Människor kanske inte är så cyberkunniga som de tror att de är när det gäller att identifiera nätfiske med e-post, enligt Missouri S&T-forskare. Men arbetsgivare kan ha nytta av att lära anställda hur man upptäcker nätfiske genom att regelbundet skicka dem falska nätfiske-e-postmeddelanden.

Nätfiske är en metod för att samla in personlig information, bank- och kreditkortsuppgifter, och lösenord via länkar i meddelanden, att på ytan, verkar vara legitima.

"Du borde bara vara ganska misstänksam i allmänhet med e-post, " säger Dr. Casey Canfield, Missouri S&T biträdande professor i ingenjörsledning och systemteknik. "Människor tenderade definitivt att vara översäkra på sin förmåga att upptäcka nätfiske-e-post."

Canfields senaste studie, publiceras med öppen tillgång denna månad i tidskriften Metakognition och lärande , undersökt metakognitionsmått kring nätfiske – eller individers förståelse för deras förmåga att upptäcka nätfiske-e-postmeddelanden. Canfield arbetade med Carnegie Mellon University kollegor Baruch Fischhoff och Ales Davis på studien, som mätte hur väl människors tilltro till deras förmåga att upptäcka nätfiske matchade med verkligheten.

Studiedeltagare tittade på en serie legitima och nätfiske-e-postmeddelanden och svarade på frågor för att avgöra om de kunde identifiera de två typerna. Forskare frågade sedan hur säkra de var på sitt svar, och hur negativa konsekvenserna skulle bli om de missade ett nätfiskemail.

Forskarna fann att när människor var 90-99 % säkra på att de hade identifierat ett e-postmeddelande som antingen nätfiske eller legitimt, de identifierade bara nätfiske-e-postmeddelanden korrekt cirka 56 % av gångerna.

Canfield tog sedan forskningen ett steg längre genom att jämföra deras svar med vad som faktiskt hände på deras hemdatorer. Forskarna använde data från Security Behaviour Observatory vid Carnegie Mellon – en långtidsstudie där varje åtgärd på en volontärs dator övervakas. Genom att använda samma studiedeltagare, Canfield hittade ett intressant samband.

"Förvånande, vi såg att människor med bättre metakognition tenderade att vara bättre på att skydda sig själva, " säger Canfield. "De hade färre skadliga filer på sina datorer. Min tidigare studie som tittade på prestationsstatistik var ofullständig."

Canfield antyder att en artificiell ökning av antalet nätfiske-e-postmeddelanden som människor fick skulle kunna förbättra deras förmåga att skilja bedrägerier från legitima meddelanden.

"En av utmaningarna med nätfiske-e-post är att du inte nödvändigtvis får feedback om huruvida du tagit rätt beslut eller inte, " säger Canfield. "Du kan ha skadliga filer på din dator, men du kanske aldrig vet. Du kanske bara är en portal till något annat mål. Utan den feedbacken, det är verkligen svårt för människor att lära sig om de är bra på att upptäcka nätfiske-e-post."

Det är därför Canfield föreslår att ett utbildningsprogram där arbetsgivare skickar falska nätfiske-e-postmeddelanden kan vara fördelaktigt.

"Det är som en möjlighet för människor att få feedback om hur de har det, " säger hon. "Med det falska nätfiske-e-postmeddelandet, du klickar på den och skickas till en sida som talar om att du klickade på ett nätfiskemail. Med legitima e-postmeddelanden, du får den där feedbackslingan. Du mailar någon, och de mailar dig tillbaka. Du har ett samtal med någon."

Canfield säger att ytterligare forskning i ämnet behövs, men hennes forskning skulle stödja sådana arbetsgivarinsatser.