Mensen zijn misschien niet zo handig met cyber als ze denken dat ze zijn als het gaat om het identificeren van e-mailphishing-zwendel, volgens Missouri S&T-onderzoekers. Maar werkgevers kunnen er baat bij hebben werknemers te leren hoe ze phishing kunnen herkennen door ze regelmatig valse phishing-e-mails te sturen.

Phishing is een methode om persoonlijke informatie te verzamelen, bank- en creditcardgegevens, en wachtwoorden via links in berichten, dat aan de oppervlakte, legitiem lijken.

"Je zou in het algemeen behoorlijk wantrouwend moeten zijn met e-mail, " zegt dr. Casey Canfield, Missouri S&T-assistent-professor engineering management en systems engineering. "Mensen hadden duidelijk de neiging om overmoedig te zijn in hun vermogen om phishing-e-mails te herkennen."

Canfield's laatste onderzoek, deze maand open access gepubliceerd in het tijdschrift Metacognitie en leren , onderzocht metacognitiestatistieken rond phishing, of het inzicht van individuen in hun vermogen om phishing-e-mails te detecteren. Canfield werkte samen met Carnegie Mellon University-collega's Baruch Fischhoff en Ales Davis aan de studie, die meet hoe goed het vertrouwen van mensen in hun vermogen om phishing te detecteren overeenkomt met de realiteit.

Deelnemers aan het onderzoek bekeken een reeks legitieme en phishing-e-mails en beantwoordden vragen om te bepalen of ze de twee typen konden identificeren. Onderzoekers vroegen vervolgens hoe zeker ze waren over hun antwoord, en hoe negatief de gevolgen zouden zijn als ze een phishing-e-mail zouden missen.

De onderzoekers ontdekten dat wanneer mensen 90-99% zeker waren dat ze een e-mail correct hadden geïdentificeerd als phishing of legitiem, ze identificeerden phishing-e-mails slechts ongeveer 56% van de tijd correct.

Canfield ging vervolgens een stap verder in het onderzoek door hun antwoorden te vergelijken met wat er werkelijk op hun thuiscomputers gebeurde. De onderzoekers gebruikten gegevens van het Security Behaviour Observatory van Carnegie Mellon - een langetermijnonderzoek waarin elke actie op de computer van een vrijwilliger wordt gecontroleerd. Met behulp van diezelfde studiedeelnemers, Canfield vond een interessante correlatie.

"Verrassend genoeg, we zagen dat mensen met een betere metacognitie de neiging hadden zichzelf beter te beschermen, " zegt Canfield. "Ze hadden minder schadelijke bestanden op hun computers. Mijn vorige onderzoek naar prestatiestatistieken was niet overtuigend."

Canfield suggereert dat het kunstmatig verhogen van het aantal ontvangen phishing-e-mails hun vermogen om scams te onderscheiden van legitieme berichten mogelijk zou kunnen verbeteren.

"Een van de uitdagingen met phishing-e-mails is dat je niet per se feedback krijgt over het al dan niet nemen van de juiste beslissing, " zegt Canfield. "Misschien heb je schadelijke bestanden op je computer, maar misschien weet je het nooit. Je bent misschien gewoon een portaal naar een ander doelwit. Zonder die feedback, het is echt moeilijk voor mensen om erachter te komen of ze goed zijn in het detecteren van phishing-e-mails."

Daarom suggereert Canfield dat een trainingsprogramma waarbij werkgevers valse phishing-e-mails sturen nuttig kan zijn.

"Het is een kans voor mensen om feedback te krijgen over hoe ze het doen, " zegt ze. "Met de valse phishing-e-mail, u klikt erop en wordt doorgestuurd naar een pagina die u vertelt dat u op een phishing-e-mail hebt geklikt. Met legitieme e-mails, je krijgt die feedbacklus. Je mailt iemand, en ze mailen je terug. Je hebt een gesprek met iemand."

Canfield zegt dat verder onderzoek naar het onderwerp nodig is, maar haar onderzoek zou dergelijke werkgeversinterventies ondersteunen.