Психология фишинга: эффект распространенности

Ученые пытаются понять причины эффективности уловок киберпреступников

Ученые пытаются понять причины эффективности уловок киберпреступников

Киберпреступники уже достаточно давно используют в своих схемах знание психологии. Однако она же может объяснить, почему те или иные методы злоумышленников срабатывают, а самое главное — какую стратегию защиты выбрать. Многие психологи анализируют схемы атак и причины их эффективности. Сегодня мы расскажем о гипотезе, пытающейся объяснить, почему при всей эффективности антифишинговых технологий письма-ловушки все равно порой могут причинять значительный ущерб. А главное — что с этим делать.

Организация мер по защите от спама и фишинга — пожалуй, одна из самых нужных для большинства компаний. При расследовании киберинцидентов наши эксперты чаще всего обнаруживают, что проблемы начались именно с письма — как в случае массовых рассылок, так и при целевых атаках. Сейчас почтовые фильтры умеют достаточно точно выявлять типичные фишинговые письма. Но порой злоумышленникам удается прорваться и доставить послание человеку — самому слабому звену в цепи защиты (например, захватив реальный почтовый ящик партнера). И вот тут оказывается, что чем эффективнее фильтры, то есть чем реже человек встречается с фишингом, тем выше у прорвавшегося письма шансы на успех.

Эксперимент психологов

О прямой зависимости между частотой встреч пользователя с вредоносными письмами и их успешным распознаванием задумались два американских исследователя — Бен Д. Сойер из Массачусетского технологического института и Питер Хэнкок из Университета Центральной Флориды. Они опирались на давно известный в психологии эффект распространенности. Его суть заключается в том, что человек скорее пропустит (или не выявит) сигнал, если тот менее распространен, чем сигнал, который встречается часто.

Исследовали решили проверить свою теорию на практике и провели эксперимент, в ходе которого участникам присылали письма, часть из которых содержала вредоносные вложения. Опасные письма встречались подопытным с разной вероятностью — у кого-то всего 1% посланий имел вредонос во вложении, у кого-то — 5%, а у кого-то — 20%. В результате исследователи подтвердили свою гипотезу и выяснили, что чем реже встречается угроза, тем сложнее ее распознать.

Следует отметить, что экспериментаторы работали с достаточно небольшой выборкой — 33 испытуемых. Кроме того, все участники были студентами, поэтому слепо верить выкладкам ученых преждевременно. Однако в психологии эффект распространенности считается доказанным, так почему бы ему не работать и в отношении фишинговых писем? В любом случае авторы обещают доработать гипотезу.

Возможное объяснение феномена, от которого отталкиваются исследователи, — это усиление доверия к безопасной системе. Получается, что работа антифишинговых технологий с одной стороны ограждает пользователя от опасностей, а с другой — усыпляет его бдительность. Сами исследователи, кстати, говорят, что злоумышленники могут знать об этом эффекте и потому специально присылать вредоносы пореже.

Практические выводы

Как вы наверняка догадываетесь, мы не призываем отказываться от автоматизированных защитных систем. Однако если гипотеза Сойера и Хэнкока верна, то пользователям, возможно, иногда полезно сталкиваться с фишинговыми письмами. Разумеется, не настоящими.

Kaspersky Automated Security Awareness Platform, наше решение для обучения сотрудников компаний любого размера навыкам кибербезопасности, позволяет периодически проверять, как студенты усваивают материал. В ходе этих проверок обучающиеся получают прививку фишинговых писем и должны верно на них отреагировать. Это поможет держать сотрудников в тонусе, чтобы они не забывали, как выглядят опасные сообщения.

Не повредят такие письма и в том случае, если гипотеза американских ученых несостоятельна. По крайней мере человек, руководящий обучением, узнает, кто слабое звено.

Советы