El phishing: los usuarios lo tienen realmente difícil

Hace no mucho cayó en mis manos el artículo: I Don’t Need an Expert! Making URL Phishing Features Human Comprehensible donde se pueden leer algunas ideas sobre el phishing y las URLs y lo difícil que puede llegar a ser darse cuenta de que estamos siendo engañados.

Judging the safety of a URL is something that even security experts struggle to do accurately without additional information. \changed{In this work, we aim to make experts’ tools accessible to non-experts and assist general users in judging the safety of URLs by providing them with a usable report based on the information professionals use.} We designed the report by iterating with 8 focus groups made up of end users, HCI experts, and security experts to ensure that the report was usable as well as accurately interpreted the information. We also conducted an online evaluation with 153 participants to compare different report-length options. We find that the longer comprehensive report allows users to accurately judge URL safety (93% accurate) and that summaries still provide benefit (83% accurate) compared to domain highlighting (65\% accurate).

Creo que merece la pena su lectura (se puede descargar de [PDF] I Don’t Need an Expert! Making URL Phishing Features Human Comprehensible) para repasar conceptos básicos sobre las URLs, pero también para ver cómo los expertos se enfrentan al problema y echarle un vistazo a los datos que aparecen. En particular, yo tuve la oportunidad de hacer la prueba que indica en la Tabla 3 con un grupo y fue bastante ilustrativo (incluso para mi mismo, que no era perfectamente capaz de identificar todos los casos). Arriba también se puede ver el vídeo de la presentación en el congreso del ACM Special Interest Group on Computer-Human Interaction (SIGCHI). Arriba hay un vídeo de la presentación del artículo.

 Date: November 29, 2023
 Categories:  seguridad
 Tags:  seguridad phishing artículo investigación research paper

Previous
⏪ Un par de informes sobre ciberseguridad del año 2022

Next
¿Un ataque sofisticado o 'paso de contarte lo que sucedió'? ⏩