Quando se trata de phishing, é possível perder tudo com apenas um clique. Na verdade, você provavelmente conhece pessoas que deram - que deram suas informações pessoais ou financeiras mais importantes, ou baixaram um vírus destrutivo, ou acabaram instalando malware em seus computadores que comprometeram seus arquivos. No caso infame de John Podesta , presidente da campanha de Hilary Clinton para a eleição presidencial de 2016, seu clique em um e-mail de phishing permitiu que um país estrangeiro roubasse e-mails politicamente sensíveis. Esse é o poder do phishing.
E-mails de phishing são cuidadosamente projetados por golpistas e criminosos para manipular nossas emoções e explorar nossos preconceitos inconscientes, então os humanos são praticamente programados para se apaixonar por eles, diz a especialista em segurança cibernética e cientista da computação Daniela Oliveira , professora associada da Universidade da Flórida em Gainesville. A decepção “é tão antiga quanto os seres humanos e o phishing é uma fraude no ciberespaço”, diz ela. Muitos esforços para combater o phishing envolvem a implantação de soluções e estratégias baseadas em tecnologia, mas Oliveira está interessado em usar a psicologia para entender por que as pessoas caem no phishing e como protegê-las de serem enganadas.
E-mails de phishing usam táticas emocionais para nos fazer contornar a lógica - e clicar no link. Para explicar por que o phishing funciona, Oliveira recorre ao psicólogo e economista Daniel Kahneman, ganhador do Prêmio Nobelmodelo de dois sistemas de pensamento. O Sistema 1 é rápido, intuitivo e emocional - “como quando você vai a uma consulta médica e decide onde sentar”, diz ela. O Sistema 2, por outro lado, é lento e deliberado. Como temos que tomar milhares de decisões por minuto, precisamos do Sistema 1, que depende de atalhos mentais para nos ajudar a passar pela vida com eficiência. Por exemplo, temos um viés da verdade, uma crença de que os outros são mais propensos a dizer a verdade do que a mentir; assumir o contrário seria exaustivo. Mas preconceitos como esse também podem nos deixar abertos a decisões imprudentes, por exemplo, nos tornando predispostos a supor que um e-mail que diz ser do nosso banco atualizando nossa senha é, na verdade, do nosso banco.
Ao apelar para nossos preconceitos e emoções, o phishing tenta nos fazer ficar no modo automático, também conhecido como Sistema 1. Os phishers querem que os usuários “tomem uma decisão rápida, não cuidadosa”, explica Oliveira. Para fazer isso, os e-mails de phishing frequentemente nos manipulam por meio de atalhos mentais, também conhecidos como heurísticas. O psicólogo Robert Cialdini identificou sete desses atalhos, que ele chama de "princípios psicológicos de influência". Esses princípios incluem autoridade, compromisso, simpatia, contraste perceptivo, reciprocidade, escassez e prova social.
Todos esses princípios podem ser explorados por phishers. Um e-mail alegando ser do US Internal Revenue Service, por exemplo, aproveita o fato de que as pessoas tendem a obedecer a ordens dadas por autoridades. Um exemplo de reciprocidade em phishing poderia ser receber um cupom por e-mail e ser solicitado a clicar em um botão para se inscrever no boletim informativo do varejista; muitos de nós nos sentimos naturalmente inclinados a retribuir de alguma forma quando recebemos um presente ou um brinde.
Oliveira se juntou à psicóloga Natalie Ebner , também da Universidade da Flórida, para estudar como pessoas de diferentes idades reagiam a diferentes táticas de phishing. Sob o pretexto de estudar o uso da internet, a equipe recrutou um grupo de pessoas com idades entre 18 e 89 anos para participar de um estudo de 21 dias. Em todos os dias do estudo , a equipe de Oliveira enviava aos participantes um chamado “e-mail de spear-phishing”, ou seja, um e-mail de phishing adaptado para cada indivíduo. Eles redigiram esses e-mails com base em exemplos reais de phishing e os projetaram para implementar todos os princípios de Cialdini.
