Một nghiên cứu của ở một trường đại học tại Đức cho thấy một nửa số người tham gia thử nghiệm đã nhấn vào các liên kết được gửi tới từ những người lạ - dù phần lớn trong số họ nói rằng đã biết về nguy cơ lừa đảo. Thông tin đó được rút ra từ những kết quả ban đầu trong công trình nghiên cứu của trường đại học Friedrich-Alexander (FAU), vừa được trình bày tại hội thảo Black Hat 2016.
Các tấn công "spear phishing" giả lập được gửi tới 1700 sinh viên đại học, từ những tài khoản thư điện tử và Facebook giả - được lập ra với 10 cái tên phổ biến nhất trong độ tuổi của những người nhận. Các tài khoản Facebook có mức độ công bố khác nhau, có kèm theo ảnh hoặc không có.
Các thông điệp nói rằng các liên kết trong đó trỏ tới các bức ảnh được chụp tại buổi tiệc năm mới vốn diễn ra một tuần trước kỳ học. Hai tập thông điệp được gửi đi: một được gửi tới người nhận theo tên thật của họ; loại thứ hai thì chỉ nói chung chung về sự kiện và các bức ảnh. Các liên kết dẫn người đọc tới một trang web với thông điệp từ chối truy cập nhưng lưu lại thông tin về người truy cập.
Trường hợp các thông điệp được gửi tới người nhận với tên thật của họ thì được 56% số người nhận email và 37% số người nhận tin nhắn Facebook nhấn vào liên kết. Những thông điệp “chung chung” chỉ được 20% số người nhận email truy cập liên kết nhưng lại được sự ủng hộ của 42% số người nhận tin nhắn trên Facebook.
Theo tiến sỹ Benenson của FAU, điều đáng ngạc nhiên là 78% số người tham gia cho biết họ hiểu về nguy cơ của những liên kết không rõ nguồn gốc. Và trong số những người tự nhận là có hiểu biết về an toàn thông tin, có tới 45% đã nhấn vào liên kết trong thử nghiệm lần đầu và 25% đã nhấn vào liên kết trong thử nghiệm lần hai.
Trong số những người thừa nhận đã nhấn vào liên kết, phần lớn nói rằng họ làm thế vì tò mò. Một nửa số người không nhấn vào liên kết vì họ không nhận biết tên của người gửi, một phần nhỏ thì không nhấn vào liên kết vì lo xâm phạm thông tin cá nhân của người được cho là gửi nhầm. Tiến sỹ Benenson nói rằng nếu thông điệp lừa đảo được chuẩn bị và thực hiện một cách chu đáo thì bất kỳ ai cũng có thể bị lừa truy cập liên kết độc hại, dù chỉ vì tò mò.
Với lượng lớn các thông tin có sẵn trên mạng, nhất là sau những sự cố lộ thông tin quy mô lớn của các tổ chức, thì việc tạo ra những thông điệp phù hợp với sở thích của người nhận trở nên ngày càng dễ dàng. Và như vậy, việc chỉ khuyến cáo người dùng không truy cập các liên kết lạ sẽ là không đủ để tránh cho họ bị lừa đảo qua mạng.