Niet alle phishing-campagnes werken, maar wanneer een aanvaller volhardt in een strategie die dat wel doet, is dat de sleutel tot hun succes. Dat is de bevinding van een nieuwe studie gericht op de aanvaller, een grotendeels genegeerd maar cruciaal aspect van phishing. Naast het identificeren van succesvolle strategieën, het laat ook zien dat aanvallers worden gemotiveerd door snellere en grotere beloningen, waarbij creatieve individuen meer moeite doen om deze kwaadaardige e-mails te maken. Inzichten uit het onderzoek, vandaag gepubliceerd in open access tijdschrift Grenzen in de psychologie , kan worden gebruikt om tools en trainingsprocedures te ontwikkelen om phishing-e-mails te detecteren.

"We vinden specifieke phishing-strategieën, zoals het gebruik van gezaghebbende toon, het uiten van gedeelde interesse en het verzenden van meldingen, meer kans van slagen hebben, " zegt Dr. Prashanth Rajivan, hoofdauteur van de studie en gevestigd aan de Carnegie Mellon University, Pennsylvania, VS.

Phishing is een veelvoorkomende vorm van cyberaanval. Criminelen doen zich voor als een betrouwbare derde partij om mensen over te halen frauduleuze websites te bezoeken of kwaadaardige bijlagen te downloaden, met de bedoeling hun veiligheid in gevaar te brengen. Hoewel het onderzoek zich grotendeels heeft gericht op de slachtoffers van deze misdaden, deze nieuwe studie kijkt naar een cruciaal aspect van phishing:het gedrag en de strategieën van de aanvaller.

"We hebben een spelachtig experiment gemaakt om te beoordelen hoe goed verschillende strategieën werken, en om te begrijpen hoe prikkels en succespercentages, of de creativiteit van een individu, kan de motivatie beïnvloeden, " legt Dr. Rajivan uit.

In het experiment, menselijke deelnemers spelen de rol van phishing-aanvaller en verzamelen punten, over een aantal beurten, voor het succesvol misleiden van andere mensen die de 'eindgebruiker' zijn die een e-mailbeheertaak uitvoert. De game is zorgvuldig ontworpen om mensen te trainen en te belonen voor het maken van phishing-e-mails waarin verschillende strategieën en onderwerpen worden gebruikt.

Strategieën die minder kans van slagen hadden, waren onder meer 'deals aanbieden, ' 'illegale materialen verkopen' en 'een positieve toon gebruiken'.

"Mensen zijn misschien minder ontvankelijk voor strategieën die verband houden met oplichting die tien jaar geleden werkten, " legt Dr. Rajivan uit. "Succesvollere strategieën zouden tegenwoordig zijn 'meldingen verzenden, ' 'gebruik van gezaghebbende toon, ' misbruik maken van vertrouwen door zich voor te doen als een vriend of gedeelde interesse te uiten, ' en 'communicatief falen'."

Door het herhaalde ontwerp van het spel konden de onderzoekers de tactieken van de aanvaller in de loop van de tijd beoordelen. Hieruit bleek dat doorzettingsvermogen met een succesvolle strategie, in plaats van van de een naar de ander over te schakelen, betere resultaten kan opleveren. De onderzoekers schrijven dit toe aan de aanvallers die de e-mailtekst bij elke beurt verbeteren.

Incentives hadden een directe invloed op de motivatie, met vertraagde beloningen die resulteren in minder inspanning. Hoe gemakkelijker en eerder hoge beloningen werden behaald, hoe meer moeite een aanvaller heeft gedaan om overtuigende e-mails te ontwerpen, net als personen die hoog scoorden op een 'creativiteitstest'. Er was geen bewijs om te suggereren, echter, dat creativiteit kan worden gebruikt als voorspeller van phishing-succes.

"De afgelopen jaren is er een heropleving van phishing-aanvallen en de regelmatige, niet-deskundige gebruikers van internet zijn meestal het slachtoffer van deze misdrijven. We moeten de huidige beveiligingspraktijken verbeteren om de prikkelstructuur voor de aanvaller te veranderen. Als de opbrengsten groter zijn dan de kosten, aanvallers zullen zich meer inspannen voor phishingcampagnes, " zegt Dr. Rajivan. "We denken dat aanvallers met een hogere creativiteit in staat zijn om e-mails te wijzigen en aan te passen om detectie te ontwijken, ook al kan hun creativiteit niet bepalen hoeveel succes ze behalen om de eindgebruiker te laten reageren."

Hij gaat door, "Ons nieuwe experimentele ontwerp zou kunnen worden gebruikt om mensen te crowdsourcen om ons spel te spelen, die ons veel informatie zou geven over de slagingspercentages van phishing en hoe deze e-mails kunnen worden aangepast, waardoor de detectiesoftware wordt verbeterd. In aanvulling, we zouden het kunnen gebruiken als een trainingstool om mensen te helpen denken als hackers om phishing-e-mails beter te detecteren."