.
Os trabalhadores que sentem uma forma específica de estresse são mais propensos do que outros a se tornarem vítimas de um ataque de phishing, de acordo com um estudo do Laboratório Nacional do Pacífico Noroeste do Departamento de Energia.
Embora a maioria – se não todos – sinta estresse no local de trabalho, os cientistas identificaram uma forma específica de estresse que indica quem é mais vulnerável a clicar em conteúdo falso que pode levar a malware e outros males cibernéticos. O trabalho pode ajudar os trabalhadores e seus empregadores a aumentar suas defesas de segurança cibernética, reconhecendo os sinais de alerta quando alguém está prestes a fazer um clique arriscado.
Os resultados da equipe de um estudo com 153 participantes foram publicados recentemente no Jornal da Guerra da Informação. Os pesquisadores observaram que, embora o tamanho relativamente pequeno da amostra limitasse sua capacidade de identificar todas as relações entre mais de duas dúzias de variáveis estudadas, a relação entre estresse e resposta ao e-mail de phishing simulado foi estatisticamente significativa.
Os custos dos ataques de phishing são enormes. Uma análise patrocinada pela Proofpoint e conduzida pelo Ponemon Institute estima que grandes empresas dos EUA perderam, em média, US$ 14,8 milhões cada para fraudadores por meio de phishing apenas em 2021.
As defesas incluem não apenas uma tecnologia melhor, mas também uma melhor conscientização por possíveis vítimas.
“O primeiro passo para nos defender é entender a complexa constelação de variáveis que tornam uma pessoa suscetível ao phishing”, diz o psicólogo do PNNL Corey Fallon, autor correspondente do estudo. “Precisamos identificar os fatores que tornam as pessoas mais ou menos propensas a clicar em uma mensagem duvidosa”.
Em seu estudo, Fallon e seus colegas descobriram que as pessoas que relataram um alto nível de sofrimento relacionado ao trabalho eram significativamente mais propensas a seguir o link de um e-mail de phishing falso. Cada aumento de um ponto no sofrimento auto-relatado aumentou a probabilidade de responder ao e-mail de phishing simulado em 15%.
Os cientistas descrevem o sofrimento como um sentimento de tensão quando alguém no trabalho sente que está em uma situação difícil e incapaz de realizar a tarefa em questão. A angústia pode resultar de sentir que sua carga de trabalho é muito alta, ou eles podem estar questionando se têm treinamento adequado ou tempo para realizar seu trabalho.
Fancy phish para explorar a psicologia do phishing
Os 153 participantes concordaram em participar de um estudo, mas não sabiam que o e-mail de phishing enviado algumas semanas depois fazia parte do estudo planejado sobre a pesquisa de fatores humanos.
No que diz respeito aos phishes, este foi um phishing sofisticado. Não houve menção a uma grande soma de dinheiro de um príncipe africano, por exemplo, e não houve erros de ortografia ou erros gramaticais grosseiros.
“Eram e-mails bem elaborados, deliberadamente projetados para enganar as pessoas e adaptados à organização”, disse Jessica Baweja, psicóloga e autora do estudo. “Era muito mais difícil de detectar do que o phish comum.”
Cada participante recebeu uma das quatro versões diferentes de uma mensagem sobre um suposto novo código de vestimenta a ser implementado em sua organização. A equipe testou três táticas comuns de phishing separadamente e juntas. Aqui está o que eles encontraram:
- Urgência. 49% dos destinatários clicaram nos links. Exemplo de texto: “Esta política entrará em vigor 3 dias após o recebimento deste aviso… reconheça as alterações imediatamente.”
- Ameaça. 47% clicaram. “…obedeça a esta mudança no código de vestimenta ou você estará sujeito a ação disciplinar.”
- Autoridade. 38% clicaram. “De acordo com o Gabinete do Conselho Geral…”
- As três táticas juntas: 31% clicaram.
Embora a equipe esperasse que mais táticas usadas em conjunto resultariam em mais pessoas clicando na mensagem, esse não foi o caso.
“É possível que quanto mais táticas fossem usadas, mais óbvia seria uma mensagem de phishing”, disse o autor Dustin Arendt, um cientista de dados. “As táticas devem ser convincentes, mas há um meio-termo. Se forem usadas táticas demais, pode ser óbvio que você está sendo manipulado.”
Nas operações do dia-a-dia, o PNNL testa periodicamente sua equipe com falsos e-mails de phishing. Normalmente, apenas 1% dos destinatários clicarão. Muito mais funcionários identificam o phishing desde o início e fornecem alertas de crowdsourcing para os especialistas em segurança cibernética do Laboratório, disse Joseph Higbee, diretor de segurança da informação do PNNL. Quando um e-mail de phishing real é detectado, o Laboratório limpa o sistema de todas as instâncias do e-mail imediatamente. A informação é freqüentemente compartilhada com outros laboratórios do DOE.
Associação homem-máquina para reduzir cíber segurança risco
Como empresas e funcionários podem usar esses dados para reduzir o risco?
“Uma opção é ajudar as pessoas a reconhecer quando estão se sentindo angustiadas”, disse Fallon, “para que possam ser mais conscientes e cautelosas quando estiverem especialmente vulneráveis”.
No futuro, uma opção pode ser o agrupamento homem-máquina. Se um algoritmo notar uma mudança em um padrão de trabalho que possa indicar fadiga ou desatenção, um assistente de máquina inteligente pode sugerir uma pausa no e-mail. Alertas automatizados estão se tornando mais comuns, por exemplo, quando um motorista derrapa inesperadamente e o carro emite um aviso de fadiga. Os pesquisadores observaram que os benefícios potenciais da entrada de um assistente de máquina precisariam ser pesados em relação às preocupações com a privacidade dos funcionários.
“Pode ser difícil ver o e-mail como uma ameaça”, disse Baweja. “Nossos cérebros antigos não estão programados para equiparar e-mail com coisas assustadoras. Você está trabalhando com e-mails o dia todo e é uma rotina; há poucos motivos para pensar que eles podem prejudicar você ou nossa organização.
“As organizações precisam pensar em como encorajar as pessoas a fazerem boas escolhas. As pessoas superestimam sua capacidade de detectar e-mails de phishing”, acrescentou.
Os pesquisadores do PNNL continuam o trabalho, mas com uma reviravolta. Em vez de perguntar o que torna as pessoas mais vulneráveis ao phishing, eles conduzirão um pequeno estudo com pessoas que resistiram à isca, para aprender mais sobre suas características e estado de espírito ao monitorar seus e-mails.
O trabalho faz parte de um programa mais amplo de equipe humano-máquina e pesquisa de fatores humanos no PNNL, que recentemente sediou um Simpósio sobre Fatores Humanos.
O trabalho foi financiado pela Agência de Segurança Cibernética e Infraestrutura, parte do Departamento de Segurança Interna. Além de Arendt, Baweja e Fallon, os autores incluem Ji Young Yun e Nick Thompson do PNNL e Zhuanyi Shaw, ex-PNNL.
.
