No todas las campañas de phishing funcionan, pero cuando un atacante persevera con una estrategia que lo hace, es la clave de su éxito. Ese es el hallazgo de un nuevo estudio centrado en el atacante, un aspecto fundamental del phishing que se ignora en gran medida. Además de identificar estrategias exitosas, también revela que los atacantes están motivados por recompensas más rápidas y mayores, con individuos creativos que se esfuerzan más en construir estos correos electrónicos maliciosos. Perspectivas del estudio, publicado hoy en revista de acceso abierto Fronteras en psicología , se puede utilizar para desarrollar herramientas y procedimientos de formación para detectar correos electrónicos de phishing.

"Encontramos estrategias de phishing específicas, como el uso de un tono autoritario, expresar interés compartido y enviar notificaciones, tienen más probabilidades de tener éxito, "dice el Dr. Prashanth Rajivan, autor principal del estudio y con sede en la Universidad Carnegie Mellon, Pensilvania, ESTADOS UNIDOS.

El phishing es una forma común de ciberataque. Los delincuentes se hacen pasar por un tercero de confianza para persuadir a las personas de que visiten sitios web fraudulentos o descarguen archivos adjuntos maliciosos. con la intención de comprometer su seguridad. Si bien la investigación se ha centrado principalmente en las víctimas de estos delitos, este nuevo estudio analiza un aspecto crítico del phishing:el comportamiento y las estrategias del atacante.

"Creamos un experimento similar a un juego para evaluar qué tan bien funcionan las diferentes estrategias, y comprender cómo los incentivos y las tasas de éxito, o la creatividad de un individuo, puede afectar la motivación, "explica el Dr. Rajivan.

En el experimento, los participantes humanos desempeñan el papel de atacantes de suplantación de identidad y acumulan puntos, sobre un número de vueltas, por engañar con éxito a otras personas que son el 'usuario final' que realiza una tarea de administración de correo electrónico. El juego se construyó cuidadosamente para capacitar y recompensar a las personas para que produzcan correos electrónicos de phishing que empleen diferentes estrategias y temas.

Las estrategias que tenían menos probabilidades de éxito incluían 'ofertas de ofertas, '' vender materiales ilegales 'y' usar un tono positivo '.

"Las personas pueden ser menos receptivas a las estrategias asociadas con las estafas que funcionaron hace una década, "explica el Dr. Rajivan." Hoy en día, las estrategias más exitosas serían 'enviar notificaciones, '' uso de tono autoritario, '' aprovecharse de la confianza haciéndose pasar por un amigo o expresando un interés compartido, 'y' falla de comunicación '".

El diseño repetido del juego permitió a los investigadores evaluar las tácticas del atacante a lo largo del tiempo. Esto reveló que la perseverancia con una estrategia exitosa, en lugar de cambiar de uno a otro, puede producir mejores resultados. Los investigadores atribuyen esto a que los atacantes mejoraron el texto del correo electrónico en cada turno.

Los incentivos tuvieron una influencia directa en la motivación, con recompensas retrasadas que resultan en un esfuerzo menor. Las recompensas más fáciles y rápidas se obtuvieron, Cuanto más esfuerzo haya realizado un atacante para diseñar correos electrónicos persuasivos, al igual que las personas que obtuvieron una puntuación alta en una prueba de "creatividad". No había evidencia que sugiriera, sin embargo, que la creatividad podría usarse como un predictor del éxito del phishing.

"Ha habido un resurgimiento de los ataques de phishing en los últimos años y los Los usuarios no expertos de Internet suelen ser víctimas de estos delitos. Necesitamos mejorar las prácticas de seguridad actuales para cambiar la estructura de incentivos para el atacante. Si las recompensas son mayores que los costos, los atacantes seguirán esforzándose más en las campañas de phishing, ", dice el Dr. Rajivan." Creemos que los atacantes con mayor creatividad pueden ser capaces de cambiar y adaptar los correos electrónicos para evadir la detección, aunque su creatividad no puede determinar cuánto éxito logran en lograr que el usuario final responda ".

Él continúa, "Nuestro novedoso diseño experimental podría utilizarse para reunir a las personas para que jueguen nuestro juego, lo que nos proporcionaría mucha información sobre las tasas de éxito de la suplantación de identidad y cómo se pueden adaptar estos correos electrónicos, mejorando así el software de detección. Además, podríamos usarlo como una herramienta de capacitación para ayudar a las personas a pensar como piratas informáticos para detectar mejor los correos electrónicos de phishing ".