istnienia takiego efektu, dlatego celowo wysyłają szkodliwe programy rzadziej.
Wnioski
Trudno jest zrezygnować z systemów automatycznie zapewniających ochronę, do czego zresztą nikogo nie namawiamy. Jeśli jednak hipoteza postawiona przez Sawyera i Hancocka jest prawdziwa, użytkownicy mogą odnieść korzyści ze sporadycznego otrzymania wiadomości phishingowej. Oczywiście nie tej prawdziwej.
Kaspersky Automated Security Awareness Platform to nasze rozwiązanie służące do szkolenia pracowników w firmach dowolnych rozmiarów w kwestiach cyberbezpieczeństwa, które umożliwia okresowe sprawdzenie, jak dobrze uczestnicy przyswoili umiejętności. W tym celu otrzymują oni symulowane wiadomości phishingowe i muszą poprawnie na nie zareagować. Pozwala to im zachować czujność, dzięki czemu z pewnością nie zapomną, jak wygląda phishing.
Nawet jeśli teoria nie zostanie ostatecznie potwierdzona, takie e-maile nie zaszkodzą. Ostatecznie menedżer szkolenia będzie wiedzieć, kto jest najsłabszym ogniwem.