Niedawne badanie Prowadzone przez Carnegie Mellon University i Ben-Gurion University wskazuje, że użytkownicy urządzeń mobilnych wykazują większą tendencję do unikania klikania potencjalnie złośliwych linków w porównaniu z ich odpowiednikami komputerowymi. Badanie to podkreśla znaczenie dostosowanych strategii bezpieczeństwa cybernetycznego dla różnych urządzeń.
Wyniki badania są szczególnie istotne w świetle rosnącego występowania ataków phishingowych. Zgodnie z najnowszym raportem IC3 phishing został zidentyfikowany jako najwyższa reklamacja cyberprzestępczości zgłoszona do FBI w 2024 r. W raporcie udokumentowano 193 407 skarg phishingowych z 859 532 skarg, co spowodowało straty przekraczające 70 mln USD, w szczególności 70 013 036 USD.
Aby zbadać różnice w zachowaniu użytkowników w różnych urządzeniach, naukowcy przeanalizowali anonimowe żądania URL zebrane z startupu ochrony sieci cyberbezpieczeństwa. Ten zestaw danych obejmował nieco poniżej 500 000 żądań URL z urządzeń mobilnych i komputerów PC w ciągu tygodnia w 2020 r. Analiza ujawniła „pozytywny i znaczący związek między urządzeniem mobilnym a poziomem bezpieczeństwa docelowego adresu URL”, sugerując, że użytkownicy mobilni dokonują bezpieczniejszych wyborów.
Badanie wykraczało poza dane obserwacyjne poprzez kontrolowane eksperymenty. Naukowcy rekrutowali uczestników z platformy Amazon Mechanical Turk (AMT). Ci pracownicy AMT mieli za zadanie wykonywać aktywność ze znacznikiem obrazu, jednocześnie przerywane przez symulowane wyskakujące przesłanie phishingowe. Eksperyment został zaprojektowany w celu naśladowania rzeczywistych scenariuszy, w których użytkownicy mają do czynienia z nieoczekiwanymi i potencjalnie złośliwymi linkami.
Wyniki eksperymentu AMT wykazały znaczącą różnicę w zachowaniu między użytkownikami mobilnymi i komputerowymi. W szczególności stwierdzono, że użytkownicy mobilni są „2,67 razy częściej niż użytkownicy komputerów PC, aby wykazywać zachowanie unikające ryzyka”. Oznacza to, że użytkownicy mobilni byli znacznie bardziej skłonni, aby uniknąć klikania złośliwych linków przedstawionych w wyskakujących wiadomościach. Drugi eksperyment wzmocnił te ustalenia, ujawniając, że użytkownicy mobilni byli 4,43 razy bardziej narażeni niż użytkownicy komputerów, aby uniknąć prób phishingowych.
Badanie sugeruje, że użytkownicy mobilni niekoniecznie podejmują lepszych decyzji o tym, które linki do klikania, ale raczej unikają podejmowania decyzji. Raport podsumowuje: „Użytkownicy mobilni zajmują się wyższym kosztem oceny ryzyka, unikając ryzyka, a nie poprzez jego uleganie”. Oznacza to, że użytkownicy mobilni częściej popełniają ostrożność, nawet jeśli oznacza to utratę legalnych treści.
Naukowcy zaproponowali kilka potencjalnych wyjaśnień tej różnicy w zachowaniu. Jedna hipoteza koncentruje się wokół „mobilnego stanu umysłu”, co sugeruje, że osoby korzystające z urządzeń mobilnych często są w drodze i doświadczają wyższego „obciążenia poznawczego”. Carnegie Mellon Profesor i współautor badań Naama Ilany-Tzur wyjaśnił: „Kiedy będziesz załadowany, a nawet przeciążony, będziesz miał tendencję do unikania podejmowania decyzji”.
Mniejszy rozmiar ekranu i bardziej ograniczone środowisko urządzeń mobilnych może również przyczynić się do trudności w ocenie ryzyka. I odwrotnie, użytkownicy komputerów „wchodzą w interakcje z większym ekranem i znajdują się w środowisku, które jest mniej ograniczające poznawczo, a kulminacją jest większe prawdopodobieństwo zaakceptowania ryzyka”, zgodnie z badaniami.
Biorąc pod uwagę te ustalenia, Ilany-Tzur sugeruje, że organizacje rozważają dostosowanie swoich strategii bezpieczeństwa cybernetycznego w celu uwzględnienia różnych profili ryzyka użytkowników komputera i mobilnych. „Powiedziałbym, że ostrzeganie ludzi szybciej lub częściej lub obniżenie progu mechanizmów alarmowych byłoby ogólną strategią zaczęcia postępowania z sytuacją”, powiedziała It Brew. W kolejnym e-mailu zaleciła także „wzmocnienie mechanizmów ochrony specjalnie dla urządzeń komputerowych”.
Badanie podkreśla znaczenie zrozumienia zachowań użytkowników na różnych urządzeniach i odpowiednio dostosowywanie środków bezpieczeństwa cybernetycznego. Jak stwierdził Ilany-Tzur: „Niebezpieczeństwo czaimy się, gdy jesteśmy swobodni, a nie na przewagie”, podkreślając potrzebę ciągłej czujności, szczególnie wśród użytkowników komputerów, którzy mogą być bardziej podatni na ataki phishingowe.
