Du har förmodligen ett nätfiske-e-postmeddelande i din inkorg just nu.

Det kan vara en uppenbar bluff, men det är mer sannolikt att det är en lömskt vänlig anteckning som ser ut som om den kommer från en kollega eller vän, ber dig att klicka på den här länken eller öppna den bilagan. Om du gör, en hackare kan komma åt ditt användarnamn och lösenord, potentiellt stjäla mängder av data och äventyra hela din organisation

"Nätfiske-bedrägerier har förändrats avsevärt under de senaste tre åren, sa Ryan Wright, C. Coleman McGehee professor i handel vid University of Virginias McIntire School of Commerce. Hackare, han sa, har gått från att skicka ut miljontals falska e-postmeddelanden till att hänsynslöst rikta sig mot enskilda användare, använder ofta information från konton i sociala medier för att posera som kollegor, vänner eller familjemedlemmar.

Wright forskar och undervisar om cybersäkerhet och arbetar med UVA:s informationssäkerhetschef, Jason Belford, att förbättra cybersäkerheten vid universitetet. Han arbetar också med vicepresident för informationsteknologi Ronald R. Hutchins för att utveckla ny utbildning mot nätfiske för alla statligt anställda.

Här är hans tips för att skydda dig själv och din organisation.

Förstå hur nätfiskebedrägerier verkligen fungerar

E-postnätfiske är den vanligaste tekniken som hackare använder för att komma åt enskilda användarnamn och lösenord och därmed infiltrera hela organisationer.

Även om vi vanligtvis föreställer oss hackare som datorer som bygger sina egna program, Wright sa att de flesta helt enkelt köper nätfiskeprogram från den mörka webben och använder den för att skapa ett nätfiskebedrägeri med e-post.

Om användare klickar på en länk eller bilaga i nätfiskemeddelandet, de dirigeras till en falsk webbsida, till exempel de ryskstödda webbplatser som avslöjats av Microsoft den här veckan. Skadlig programvara kodad på webbplatsen stjäl deras information, vanligtvis deras användarnamn och lösenord.

Hackare kan sedan posera som användare för att få tillgång till information i en organisation. Bara ett klick, från en användare, har utlöst stora hack på organisationer från Target till den amerikanska regeringen – trots deras bästa ansträngningar för att säkra sina tekniska gränser.

Enligt Wright, den genomsnittliga nätfiskewebbsidan varar i cirka sju dagar, eftersom svarsfrekvensen på alla nätfiske-e-postmeddelanden – precis som ett vanligt e-postmeddelande – sjunker dramatiskt efter 24 till 36 timmar.

"Hackare vet att de bara behöver en webbplats uppe i några dagar, " sa Wright. "De satte upp miljontals av dem. Att identifiera dem är lite som att spela "Whac-a-Mole" – du kan inte ta ner dem snabbt nog."

Förstå att du är målet, inte din dator

"Vi tenderar att tänka på cybersäkerhet som ett tekniskt problem, men det är verkligen ett mänskligt problem, " sa Wright. "Nittio till 95 procent av attackerna mot organisationer är attacker mot enskilda människor."

En färsk studie för Cybersecurity at Work, släpptes denna månad, fann att enskilda anställda är den största riskfaktorn för organisationer. Nästan två av fem tillfrågade erkände att de klickat på en tvivelaktig länk eller bilaga – cirka 40 procent av arbetsstyrkan.

Enligt Wright, dagens genomsnittliga nätfiske-bedrägeri riktar sig mot nio personer, använder information från deras LinkedIn, Facebook och andra sociala mediekonton för att anpassa varje meddelande och posera som familjemedlemmar, vänner eller kollegor.

"Dessa är mycket, mycket riktade kampanjer, " sa han. "Det är viktigt att förstå att du är målet, inte bara din dator."

Öva teknik mindfulness

Du tänker förmodligen på mindfulness som något som passar bättre för din yogamatta än din inkorg, men Wrights forskning visar att mindfulnessträning är 38 procent effektivare för att förebygga hacks än traditionell träning mot nätfiske.

Den siffran kommer från fältexperiment som Wright och hans kollegor utförde i en stor organisation, skicka sina egna nätfiske-e-postmeddelanden till en grupp som är utbildad i mindfulness-tekniker, en tränad i traditionella cue-baserade tekniker (dvs letar efter misstänkta ämnesrader, stavning och andra ledtrådar) och en kontrollgrupp utan träning.

"Kee-baserad träning är verkligen bättre än ingenting, men mindfulnessträningen förbättrade resultaten med cirka 38 procent, " sa Wright. "När hackare bara letar efter ett klick, det är en ganska betydande siffra."

Medan cue-baserad träning lär användarna att leta efter en lång och ofta föränderlig lista med e-postegenskaper, mindfulnessträning fokuserar på att få användare att "sluta, tänk och agera" innan du klickar på något, litar på sina instinkter om något känns fel.

"Även den kortaste paus varnar dina instinkter, leder till ett bättre beslut större delen av tiden, " Wright sade. "Vi använder ofta teknik ganska mindlessly; om du pausar och är mer uppmärksam för bara en sekund, då har du redan vunnit."

Lita på dina kollegor

Wright kallar det "den mänskliga brandväggen" - nätet av mänskliga relationer och interaktioner som kan göra det så mycket svårare för hackare att bryta en organisation. Den består inte bara av IT-personal, men av kollegor som litar på varandra för att upptäcka misstänkta aktiviteter och kommunicera med gruppen.

"Vår forskning har visat att människor är mycket mer benägna att gå till sina medarbetare med en säkerhetsfråga innan de går till IT, " sa Wright. IT-avdelningar borde uppmuntra det beteendet snarare än att motverka det, han sa, och hjälpa viktiga influencers på olika avdelningar att sprida korrekt information.

"Om du får ett konstigt mejl och vänder dig till någon i nästa skåp för att fråga om det, du har redan vunnit, " Sa Wright. "Den sortens medvetenhet sprider positiva säkerhetsrutiner i hela organisationen."

Läs en nyhetsartikel om cybersäkerhet varje kvartal

För att öka din medvetenhet om säkerhetsrisker, Wright föreslår att du övervakar den populära pressen efter nyhetsartiklar om cybersäkerhet och läser minst en varje kvartal. Även den lilla läsningen hjälper dig att hålla dig medveten och informerad om de senaste bedrägerierna du sannolikt kommer att se i din inkorg, han sa. Och ju högre din medvetenhet, desto lägre är risken.

"Ju mer säkerhet är framförallt, ju bättre beslut människor fattar, " sa Wright.

Som en utgångspunkt, han rekommenderar Krebs om säkerhet, en webbplats som drivs av Washington Posts reporter som blev cybersäkerhetsgurun Brian Krebs.