Phishing-succes knyttet til incitamenter og fastholdelse af en effektiv strategi

Ikke alle phishing-kampagner virker, men når en angriber fortsætter med en strategi, der gør, er det nøglen til deres succes. Det er resultatet af en ny undersøgelse, der fokuserer på angriberen, et stort set ignoreret, men afgørende aspekt af phishing. Ud over at identificere succesfulde strategier, det afslører også, at angribere er motiveret af hurtigere og større belønninger – med kreative individer, der lægger en større indsats i at konstruere disse ondsindede e-mails. Indsigt fra undersøgelsen, udgivet i dag i open-access tidsskrift Grænser i psykologi , kan bruges til at udvikle værktøjer og træningsprocedurer til at opdage phishing-e-mails.

"Vi finder specifikke phishing-strategier, såsom brugen af ​​autoritativ tone, at udtrykke fælles interesse og sende meddelelser, er mere tilbøjelige til at lykkes, " siger Dr. Prashanth Rajivan, hovedforfatter af undersøgelsen og baseret på Carnegie Mellon University, Pennsylvania, USA.

Phishing er en almindelig form for cyberangreb. Kriminelle udgiver sig for at være en troværdig tredjepart for at overtale folk til at besøge svigagtige websteder eller downloade ondsindede vedhæftede filer, med den hensigt at kompromittere deres sikkerhed. Mens forskning i høj grad har fokuseret på ofrene for disse forbrydelser, denne nye undersøgelse ser på et kritisk aspekt af phishing:angriberens adfærd og strategier.

"Vi lavede et spillignende eksperiment for at vurdere, hvor godt forskellige strategier virker, og for at forstå, hvordan incitamenter og succesrater, eller en persons kreativitet, kan påvirke motivationen, " forklarer Dr. Rajivan.

I forsøget menneskelige deltagere spiller rollen som en phishing-angriber og samler point, over et antal omgange, for succesfuldt at bedrage andre mennesker, der er 'slutbrugeren', der udfører en e-mail-administrationsopgave. Spillet blev omhyggeligt konstrueret til at træne og belønne folk til at producere phishing-e-mails, der anvender forskellige strategier og emner.

Strategier, der var mindre tilbøjelige til at lykkes, omfattede "at tilbyde tilbud, ' 'sælge ulovlige materialer' og 'ved at bruge en positiv tone'.

"Folk kan være mindre modtagelige for strategier forbundet med svindel, der virkede for ti år siden, " forklarer Dr. Rajivan. "Flere succesrige strategier i dag ville være at sende meddelelser, ' 'brug af autoritativ tone, ' 'at drage fordel af tillid ved at efterligne en ven eller udtrykke fælles interesse, ' og 'kommunikationsfejl'."

Det gentagne design af spillet gjorde det muligt for forskerne at vurdere angriberens taktik over tid. Dette afslørede, at vedholdenhed med en succesfuld strategi, i stedet for at skifte fra den ene til den anden, kan give bedre resultater. Forskerne tilskriver dette, at angriberne forbedrede e-mail-teksten hver gang.

Incitamenter havde en direkte indflydelse på motivation, med forsinkede belønninger, hvilket resulterer i mindre indsats. Jo lettere og hurtigere høje belønninger blev opnået, jo mere indsats en angriber gjorde for at designe overbevisende e-mails, det samme gjorde personer, der scorede højt i en 'kreativitetstest'. Der var ingen beviser, der tydede på, imidlertid, at kreativitet kunne bruges som en forudsigelse for phishingsucces.

"Der har været en genopblussen af ​​phishing-angreb i de seneste år, og de regelmæssige, ikke-ekspertbrugere af internettet er normalt ofre for disse forbrydelser. Vi er nødt til at forbedre den nuværende sikkerhedspraksis for at ændre incitamentsstrukturen for angriberen. Hvis belønningen er større end omkostningerne, angribere vil fortsætte med at anstrenge sig mere i phishing-kampagner, " siger Dr. Rajivan. "Vi tror, ​​at angribere med højere kreativitet kan være i stand til at ændre og tilpasse e-mails for at undgå opdagelse, selvom deres kreativitet ikke kan bestemme, hvor stor succes de opnår med at få slutbrugeren til at reagere."

Han fortsætter, "Vores nye eksperimentelle design kunne bruges til at crowdsource folk til at spille vores spil, som ville give os masser af information om succesrater for phishing og hvordan disse e-mails kan tilpasses, derved forbedre detektionssoftwaren. Ud over, vi kunne bruge det som et træningsværktøj til at hjælpe folk med at tænke som hackere for bedre at kunne opdage phishing-e-mails."