Для эксперимента доктор Бененсон, чье исследование сосредоточено на человеческом факторе в инфраструктуре ИТ-безопасности, и ее команда провели два исследования, в ходе которых они отправили около 1700 студентов FAU по электронной почте или сообщениям в Facebook под вымышленным именем. Они адаптировали фальшивые сообщения для целевых групп, подписав их одним из десяти наиболее распространенных имен для поколения целевой группы. В обоих исследованиях в тексте утверждалось, что ссылка в сообщении была на страницу с изображениями вечеринки в предыдущие выходные.
Если получатель щелкнул ссылку, он был перенаправлен на страницу с сообщением «доступ запрещен». Это позволило исследователям регистрировать рейтинг кликов. Затем они разослали анкету всем испытуемым, в которой сначала попросили их оценить свою осведомленность о безопасности, прежде чем объяснять эксперимент и спрашивать их о причинах, по которым они нажимали или не нажимали на ссылку.
В первом исследовании исследователи обращались к испытуемым по именам. Во втором, напротив, они не обращались к ним лично, а давали более конкретную информацию о поводе, по которому якобы были сделаны фотографии, — о новогодней вечеринке за неделю до этого. Для сообщений в Facebook исследователи создали профили с общедоступной временной шкалой и фотографиями, а также менее общедоступные профили без фотографий и с минимальным объемом информации.
В каждом исследовании были разные результаты. 56 процентов получателей электронной почты и 38 процентов получателей сообщений в Facebook в первом исследовании переходили по ссылкам. Во втором исследовании процент получателей электронной почты, которые сделали это, снизился до 20 процентов, а процент пользователей facebook, которые сделали это, вырос до 42 процентов.Опасное любопытство«Общие результаты удивили нас, поскольку 78 процентов участников заявили в анкете, что они знают о рисках неизвестных ссылок», — говорит д-р Бененсон. «И только 20 процентов из первого исследования и 16 процентов из второго исследования сказали, что они перешли по ссылке.
Однако, когда мы оценили реальные клики, мы обнаружили, что 45 и 25 процентов, соответственно, переходили по ссылкам ». Исследователи полагают, что это несоответствие может быть связано с тем, что участники просто забыли сообщение со ссылкой после того, как нажали на нее.На вопрос, почему они щелкнули по ссылке, подавляющее большинство участников ответили, что это произошло из-за любопытства в отношении содержания фотографий или личности отправителя.
Другие пользователи сказали, что они знали кого-то по имени отправителя или были на вечеринке на прошлой неделе, где были люди, которых они не знали.Напротив, каждый второй из тех, кто не переходил по ссылке, сказал, что причиной этого было то, что они не узнали имя отправителя.
Пять процентов заявили, что хотят защитить конфиденциальность отправителя, не просматривая фотографии, которые не предназначены для них », — объясняет доктор Бененсон. Но какие выводы можно сделать из эксперимента? «Я думаю, что при тщательном планировании и выполнении, любой может щелкнуть ссылку такого типа, даже просто из любопытства», — говорит доктор Бененсон. «Я не думаю, что стопроцентная безопасность возможна. Тем не менее, необходимы дальнейшие исследования, чтобы разработать способы сделать пользователей, например сотрудников компаний, более осведомленными о таких атаках ».