Um amplo estudo publicado na revista Australasian Journal of Information System mostrou que hackers que promovem ataque phishing manipulam suas vítimas para revelar informações confidenciais, explorando seus motivos, hábitos e preconceitos cognitivos.
Segundo os autores do trabalho, foi usado o ambiente educacional para a pesquisa visto que estudantes são alvos frequentes de ataques online e se encaixam na idade suporte dos mais suscetíveis a ameaças de phishing.
No estudo, um grupo de pesquisadores enviou emails simulados de phishing a graduandos e pós-graduandos de uma Instituição de ensino superior na Nova Zelândia, a Auckland University of Technology.
Os participantes que consentiram em participar da pesquisa não foram informados a respeito do conteúdo, assim, os pesquisadores utilizaram seus endereços de email para simularem ataques phishing como numa situação real.
Os emails enviados possuíam dois conteúdos básicos. O primeiro email era de um remetente falso do gerente de suporte ao aluno da Instituição de ensino, e tratava de um evento que havia acontecido recentemente na Universidade.
O segundo email era de um remetente falso do suporte da Apple que informava que o participante havia ganhado um iPad mini.
O estudo mostrou que os indivíduos foram mais suscetíveis a tentativas de phishing quando as mensagens que recebem eram específicas de seu contexto, apelando assim para suas vulnerabilidades psicológicas.
Também mostrou que há uma lacuna significativa entre como os indivíduos acreditam que reagirão a uma ataque, e quais são as suas reações reais às tentativas de phishing.
Os dois assuntos de certa forma foram previamente relacionados, uma vez que um levantamento nos provedores da Instituição mostrou que estudantes acessaram o conteúdo “Apple Benefícios/preços educacionais” como um estudo de caso para um Curso antes da pesquisa ser realizada.
Para isto, foi utilizado o Gophish que é uma estrutura de phishing de código aberto que permite a coleta de dados e informações de usuários de sites e aplicativos.
Os pesquisadores inclusive replicaram alguns erros de hackers, como utilizarem endereço de email (Gmail) não relacionado às Instituições usadas no golpe (apenas o assunto do email era relacionado à Universidade ou à Apple), e até cometeram erros de digitação ([email protected]; ‘@ ***. com’; e ´@ ***. ac.nz).
As respostas ao ataque phishing foram graduadas como 1, 2, 3, e 4, onde:
1 – representa que os participantes não abriram o e-mail;
2 – que os participantes abriram apenas o e-mail;
3 – que os participantes abriram o e-mail e clicaram no link;
4 – que os participantes abriram, clicaram no link e enviaram os dados.
Dos 269 participantes, 50,3% eram mulheres e 47,6% eram homens. A maioria dos entrevistados tinha entre 24 e 32 anos, cursava graduação, e eram estudantes de outros países asiáticos.
Estes dados serviram para a comparação entre idade, gênero, grau de conhecimento de informações tecnológicas, e etnia.
O estudo mostrou que a maioria dos estudantes (71%) clicaram no email relacionado ao Curso, e também clicaram no Link phishing. Destes, 19% enviaram os dados confidenciais.
Já no caso do email do prêmio da Apple, apenas 5,9% dos estudantes clicaram no email, entretanto, 94% destes acessaram o link e enviaram os dados confidenciais como logins e senhas.
Em outra parte do estudo os resultados mostraram que os estudantes com níveis mais altos de conhecimento de phishing (pós-graduandos) foram menos propensos a se envolverem em reações de risco, como clicar em qualquer tipo de e-mail de phishing.
Outro achado significante mostrou que o sexo feminino foi mais vulnerável que o sexo masculino.
Os dados mostraram que os participantes do sexo masculino acreditavam que iriam envolver-se em mais práticas de proteção do que as mulheres participantes, indicando que as mulheres são mais vulneráveis a phishing.
Com esta informação, os pesqusadores mostraram que a proporção de homens que abriu o Link e forneceu os dados foi significantemente menor que o de participantes do sexo feminino, principalmente no email que tratava-se do prêmio do Ipad Mini.
O estudo mostrou que os participantes mais jovens (por exemplo, entre 18 e 20 anos) apresentaram reações mais arriscadas do que alunos mais velhos, (acima de 35 anos).
Assim, através de técnicas habituais utilizadas por hackers os pesquisadores conseguiram obter dados de um percentual significativo de participantes da pesquisa.
Os pesquisadores acreditam que estes dados podem trazer informações importantes que podem ajudar empresas de segurança nos seus serviços de proteção cibernética, além de servir como uma alerta à população em geral.