Os cibercriminosos há muito tempo usam a psicologia como ferramenta. Mas também podemos usar fenômenos psicológicos para explicar porque certos métodos criminais funcionam — e para ajudar a estruturar uma estratégia de proteção correta.
Medidas antispam e antiphishing são componentes essenciais da segurança online de qualquer empresa. Ao investigar incidentes cibernéticos, nossos especialistas geralmente descobrem que o problema começou com um e-mail, independentemente de ser em massa ou ataque direcionado. Atualmente, os filtros podem identificar os phishing típicos com alto grau de certeza, mas os invasores às vezes ainda conseguem invadir (por exemplo, sequestrando a caixa de correio de um parceiro) e entregar a mensagem a uma vítima humana, sempre o elo mais fraco. E quanto mais eficazes os filtros, maiores as chances de que a mensagem inesperada também engane o usuário.
O experimento
A existência de uma correlação direta entre a frequência de e-mails maliciosos e sua identificação bem-sucedida pelos usuários foi levantada por dois pesquisadores norte-americanos – Ben Sawyer, do Instituto de Tecnologia de Massachusetts, e Peter Hancock, da Universidade da Flórida Central. Eles basearam sua teoria no “efeito de prevalência”. Há muito conhecido na psicologia, esse efeito diz que uma pessoa tem mais probabilidade de deixar passar (ou não detectar) um sinal menos comum do que um que ocorre com frequência.
Os pesquisadores decidiram testá-lo na prática, realizando um experimento no qual os participantes recebiam e-mails, alguns dos quais continham anexos maliciosos. A porcentagem de maliciosos variou – para alguns participantes, apenas 1% tinha malware no anexo, para outros, 5% ou 20%. O resultado confirmou a hipótese de que quanto menos uma ameaça ocorre, mais difícil é para as pessoas identificá-la. Além disso, a dependência nem é linear – mais próxima da logarítmica.
Devemos observar que o experimento utilizou uma amostra bastante pequena (33 indivíduos), e todos os participantes eram estudantes; portanto, seria prematuro aceitar cegamente a conclusão. Mas, na psicologia, o efeito de prevalência geralmente é considerado comprovado. Então, por que não deveria se aplicar a e-mails de phishing? De qualquer forma, Sawyer e Hancock prometem refinar sua hipótese, submetendo-a a testes mais aprimorados.
Os pesquisadores sugerem uma possível explicação do fenômeno que envolve maior confiança na segurança do sistema. Essencialmente, dizem que as tecnologias antiphishing protegem os usuários simultaneamente de ameaças e relaxam sua vigilância. Aliás, os pesquisadores também postulam que os cibercriminosos podem conhecer o efeito e, assim, deliberadamente enviam malware com menos frequência.
Conclusões práticas
Como você pode imaginar, não defendemos o abandono de sistemas de segurança automatizados. No entanto, se a hipótese de Sawyer e Hancock estiver correta, é possível que os usuários possam se beneficiar do encontro ocasional com um e-mail de phishing. Não um real, é claro.
A Kaspersky Automated Security Awareness Platform (Plataforma automatizada de conscientização de segurança da Kaspersky), nossa solução para treinar funcionários de empresas de todos os tamanhos em segurança cibernética, permite verificar periodicamente como os trainees estão adquirindo as habilidades. Como parte das verificações, eles recebem e-mails de phishing simulados e devem responder corretamente. Isso ajudará a manter os funcionários em alerta.
Mesmo que a teoria seja finalmente desacreditada, esses e-mails não farão mal. No mínimo, o gerente de treinamento saberá quem são os elos mais fracos.