A equipe também direcionou seus e-mails para diferentes aspectos da vida, como finanças, saúde, questões ideológicas, questões jurídicas, segurança e questões sociais. Por exemplo, um e-mail falso empregou a tática da escassez nas finanças, oferecendo à vítima um desconto na próxima conta de luz se ela preenchesse uma pesquisa online nos próximos três dias. Outro informou ao destinatário que havia cometido uma infração de estacionamento e pediu-lhe que clicasse em um link para obter mais informações e pagar a multa, explorando a tática de autoridade dentro da esfera jurídica. Se o usuário mordeu a isca e clicou no link do e-mail de phishing, ele foi enviado para uma página da Web falsa e inócua, e os pesquisadores registraram um acerto. Além disso, os participantes foram convidados a relatar seu humor todos os dias, o que permitiu aos pesquisadores medir seu efeito positivo - isto é, a intensidade com que uma pessoa sente emoções positivas. Participantes com 62 anos ou mais também fizeram um teste de 30 minutos por telefone que mediu diferentes funções cognitivas.
Quem caiu nos e-mails de phishing? Quase metade das pessoas o fez: 43% dos participantes morderam a isca pelo menos uma vez e 11,9% clicaram mais de uma vez. Mulheres mais velhas (aquelas com 62 anos ou mais) eram significativamente mais suscetíveis do que qualquer outro grupo.
Mas nem toda tática de phishing teve o mesmo sucesso com cada faixa etária. Os adultos mais jovens (18-37) eram significativamente mais suscetíveis a e-mails que alegavam escassez (o desconto na conta de luz por tempo limitado, por exemplo), enquanto os adultos mais velhos (mais de 62 anos) caíam na reciprocidade. No geral, a autoridade se destacou significativamente como o apelo mais convincente para todas as idades, e todos os usuários eram significativamente mais vulneráveis a e-mails que tratavam de questões legais. Um e-mail dizia: “Nossos recursos indicaram que você tem uma violação de estacionamento de 17/12/2015 na SW 89th Avenue às 15:34. Visite nosso site para obter mais informações sobre a violação e para pagar sua multa ou refutação ou multa. ”
A influência da autoridade e das questões legais não surpreendeu Oliveira. “Como seres humanos, procuramos em geral evitar infringir a lei, nos conformar com as normas e regras”, diz ela. “É como estamos programados para nos comportar”. Por exemplo, ela afirma que muitas pessoas caem em emails de phishing que alegam vir do Serviço de Receita Federal dos Estados Unidos . Embora nosso primeiro instinto seja atender a uma solicitação dessa autoridade o mais rápido possível, “é claro que devemos ter cuidado e verificar duas vezes”, diz ela.
Uma delas relativa à descoberta tinha a ver com a avaliação das pessoas sobre sua própria suscetibilidade a golpes por e-mail. No final do estudo, os participantes foram solicitados a ler um conjunto de 21 e-mails de phishing (diferentes dos que haviam recebido em suas caixas de entrada) e avaliar a probabilidade de clicarem em cada um. Curiosamente, as pessoas indicaram uma baixa probabilidade de se apaixonarem por eles, mas compare isso com o fato de que 43% do grupo clicou em um e-mail de phishing pelo menos uma vez. E com usuários mais velhos, essa divisão era ainda maior. Adultos com menos de 37 anos estavam mais conscientes de sua vulnerabilidade do que adultos com mais de 62 anos. Oliveira diz que isso é “mais problemático”: “Os idosos são mais suscetíveis e estão menos conscientes”.
Outra discrepância entre os grupos de idade: adultos com menos de 37 anos clicaram com menos frequência em e-mails de phishing à medida que o estudo avançava, o que sugere que eles podem estar aprendendo com a experiência. No entanto, adultos com mais de 62 anos clicaram com a mesma frequência durante o início, meio ou final do estudo. Isso é preocupante, diz Oliveira, porque “esta é uma população muito importante. Eles não apenas ocupam muitos cargos de poder ”- pense em CEOs, chefes de estado, líderes seniores e juízes -“ mas também acumularam ativos ao longo de sua longa vida, e esses ativos estão online. ”
A boa notícia: funções cognitivas superiores e certas características emocionais pareciam proteger os adultos mais velhos de ataques. Por exemplo, adultos com idades entre 62-74 que pontuaram mais alto em medidas de fluência verbal, ou que tiveram maior afeto positivo, estavam mais cientes de sua vulnerabilidade . Entre os participantes mais velhos (idades 75-89), as pessoas que pontuaram mais alto em partes da bateria que testaram a memória episódica de curto prazo pareciam estar protegidas de e-mails de phishing, assim como as pessoas com maior efeito positivo. Os usuários jovens também parecem se beneficiar de um efeito positivo mais elevado.
