Según un estudio realizado en el Laboratorio Nacional del Noroeste del Pacífico del Departamento de Energía, los empleados que experimentan ciertas formas de estrés tienen más probabilidades que otros de ser objeto de ataques de phishing.
Si bien la mayoría de nosotros, si no todos, experimentamos estrés en el lugar de trabajo, los investigadores han identificado una forma específica de estrés que indica quién tiene más probabilidades de hacer clic en contenido falso que puede generar malware y otras enfermedades cibernéticas. El trabajo podría ayudar a los empleados y sus empleadores a mejorar su seguridad cibernética al reconocer las señales de advertencia cuando alguien está a punto de hacer un clic arriesgado.
Los resultados del equipo de un estudio de 153 participantes se publicaron recientemente en la revista Diario de guerra de información. Los investigadores notaron que, si bien el tamaño de muestra relativamente pequeño limitó su capacidad para extraer todas las relaciones entre las más de veinte variables estudiadas, la relación entre el estrés y la respuesta a un correo electrónico de phishing simulado fue estadísticamente significativa.
Los costos de los ataques de phishing son enormes. Análisis patrocinado por Proofpoint y realizado por Ponemon Institute estima que solo en 2021, las grandes empresas estadounidenses perdieron un promedio de USD 14,8 millones a manos de los estafadores como resultado del phishing.
La defensa incluye no solo una mejor tecnología, sino también una mejor conciencia de las posibles víctimas.
“El primer paso para defenderse es comprender la compleja constelación de variables que hacen que una persona sea vulnerable al phishing”, dice el psicólogo de PNNL Corey Fallon, coautor del estudio. “Necesitamos identificar esos factores que hacen que las personas sean más o menos propensas a hacer clic en un mensaje cuestionable”.
En su estudio, Fallon y sus colegas encontraron que las personas que informaron altos niveles de estrés relacionado con el trabajo tenían muchas más probabilidades de hacer clic en un enlace en un correo electrónico de estafa de phishing. Por cada aumento de un punto en la amenaza que informaron, tenían un 15 por ciento más de probabilidades de responder a un correo electrónico de phishing simulado.
Los investigadores describen la angustia como un sentimiento de tensión cuando alguien en el trabajo siente que está en una situación difícil y no puede hacer frente a una tarea. La ansiedad puede provenir de sentir que su carga de trabajo es demasiado pesada o pueden cuestionar si tienen la capacitación adecuada o el tiempo para hacer su trabajo.
Fancy phishing para explorar la psicología del phishing
Los 153 participantes aceptaron participar en el estudio, pero no sabían que el correo electrónico de phishing enviado unas semanas después era parte de un estudio de factores humanos planificado.
En cuanto al phishing, era un phishing elegante. Por ejemplo, no se mencionó una gran suma de dinero de un príncipe africano, y no hubo errores ortográficos manifiestos ni errores gramaticales graves.
“Estos fueron correos electrónicos bien elaborados, diseñados intencionalmente para engañar a las personas y adaptados a la organización”, dijo Jessica Baweja, psicóloga y autora del estudio. “Fue mucho más difícil de detectar que el phishing promedio”.
Cada participante recibió una de las cuatro versiones diferentes del mensaje sobre el supuesto nuevo código de vestimenta que se introduciría en su organización. El equipo probó tres tácticas populares de phishing por separado y juntas. Esto es lo que encontraron:
- Urgencia. El 49% hizo clic en los enlaces. destinatarios Texto de ejemplo: “Esta política entrará en vigencia 3 días después de que recibamos esta notificación… confirme los cambios de inmediato”.
- Peligro. 47 por ciento hizo clic “…cumple con este cambio en el código de vestimenta o puedes enfrentar una acción disciplinaria”.
- Autoridad. 38 por ciento hizo clic “Para la Fiscalía General de la República…”
- Tres tácticas juntas: 31 por ciento de clics.
Si bien el equipo esperaba que más tácticas usadas juntas resultaran en que más personas hicieran clic en el mensaje, esto no sucedió.
“Es posible que cuantas más tácticas se usaran, más obvio era que se trataba de un correo electrónico de phishing”, dijo el autor Dustin Arendt, analista de datos. “Las tácticas deben ser convincentes, pero hay un medio dorado. Si se usan demasiadas tácticas, puede ser obvio que estás siendo manipulado”.
En las operaciones diarias, PNNL prueba periódicamente a sus empleados con correos electrónicos de phishing falsos. Por lo general, solo alrededor del 1 por ciento de su audiencia hará clic. Muchos más empleados detectan el phishing temprano y brindan alertas sociales a los expertos del laboratorio de seguridad cibernética, dijo Joseph Higbee, director de seguridad de la información en PNNL. Al detectar un correo electrónico de phishing real, el laboratorio limpia inmediatamente el sistema de todas las instancias de correo electrónico. La información a menudo se comparte con otros laboratorios del DOE.
Colaboración hombre-máquina para reducir el riesgo de ciberseguridad
¿Cómo pueden las empresas y los empleados utilizar estos datos para reducir el riesgo?
“Una opción es ayudar a las personas a reconocer cuándo se sienten estresadas”, dijo Fallon, “para que puedan ser más conscientes y cuidadosas cuando son particularmente vulnerables”.
En el futuro, una opción puede ser conectar personas con máquinas. Si el algoritmo nota un cambio en su patrón de trabajo que puede indicar fatiga o falta de atención, el asistente inteligente de la máquina puede sugerirle que se tome un descanso del correo electrónico. Las alertas automáticas son cada vez más comunes, como cuando un conductor se desvía inesperadamente y un automóvil advierte sobre fatiga. Los investigadores señalaron que los beneficios potenciales de la entrada de un asistente de máquina tendrían que sopesarse frente a las preocupaciones sobre la privacidad de los empleados.
“Puede ser difícil ver el correo electrónico como una amenaza”, dijo Baweja. “Nuestros antiguos cerebros no están programados para asociar el correo electrónico con cosas aterradoras. Trabajas en correos electrónicos todo el día y es una rutina; no hay razón para creer que podrían hacerle daño a usted oa nuestra organización.
“Las organizaciones deben pensar en cómo alentar a las personas a tomar buenas decisiones. La gente sobreestima su capacidad para detectar mensajes de phishing”, agregó.
Los investigadores del PNNL continúan con su trabajo, pero con un giro. En lugar de preguntar qué hace que las personas sean más vulnerables al phishing, realizarán un pequeño estudio de las personas que se han resistido al anzuelo para obtener más información sobre sus características y estado de ánimo al monitorear el correo electrónico.
El trabajo forma parte de un programa más amplio de trabajo en equipo hombre-máquina e investigación de factores humanos en el PNNL, que recientemente acogió Simposio sobre Factores Humanos.
Más información:
Phishing in the Wild: un estudio ecológicamente sólido de las tácticas de phishing y los factores humanos que predicen la vulnerabilidad a un ataque de phishing, Diario de guerra de información (2023). www.jinfowar.com/journal/volum … lity-phishing-attack