Upphovsman:CC0 Public Domain
Tusentals universitetsstudenter och anställda som utsatts för nätfiske via e-post i år har tagit betet. Lyckligtvis, de lurades inte av riktiga bedragare, men av sina egna skolor – i simuleringar som syftar till att göra dem skickligare på att upptäcka verkliga hot.
När Ohio State University gjorde sitt första studentfokuserade nätfiske i januari – en strategi som också används i företagsvärlden – klickade över 18 procent av mottagarna igenom. University of Alabama i Birminghams medarbetarfokuserade kampanj för medvetenhet om nätfiske fick över 7, 000 personer i mars, eller ungefär en fjärdedel av mottagarna.
Ohio State andraårsstudent Ezequiel Herrera, som är stolt över att snabbt svara på meddelanden, överraskas två gånger av de falska nätfiske-e-postmeddelandena. Första gången, han sa, han kände sig stolt över att hans skola tog den sortens pedagogiska åtgärder. Den andra gången gjorde honom frustrerad.
"Jag var typ som 'Wow, Jag är verkligen, riktigt dåligt, "Herrera, 19, sa med ett leende. Sedan dess, han sa, han har blivit mer försiktig när han bläddrar igenom e-postmeddelanden från okända avsändare.
De falska nätfiskemeddelandena härmar e-postmeddelanden om ekonomiskt stöd, högtider, återställning av lösenord eller andra ämnen men innehåller tecken på potentiellt bedrägeri, som generiska hälsningar, begäran om brådskande åtgärder eller information, stavfel, och avsändare från okända domännamn. Mottagare som klickar på länkar i mejlen omdirigeras till tips om goda cybersäkerhetsvanor och hur man upptäcker och rapporterar verkliga försök att stjäla lösenord eller annan känslig information.
"En nätfiske-simulering hjälper människor att förstå vilken roll de spelar för att hantera säkerheten – att det inte är upp till deras IT-support eller helpdesk eller vem som helst att de kan gå med blint, sa Helen Patton, Ohio State chef för informationssäkerhet. "Mycket av det som gör en organisation säker är vad som händer mellan en individ och deras tangentbord eller deras telefon."
Patton pratar om det som en digital vaccination, hjälpa till att skydda individer och det bredare campussamhället mot cyberattacker som kan kosta mycket mer än nätfiske-simuleringarna.
Bara förra månaden, Amerikanska åklagare anklagade en grupp iranier för att ha hackat datorsystemen på cirka 320 universitet i USA och utomlands för att stjäla vetenskap och ingenjörsforskning till ett värde av miljarder dollar som sedan användes av regeringen eller såldes i vinstsyfte. Åklagare sa att spjutfiske-e-postmeddelanden användes för att rikta in sig på över 100, 000 professorer, men de identifierade inte offentligt dessa individer eller deras skolor.
Ohio State har använt nätfiske-simuleringar för anställda sedan 2016. Tjänstemän kommer inte att avslöja exakta resultat av säkerhetsskäl men säger att svaren har förbättrats sedan de tidiga omgångarna när, till exempel, ett meddelande om en skrivare på andra våningen klickades av människor i anläggningar som inte ens hade en andra våning.
I en hast, teknikberoende kultur där så många människor utbyter så mycket information till hands på smartphones och andra enheter, Patton sa, striden får folk att sakta ner.
Det praktiska, erfarenhetsmässig träning av falskt nätfiske har visat sig effektivare jämfört med bildspel, webbseminarier eller andra vanliga typer av utbildning som kan bli inaktuella, sa Joanna Grama, som leder cybersäkerhetsprogrammet på högskoleteknikförbundet EDUCAUSE.
Risken, självklart, är att folk kommer att känna sig lurade, så det är viktigt att utbildningen är pedagogisk, inte straffande, sa Grama.
I Alabama-Birmingham, en fakultetsmedlem fördömde nätfiske-simuleringen som ett slöseri med tid, men de flesta svaren var positiva, sa Curt Carver, universitetets vice VD för informationsteknologi, vem minns första gången han hörde talas om konceptet självfiske för över ett decennium sedan.
Vissa personer rapporterar meddelandena som misstänkta, och andra skickar svar som "Ha, du fick mig!" eller "Fick mig inte den här gången!" Några, han sa, uttryckt intresse för att göra det mer av ett spel, vill mäta hur väl de upptäcker nätfiskeattacker jämfört med andra.
"De har insett... de kan vara en hjälte, de kan vara en person som hjälper till att skydda alla andra, sa Carver.
© 2018 Associated Press. Alla rättigheter förbehållna.