Oliveira diz que é muito cedo na pesquisa para saber exatamente por que diferentes faixas etárias são mais suscetíveis a certas táticas. Da mesma forma, não está claro por que as mulheres mais velhas eram o grupo mais vulnerável, embora pesquisas psicológicas tenham mostrado que, à medida que a capacidade cognitiva diminui com a idade, as pessoas em geral parecem se tornar mais vulneráveis ao engano.
Mas aqui está uma coisa que podemos tirar dessa pesquisa: podemos perceber que é da natureza humana escanear e-mails quando estamos no modo Sistema 1 automático. E podemos neutralizar essa tendência solicitando que entremos no modo pensativo do Sistema 2 com e-mails que solicitam informações importantes (como senhas ou números de contas), solicitam pagamentos ou brindes pendentes, especialmente downloads. Portanto, antes de clicar em um link para obter um e-book de receitas de cortesia ou saldar uma multa, você pode se lembrar de “entrar no Sistema 2 e dizer: 'Espere um minuto; deixe-me verificar ”, sugere Oliveira. Em seguida, verifique se o e-mail está vindo de um endereço ou organização legítima e reconheça no que estamos nos metendo quando optamos por clicar em um link.
Entender nossa vulnerabilidade ao phishing também pode tornar mais eficaz qualquer treinamento anti-phishing que realizemos. A partir de agora, diz Oliveira, os treinamentos - que incluem jogos, palestras, tutoriais, e-mails simulados de phishing - não parecem funcionar. Ela aponta para um estudo recente, em que mais de 3.000 funcionários de uma empresa foram informados sobre como reconhecer ataques. Poucos meses depois, quando os pesquisadores phishing os funcionários, os funcionários caíram nas táticas que eles foram treinados para resistir. Ainda assim, se um treinamento fosse adaptado a um determinado grupo demográfico, ele poderia ser encurtado para que as pessoas não precisem se lembrar de tantas informações, permitindo-lhes apreender e reter melhor o que precisam saber, segundo Oliveira. Por exemplo, pessoas em uma faixa etária podem receber uma visão geral rápida de diferentes recursos de phishing, mas aprender mais sobre os recursos específicos que tendem a funcionar melhor com eles e seus colegas nos estudos. “É isso que estamos tentando defender para avançar”, diz Oliveira. “As intervenções e soluções anti-phishing devem passar de uma abordagem única para uma abordagem mais direcionada.”
Os estudos de suscetibilidade ainda estão engatinhando, mas, à medida que avançam, podem revelar mais variações, examinando quais atrativos funcionam em pessoas de diferentes tipos de ocupação ou com diferentes níveis de educação. A história também pode mudar quando os pesquisadores vão além dos ataques de phishing que coletam dados pessoais ou espalham vírus e observam como as pessoas respondem a ataques de phishing que espalham informações falsas, como notícias falsas. Quanto mais pudermos entender as nuances do que nos leva a deixar de lado nosso julgamento e clicar, mais podemos nos equipar - e nosso Sistema 2s - para nos proteger, acredita Oliveira.
Outra conclusão desta pesquisa: para proteger as pessoas de ataques cibernéticos como phishing, os especialistas em segurança da Internet precisam aproveitar a experiência da psicologia, diz Oliveira. Tradicionalmente, a segurança cibernética depende de soluções baseadas em tecnologia. “Os campos da psicologia e da neurociência são muito mais antigos do que os campos da informática e da cibersegurança”, destaca Oliveira. “Um dos pontos de nosso trabalho é que minha comunidade - segurança cibernética - está negligenciando o que outros campos já descobriram.” Embora a tecnologia se adapte e mude rápida e frequentemente, os humanos não, ela diz - e as estratégias anti-phishing devem levar isso em consideração: “A evolução nos programou para operar da maneira que fazemos. Não vamos mudar tão rápido. ”