Klik niet op die link!

Nu elke internetgebruiker herhaaldelijk is verteld dat klikken op koppelingen in e-mailberichten een slecht idee is, hebben de oplichters en boeven het opgegeven om die berichten te verzenden, omdat ze niet meer werken. Rechtsaf? Welnee. Scam-berichten die linken naar kwaadaardige websites zijn net zo groot als altijd, en het is jouw schuld. Waarom klik je op die links? Dr. Zinaida Benenson, van de Universiteit van Erlangen-Neurenberg, besloot het uit te zoeken en onthulde haar bevindingen op de Black Hat-conferentie in Las Vegas. De resultaten waren niet bemoedigend.

"Toen we begonnen te denken aan onderzoek op dit gebied, vroegen we, wat weten we nog niet?", Zei Benenson. "Is er een verschil als u het verdachte bericht via e-mail of Facebook verzendt? We wilden mensen vragen waarom ze op een link hebben geklikt of niet, om te weten hoe ze redeneren over beveiligingsbeslissingen."

Tijdens de Black Hat-conferentie van vorig jaar stelde onderzoeker Laura Bell voor dat we in plaats van pc's op veiligheid te scannen, de gebruikers scannen. Benenson nam een ​​voorzichtiger toon aan. Ze noemde het probleem van het testen van mensen zonder hun toestemming. "Soms wordt dit gedaan in organisaties, " zei ze, "en het kan helemaal verkeerd gaan. Maar we kunnen niet zeggen, hey, we gaan je een aantal phishing-berichten sturen, dus reageer op de manier die je normaal zou doen."

Benenson zorgde voor vrijwilligers van studenten voor een onderzoek naar 'online activiteit', waarin hij beloofde dat sommige deelnemers cadeaubonnen zouden winnen. Ze gebruikte e-mail en Facebook om 1600 universitaire studenten een bericht te sturen met een link naar 'foto's van het feest vorige week'. Degenen die op de link hebben geklikt, hebben geen pittige foto's te zien gekregen; ze kregen gewoon een bericht "toegang geweigerd". Natuurlijk registreerde het experiment van Berenson precies wie er voor de gok viel.

Het blijkt dat het gebruik van je voornaam een ​​geweldige manier is om de ontvanger ervan te overtuigen dat het bericht legitiem is. Meer dan de helft (56 procent) van de e-mailontvangers en 38 procent van degenen die een Facebook-bericht ontvingen, klikten op de link toen het bericht hen bij naam aansprak. Zonder de voornaam nam slechts 20 procent het bericht per e-mail en 42, 5 procent van de Facebook-gebruikers nam het aas.

Makkelijk voor de gek houden

De echt interessante statistieken kwamen binnen toen Benenson de clickers ondervroeg over welke impuls hen ertoe bracht de gevaarlijke stap te zetten door op de link te klikken. De grootste reden, aangeboden door 34 procent van de respondenten, was nieuwsgierigheid naar de inhoud van de foto's. Nog eens 27 procent vertrouwde het bericht omdat het overeenkwam met hun ervaring, in die zin dat ze onlangs een feest hadden bijgewoond. Hoewel het bericht afkomstig was van een verzonnen naam, dacht 16 procent dat het iemand was die ze kenden. Omgekeerd deed 51 procent van degenen die niet klikten, dit omdat ze de afzender niet herkenden, en 36 procent omdat ze recentelijk bij geen enkele partij waren geweest.

Op basis van deze resultaten concludeerde Benenson dat zowat iedereen kan worden gedwongen om op een gevaarlijke link te klikken met behulp van een van de verschillende technieken. Het slachtoffer bij naam aanspreken, het bericht maken om nieuwsgierigheid op te wekken, een bekende afzender vervalsen, de inhoud van het bericht afstemmen op de recente ervaring van het slachtoffer - dit zijn de beproefde technieken.

Bond, James Bond

Wat willen bedrijven van bewustmakingscursussen? "Als we willen dat ze zichzelf beschermen, " zei Berenson, "moeten ze verdacht zijn, zelfs als ze de afzender kennen, zelfs als de boodschap aan je huidige verwachtingen voldoet. Ze moeten overal achterdochtig zijn! Psychologen noemen deze misleidingsmodus. Telkens wanneer ze een bericht zien, verwachten dat het nep is. " Ze noemde precies één werknemer die graag in de misleidingsmodus zou willen werken; James Bond.

"Als we willen dat werknemers de hele tijd in James Bond-modus zijn, " vervolgde ze, "is dat mogelijk. Maar je moet het in de functiebeschrijving vermelden en je moet ze op de juiste manier betalen." Ze rapporteerde over haar eigen poging om de misleidingsmodus de hele tijd in haar eigen actie te houden, met enkele grappige voorbeelden.

Benenson wees erop dat training in phishingbewustzijn in het bedrijfsleven averechts kan werken. Het verzenden van spear-phishing-e-mails van werknemers van een collega kan de werkefficiëntie verminderen door werknemers zelfs geldige e-mail te wantrouwen. Ze sloot af met een verzoek aan bedrijven die zouden willen deelnemen aan haar verdere onderzoek.

Hoe zit het met de thuisgebruiker? Jij (of je kinderen) zullen zeker vroeg of laat op de verkeerde link klikken. Daarom moet u ervoor zorgen dat uw antivirus- of beveiligingssuite-oplossing effectieve bescherming biedt tegen URL's die malware hosten. In mijn eigen praktijktests bleken Avira Antivirus Pro 2016, McAfee AntiVirus Plus (2016) en Symantec Norton Security Premium bijzonder effectief te zijn.