E-mail Schemi Pfishing attirano con informazioni personali
Una nuova ricerca rileva che le truffe di phishing tramite e-mail contengono informazioni personali presentate in un modo che provoca una risposta.
Nel primo studio di questo tipo, i ricercatori dell'Università di Buffalo hanno trovato prove che l'incredibile diffusione di schemi di posta elettronica è il risultato della loro capacità di fare appello alle vittime.
Lo studio, "Esaminare l'impatto della presenza sulla vittimizzazione individuale del phishing", è stato presentato alla 48a Conferenza internazionale delle Hawaii sulle scienze dei sistemi, tenutasi presso l'Università delle Hawaii.
Arun Vishwanath, professore di comunicazione presso l'Università di Buffalo e coautore dello studio, afferma che le e-mail "ricche di informazioni" includono grafica, loghi e altri indicatori del marchio che comunicano l'autenticità.
“Inoltre”, dice, “il testo è accuratamente incorniciato per sembrare personale, arrestare l'attenzione e invocare la paura. Spesso includerà una scadenza per la risposta per la quale il destinatario deve utilizzare un collegamento a un sito Web di "risposta" falsa. Tali siti, impostati dal phisher, possono installare spyware che estrae dati dal computer della vittima per nomi utente, password, rubriche e informazioni sulla carta di credito.
"Abbiamo scoperto che queste esche ricche di informazioni hanno successo perché sono in grado di provocare nella vittima una sensazione di presenza sociale, che è la sensazione che corrispondano a una persona reale", dice Vishwanath.
"La" presenza "fa sembrare un messaggio più personale, riduce la sfiducia e provoca anche l'elaborazione euristica, caratterizzata da una minore cura nel valutarlo e nel rispondere ad esso", afferma. “In queste circostanze, abbiamo scoperto che se il messaggio richiede informazioni personali, è più probabile che le persone le consegnino, spesso molto rapidamente.
"In questo studio", afferma, "un messaggio di phishing così ricco di informazioni ha innescato un tasso di vittimizzazione del 68% tra i partecipanti.
"Questi sono risultati significativi che indicano l'importanza di sviluppare interventi anti-phishing che istruiscano le persone sulla minaccia rappresentata dalla ricchezza e dai segnali di presenza nelle e-mail", spiega.
I ricercatori hanno studiato 125 studenti universitari universitari a cui è stata inviata un'email sperimentale di phishing da un account Gmail preparato per essere utilizzato nello studio. Il messaggio utilizzava un indirizzo per le risposte e l'indirizzo del mittente, che includevano entrambi il nome dell'università.
L'e-mail è stata incorniciata per enfatizzare l'urgenza e invocare la paura. Ha affermato che si è verificato un errore nelle impostazioni dell'account di posta elettronica degli studenti dei destinatari che richiedeva loro di utilizzare un collegamento allegato per accedere alle impostazioni dell'account e risolvere il problema.
Hanno dovuto farlo entro un breve periodo di tempo, è stato detto loro, altrimenti non avrebbero più avuto accesso all'account. In una vera spedizione di phishing, il link allegato li reindirizzerebbe a un account / sito di phishing esterno che raccoglierebbe le informazioni personali dell'intervistato.
Vishwanath afferma che 49 partecipanti hanno risposto immediatamente alla richiesta di phishing e altri 36 hanno risposto dopo un promemoria.
Gli intervistati hanno quindi completato una scala a cinque punti che misurava il loro uso dell'elaborazione delle informazioni sistemiche (pensiero critico) ed euristico nel decidere cosa fare con l'e-mail. Quando sono state prese in considerazione alcune altre variabili, l'attacco di phishing ha avuto una percentuale di successo complessiva del 68%.
"Con la posta elettronica che diventa il modo dominante di comunicare in tutto il mondo", afferma Vishwanath, "si prevede che la tendenza al phishing aumenterà man mano che la tecnologia diventa più avanzata e i phisher trovano nuovi modi per fare appello alle loro vittime.
"Sebbene questi criminali non possano essere facilmente fermati, capire cosa ci rende più suscettibili a questi attacchi è un progresso fondamentale nella protezione degli utenti di Internet in tutto il mondo".
Fonte: University of Buffalo