Forskning viser, at folk er oversikre på at identificere phishing-e-mails

Folk er måske ikke så cyberkyndige, som de tror, ​​de er, når det kommer til at identificere e-mail-phishing-svindel, ifølge Missouri S&T-forskere. Men arbejdsgivere kan have gavn af at lære medarbejderne, hvordan de spotter phishing, ved regelmæssigt at sende dem falske phishing-e-mails.

Phishing er en metode til at indsamle personlige oplysninger, bank- og kreditkortoplysninger, og adgangskoder via links i beskeder, at på overfladen, synes at være legitim.

"Du burde bare være ret mistænksom generelt med e-mail, " siger Dr. Casey Canfield, Missouri S&T assisterende professor i ingeniørledelse og systemteknik. "Folk havde bestemt en tendens til at være oversikre i deres evne til at se phishing-e-mails."

Canfields seneste undersøgelse, offentliggjort med åben adgang i denne måned i tidsskriftet Metakognition og læring , undersøgt metakognitionsmålinger omkring phishing – eller enkeltpersoners forståelse af deres evne til at opdage phishing-e-mails. Canfield arbejdede sammen med Carnegie Mellon University-kollegaerne Baruch Fischhoff og Ales Davis om undersøgelsen, som målte, hvor godt folks tillid til deres evne til at opdage phishing stemte overens med virkeligheden.

Undersøgelsesdeltagere så en række legitime og phishing-e-mails og besvarede spørgsmål for at afgøre, om de kunne identificere de to typer. Forskere spurgte derefter, hvor sikre de var i forhold til deres svar, og hvor negative konsekvenserne ville være, hvis de gik glip af en phishing-e-mail.

Forskerne fandt ud af, at når folk var 90-99 % sikre på, at de korrekt havde identificeret en e-mail som enten phishing eller legitim, de identificerede kun phishing-e-mails korrekt omkring 56 % af tiden.

Canfield tog derefter forskningen et skridt videre ved at sammenligne deres svar med, hvad der faktisk skete på deres hjemmecomputere. Forskerne brugte data fra Security Behavior Observatory ved Carnegie Mellon - en langsigtet undersøgelse, hvor hver handling på en frivilligs computer overvåges. Ved at bruge de samme undersøgelsesdeltagere, Canfield fandt en interessant sammenhæng.

"Overraskende nok, vi så, at mennesker med bedre metakognition havde en tendens til at være bedre til at beskytte sig selv, " siger Canfield. "De havde færre ondsindede filer på deres computere. Mit tidligere studie, der kiggede på præstationsmålinger, var ikke entydigt."

Canfield foreslår, at en kunstig forøgelse af antallet af phishing-e-mails, som folk modtog, potentielt kunne forbedre deres evne til at skelne svindel fra legitime beskeder.

"En af udfordringerne med phishing-e-mails er, at du ikke nødvendigvis får feedback på, om du har truffet den rigtige beslutning eller ej, " siger Canfield. "Du kan have ondsindede filer på din computer, men du ved måske aldrig. Du er måske bare en portal til et andet mål. Uden den feedback, det er virkelig svært for folk at finde ud af, om de er gode til at opdage phishing-e-mails."

Det er derfor, Canfield foreslår, at et træningsprogram, hvor arbejdsgivere sender falske phishing-e-mails, kunne være gavnligt.

"Det er som en mulighed for folk at få feedback på, hvordan de har det, " siger hun. "Med den falske phishing-e-mail, du klikker på den og bliver sendt til en side, der fortæller dig, at du har klikket på en phishing-e-mail. Med legitime e-mails, du får den feedback loop. Du mailer til nogen, og de e-mailer dig tilbage. Du har en samtale med nogen."

Canfield siger, at der er behov for yderligere forskning i emnet, men hendes forskning ville understøtte sådanne arbejdsgiverinterventioner.