«Мы находим, что определенные стратегии фишинга, такие как использование авторитетного тона, выражая разделенный интерес и посылая уведомления, более вероятно, достигнут цели», говорит доктор Прэшэнт Рэдживэн, ведущий автор исследования и базирующийся в Университете Карнеги-Меллон, Пенсильвания, США.Фишинг – стандартная форма кибератаки. Преступники исполняют роль заслуживающего доверия третьего лица, чтобы убедить людей посетить мошеннические веб-сайты или загрузить злонамеренные приложения с намерением заключения компромисса их безопасности. В то время как исследование в основном сосредоточилось на жертвах этих преступлений, это новое исследование смотрит на критический аспект фишинга: поведение и стратегии нападавшего.
«Мы создали подобный игре эксперимент, чтобы оценить, как хорошо различные стратегии работают, и понять, как стимулы и показатели успешности или креативность человека, могут затронуть мотивацию», объясняет доктор Рэдживэн.В эксперименте человеческие участники играют роль нападавшего фишинга и накапливают пункты, по поворотам числа, для того, чтобы успешно обмануть других людей, которые являются ‘конечным пользователем’, выполняющим почтовую задачу управления. Игра была тщательно построена, чтобы обучить и вознаградить людей в производство электронных писем фишинга, которые используют различные стратегии и темы.Стратегии, которые, менее вероятно, будут следовать за включенными ‘предлагающими сделками’, ‘продавая незаконные материалы’ и ‘используя положительный тон’.
«Люди могут быть менее восприимчивыми к стратегиям, связанным с жульничествами, которые работавший десятилетие назад», объясняет доктор Рэдживэн. «Более успешные стратегии сегодня ‘послали бы уведомления’, ‘использование авторитетного тона’, ‘использовав в своих интересах доверие, исполнив роль друга или выразив разделенный интерес’, и ‘сообщив неудачу’».Повторный дизайн игры позволил исследователям оценивать тактику нападавшего со временем.
Это показало, что настойчивость с успешной стратегией, вместо того, чтобы переключиться от одного до другого, может привести к лучшим результатам. Исследователи приписывают это нападавшим, улучшающим почтовый текст в каждом повороте.
Стимулы имели непосредственное влияние на мотивацию с задержанными вознаграждениями, приводящими к меньшему усилию. Чем легче и раньше высокие вознаграждения были получены, тем больше усилия, нападавший обратился к проектированию убедительных электронных писем, также, как и люди, которые выиграли высоко в тесте ‘на креативность’. Не было никаких доказательств, чтобы предположить, однако, что креативность могла использоваться в качестве предсказателя успеха фишинга.
«Был всплеск в нападениях фишинга в последние годы, и постоянные, пользователи неспециалиста Интернета обычно – жертвы этих преступлений. Мы должны улучшить текущие методы безопасности, чтобы изменить побудительную структуру для нападавшего. Если вознаграждения будут больше, чем затраты, нападавшие продолжат проявлять больше усилия в кампании фишинга», говорит доктор Рэдживэн. «Мы думаем, что нападавшие с более высокой креативностью могут быть способны к изменению и адаптации электронных писем, чтобы уклониться от обнаружения, даже при том, что их креативность не может определить, какого количества успеха они добиваются в том, чтобы заставлять конечного пользователя ответить».Он продолжает, «Наш новый экспериментальный план мог привыкнуть к crowdsource людям, чтобы играть в нашу игру, которая даст нам большую информацию о показателях успешности фишинга и как эти электронные письма могут быть адаптированы, таким образом улучшив программу обнаружения.
Кроме того, мы могли использовать его в качестве учебного инструмента, чтобы помочь людям думать как хакеры, чтобы лучше обнаружить электронные письма фишинга».