Fatores explicativos da vitimização por phishing : um estudo empírico / Pedro Afonso Neto Marques Coelho Balça

Abstract

À medida que a Internet continua a evoluir, também os cibercriminosos melhoram as suas táticas, elaborando novas formas de explorar as vulnerabilidades do ser humano. Entre essas, vitimização por phishing tem-se destacado e representa uma preocupação crítica na atual era digital. Em Portugal, este tipo de cibercrime foi o que registou o maior número de incidentes em 2021 e 2022, com 715 e 742 ocorrências reportadas, respetivamente (Centro Nacional de Cibersegurança, 2023, p. 31). O presente estudo, de natureza quantitativa e correlacional, teve como principal objetivo de estudar a vitimização por phishing em Portugal. Tendo como base principal os conceitos e pressupostos teóricos da Teoria das Atividades de Rotina, de Cohen e Felson (1979), procurou perceber os fatores explicativos da vitimização por phishing, na sua forma tentada e efetiva. Para além de variáveis atinentes às dimensões dessa teoria, foram incluídas no estudo variáveis sociodemográficas e a variável impulsividade como potenciais fatores explicativos da vitimação por phishing. Para alcançar o objetivo de investigação, foi construído um questionário online, através da plataforma Google Forms, e disseminado através das redes sociais, tendo sido constituída uma amostra de 197 indivíduos. Dado que as características da amostra não permitiram a análise estatística da vitimização efetiva por phishing, devido ao baixo número de vítimas efetivas (n = 2), a análise focou-se então na tentativa de vitimização por phishing (n = 152). Verificou-se que os indivíduos que trabalham na área das TIC, que recebem um grande volume de e-mails diariamente, que apresentam um nível de atenção a detalhes de e-mails mais alto e um nível de conhecimento informático mais alto são mais propensos a ser alvo de tentativas de vitimização por phishing. Estes dados apoiam a ideia de que as rotinas digitais aumentam a exposição aos perigos do phishing, mostrando a continua necessidade da formação sobre cibersegurança. Na parte final da dissertação serão discutidos os resultados do presente estudo, bem como as suas limitações, e apresentadas sugestões e pistas para futuras investigações nesta área.

As the Internet continues to evolve, cybercriminals are also improving their tactics, devising new ways to exploit human vulnerabilities. Among these, phishing victimization has stood out and represents a critical concern in the current digital era. In Portugal, this type of cybercrime recorded the highest number of incidents in 2021 and 2022, with 715 and 742 occurrences reported, respectively (Centro Nacional de Cibersegurança, 2023, p. 31). This quantitative and correlational study aimed to examine phishing victimization in Portugal. Based primarily on the concepts and theoretical assumptions of the Routine Activity Theory by Cohen and Felson (1979), the study sought to identify explanatory factors for phishing victimization, in both its attempted and effective forms. In addition to variables related to the dimensions of this theory, sociodemographic variables and impulsivity were included as potential explanatory factors for phishing victimization. To achieve the research objective, an online questionnaire was developed using the Google Forms platform and disseminated through social media, resulting in a sample of 197 individuals. However, due to the low number of effective phishing victims (n = 2), the sample characteristics did not allow for statistical analysis of effective phishing victimization. Therefore, the analysis focused on attempted phishing victimization (n = 152). The study found that individuals working in the ICT field, those who receive a high volume of emails daily, who demonstrate higher attention to email details, and those with higher levels of computer knowledge are more likely to be targeted by phishing attempts. These findings support the notion that digital routines increase exposure to phishing risks, highlighting the ongoing need for cybersecurity training. In the final section of the dissertation, the results of the study, its limitations, and suggestions for future research in this field are discussed.