Pesquisadores das Universidades de Syracuse e do Alabama publicaram recentemente os resultados de um estudo que coletou informações sobre como o cérebro humano se comporta ao interagir com phishings. Eles submeteram voluntários a exames com equipamentos de eletroencefalograma e de análise do movimento dos olhos enquanto se deparavam com sites falsos e verdadeiros, além de mensagens de alerta nos navegadores. O estudo complementa outra pesquisa, também liderada por estudiosos da Universidade do Alabama que usou um aparelho de ressonância magnética com o mesmo objetivo.

Após receber diversas inscrições de interessados em ganhar $ 40 dólares para participar da pesquisa, a equipe do projeto excluiu pessoas que poderiam alterar a representatividade do estudo em relação à população em geral, como estudantes de computação, pois estes teriam mais condições de identificar os phishings.

Os 25 participantes usaram um headset que media a atividade de nove regiões do cérebro, captando momentos em que o voluntário estava concentrado ou distraído, alem de atividades ligadas à cognição e raciocínio crítico. Com o dispositivo de eye-tracking (rastreamento dos olhos) foi possível identificar as regiões da tela onde os usuários ficaram mais atentos em detrimento de outras. Foram analisadas 37 telas, sendo que 13 eram reais e 12 falsas. De maneira aleatória, em meio à exibição de cada tela, eram mostrados os alertas de que a página poderia ser perigosa.

Os resultados da análise do eletroencefalograma demonstraram que a maioria dos participantes estavam atentos ao teste; baixos índices de distração foram identificados, até porque todos tinham em mente que estavam sendo testados, diferentemente de uma situação normal em que navegamos mais relaxados de site em site, sem a pressão de um examinador e sem um equipamento na cabeça. Mesmo assim, 37% dos participantes falharam em identificar sites falsos. O número é semelhante ao da pesquisa que usou o equipamento de ressonância magnética.

Entretanto o dado mais revelador da pesquisa foi o de rastreamento dos olhos que demonstrou que a maioria das pessoas focam sua atenção no logo da empresa e aos campos para a digitação do login e senha. Praticamente ninguém olhou para a URL.

O mesmo comportamento ocorreu na análise dos alertas de segurança. Na imagem abaixo é possível comprovar a concentração de pontos na mensagem e nenhum deles se concentra no campo da URL, o que demonstra que os usuários leram o alerta com atenção, mas não tiveram o interesse de saber quem está alertando. Em um cenário real, até mesmo o alerta pode ser um ataque.

Após o teste com os equipamentos, os participantes preencheram um questionário sobre os seus conhecimentos a respeito de phishing. Esta última fase da pesquisa demonstrou que 100% dos participantes não tinha a noção exata do que é um phishing, 52% deles disseram que nunca tinham ouvido falar no assunto e os outros 48% tinham ideias pouco precisas a respeito dele.

Ao final, os pesquisadores alertam para importância em treinar as pessoas sobre como se prevenir de ataques. Assim como a aquisição de qualquer tipo de conhecimento, o treinamento sobre phishing precisa contemplar a exposição contínua do aluno a casos reais e a técnicas de prevenção, como a de validar os endereços no campo da URL. Isso deve ocorrer independente do nível de conhecimento em tecnologia que o aluno possa ter.

El Pescador – a primeira plataforma de Phishing Educativo do Brasil, atua no desenvolvimento de campanhas que simulam ataques reais de phishing. Nossa equipe especializada cria campanhas para testar a resiliência da sua equipe. Os usuários fisgados são direcionados para um treinamento, onde aprenderão a reconhecer golpes de phishing. Teste e capacite agora a sua equipe e eleve os níveis de segurança da sua empresa com El Pescador.