Phishing är ett av de största hoten på Internet. Attacker använder det för att få tillgång till inloggning eller ekonomisk information, eller för att lura användare direkt.
Med phishing är en sak under längre tid än ett decennium, man kan anta att användare är medvetna om riskerna att klicka på länkar eller bifogade filer i e-post, chatt eller på webbplatser utgör, men det är tydligen inte fallet.
En nyligen genomförd studie på tyska Friedrich-Alexander-Universitetet slutsatsen att 56% av e-postmottagare och 40% av alla Facebook-användare som klickat på länkar från okända avsändare.
Forskargruppen som genomfört två studier som de skickade e-post meddelanden och Facebook-meddelanden till ca 1700 studenter i Högskolan.
Meddelanden var anpassat till målgruppen. Meddelanden i såväl studier som hävdade att länken pekade på bilder på en fest förra helgen. De var undertecknat med ett gemensamt namn för åldersgruppen.
Ett klick på länken öppnar en webbsida som bara skulle visa meddelandet åtkomst nekad visas. Alla klick var inloggad på detta sätt, och det är hur forskarna lyckades få statistik för de båda studierna.
Studier var något annorlunda i ämnet. I den första studien, försökspersoner som behandlades av första namn. Försökspersonerna som inte omfattas av första namn i den andra studien, men ytterligare detaljer om festen var som anges i stället.
Även för Facebook-studie, profiler skapades som erbjuds i varierande grad av offentlig information. Vissa med foton och tidslinjen information, andra har inga bilder och minimalt innehåll.
Resultaten var häpnadsväckande: 56% av e-postmottagare och 38 procent av Facebook-användarna klickade på länken i den första studien. I den andra studien-den ena utan den försöksperson som första namn — e-post klick tappade ner till 20% men Facebook klick ökat till 42%.
78% av alla deltagarna i studien uppgav i en enkät att “de var medvetna om riskerna med okända länkar”. Intressant nog, endast 20% av den första studien och 16% av användarna i den andra studien bekräftade att de klickar på länken.
Forskarna tror att skillnaden mellan den faktiska klick och hävdade klick kommer ner till användarna helt enkelt glömma budskapet att de klickade på som om ingenting hänt.
Den stora majoriteten av testpersonerna som kom ihåg att klicka på länken anges att nyfikenheten fick det bättre för dem. Andra uppgav att de kände någon med det namnet, eller att de hade varit på fest.
Deltagare som inte klicka på länken uppgett att de inte klicka på grund av att de inte känner igen avsändarens namn och vissa uppgav att de ville skydda avsändarens personliga integritet genom att inte titta på bilder.
Avslutande Ord
Ett stort antal försökspersoner, 78% hävdade att de visste om farorna med att klicka på länkar. Fortfarande, ca 50% gjorde klicka på ändå när du presenteras med en chans att göra så.
Attacken i studien var riktade och använde information som eleverna kunde relatera till, men det är inte en ursäkt för att falla för den. Det är dock rimligt att riktade attacker har en större framgång än generiska phishing-attacker.
Det skulle vara intressant att veta om några av de elever som öppnas länken i en säker miljö, men det verkar osannolikt att många skulle ha.
En mycket enkel möjlighet att kolla in en länk utan att ladda den i din egen webbläsare eller på ditt eget system är att använda en webbtjänst för det.
GTMetrix är utformat för att testa hastigheten på en webbplats, men det kommer att visa innehållet på den sida som det kontrollerar.
1700 deltagare är inte en massa för att komma till en slutsats, och det skulle vara intressant om studien skulle upprepas i andra delar av världen.
Nu: Ska man någonsin lära sig?