Ne cliquez pas sur ce lien!

Maintenant que chaque internaute a été informé à plusieurs reprises que cliquer sur des liens dans des messages électroniques était une mauvaise idée, les fraudeurs et les escrocs ont renoncé à envoyer ces messages, car ils ne fonctionnent plus. Droite? Et bien non. Les messages frauduleux qui renvoient à des sites Web malveillants sont toujours aussi nombreux et c’est votre faute. Pourquoi cliquez-vous sur ces liens? La D re Zinaida Benenson, de l’Université d’Erlangen-Nuremberg, a décidé de le découvrir et a dévoilé ses conclusions à la conférence Black Hat de Las Vegas. Les résultats n'étaient pas encourageants.

"Lorsque nous avons commencé à réfléchir à la recherche dans ce domaine, nous avons demandé: Que ne savons-nous pas encore?", A déclaré Benenson. "Y a-t-il une différence si vous envoyez le message suspect par courrier électronique ou sur Facebook? Nous voulions demander aux gens pourquoi ils avaient cliqué sur un lien ou non, pour savoir comment ils raisonnaient au sujet des décisions de sécurité."

Lors de la conférence Black Hat de l'an dernier, la chercheuse Laura Bell a proposé qu'au lieu de scanner les ordinateurs pour des raisons de sécurité, nous analysions les utilisateurs. Benenson prit un ton plus prudent. Elle a évoqué le problème de tester des personnes sans leur consentement. "Parfois, cela se fait dans les organisations", a-t-elle dit, "et cela peut très mal tourner. Mais nous ne pouvons pas dire, hé, nous allons vous envoyer des messages de phishing, alors assurez-vous de réagir comme d'habitude."."

Benenson a envoyé des étudiants volontaires pour une étude sur "l'activité en ligne", en promettant que certains participants gagneraient des cartes-cadeaux. Elle a utilisé le courrier électronique et Facebook pour envoyer à 1 600 étudiants universitaires un message contenant un lien vers "des images de la fête de la semaine dernière". Ceux qui ont cliqué sur le lien n'ont pas vu de photos racées; ils ont simplement reçu un message "accès refusé". L’expérience de Berenson a naturellement montré qui était tombé sous le charme.

Il s'avère que l'utilisation de votre prénom est un excellent moyen de convaincre le destinataire que le message est légitime. Plus de la moitié (56%) des destinataires de courrier électronique et 38% de ceux recevant un message facebook ont ​​cliqué sur le lien lorsque le message leur a été adressé par leur nom. Sans le prénom, seuls 20% des personnes ayant reçu le message par courrier électronique et 42, 5% des utilisateurs de Facebook ont ​​mordu à l'hameçon.

Facile à être dupe

Les statistiques vraiment intéressantes sont apparues lorsque Benenson a interrogé les internautes sur la raison qui les poussait à prendre la dangereuse décision de cliquer sur le lien. La principale raison invoquée par 34% des personnes interrogées était la curiosité à propos du contenu des photos. Un autre 27% ont fait confiance au message parce qu'il correspondait à leur expérience, en ce qu'ils avaient assisté à une fête récemment. Bien que le message provienne d'un nom inventé, 16% ont pensé que c'était une personne qu'ils connaissaient. À l'inverse, 51% de ceux qui se sont abstenus de cliquer l'ont fait parce qu'ils n'ont pas reconnu l'expéditeur et 36% parce qu'ils n'avaient participé à aucune soirée récemment.

Sur la base de ces résultats, Benenson a conclu que quasiment tout le monde pouvait être amené à cliquer sur un lien dangereux à l’aide d’une ou plusieurs techniques. S'adresser à la victime par son nom, façonner le message de manière à susciter la curiosité, imiter un expéditeur connu, adapter le contenu du message à l'expérience récente de la victime, telles sont les techniques éprouvées.

Bond, James Bond

Que veulent les entreprises de la formation de sensibilisation? "Si nous voulons qu'ils se protègent eux-mêmes", a déclaré Berenson, "ils doivent être suspicieux même s'ils connaissent l'expéditeur, même si le message correspond à vos attentes actuelles. Ils doivent se méfier de tout! Les psychologues appellent ce mode de tromperie. voir un message, attendez-vous à ce qu'il soit faux. " Elle a mentionné exactement un employé qui pourrait aimer fonctionner en mode déception tout le temps; James Bond.

"Si nous voulons que les employés soient constamment en mode James Bond", at-elle poursuivi, "c'est possible. Mais vous devez l'indiquer dans la description de poste et vous devez les payer de manière appropriée." Elle a raconté sa propre tentative de garder le mode de déception dans sa propre action tout le temps, avec quelques exemples amusants.

Benenson a poursuivi en soulignant que la formation de phishing en entreprise peut avoir des effets pervers. L'envoi de courriels d'hameçonnage par les employés prétendument d'un collègue peut réduire l'efficacité du travail en suscitant la méfiance des employés, même pour un courrier valide. Elle a conclu en demandant aux entreprises qui seraient disposées à participer à ses recherches ultérieures.

Qu'en est-il de l'utilisateur à domicile? Vous (ou vos enfants) cliquerez sûrement sur le mauvais lien tôt ou tard. Dans ce cas, vous devez vous assurer que votre solution antivirus ou de suite de sécurité inclut une protection efficace contre les URL d'hébergement de logiciels malveillants. Lors de mes propres tests pratiques, Avira Antivirus Pro 2016, McAfee AntiVirus Plus (2016) et Symantec Norton Security Premium se sont révélés particulièrement efficaces.