Det kallas för candy drop. Usb-minnen som släpps som beten i hopp om att de ska plockas upp och pluggas in i en dator som sedan raskt infekteras med virus. Och det fungerar oroväckande bra konstaterar forskaren Elie Burstzein som arbetar på Google.

I ett försök har han och hans forskargrupp spritt ut 297 usb-minnen runtom på det amerikanska forskningsuniversitetet University of Illinois Urbana Champaign – de låg utspridda på parkeringsplatser, i entréer, i föreläsningssalar och på gräsmattor, skriver Network World.

Några var omärkta medan andra var märkta med konfidentiellt innehåll och examenssvar. Några hade nyckelringar i metall och andra hade även en bricka med adress och telefonnummer.

Över hälften av alla de usb-minnen som strötts ut öppnades inom tio timmar. 45 procent gick dessutom vidare till länkar som låg i minnet och som gjorde att de fick in ännu mer skadlig kod.

Läs också: Experten: Ransomware-vågen avslöjar ett hopplöst föråldrat säkerhetstänk

Men hur kommer det sig att man stoppar in ett upphittat usb-minne i sin dator?

I studien gjordes en enkät med 21 procent av dem som intet ont anande stoppat in minnet i sin dator, 68 procent av dem sa att de var för att de ville lämna tillbaka det och 18 procent erkände att de helt enkelt var nyfikna.

Och framför allt var de nyfikna på de bilder som låg på usb-minnet och på sådant som cv och meritförteckningar och liknande. Andra dokument intresserade inte lika mycket.

Att få usb-minnena att se proffsiga ut var dock inte helt lätt, konstaterar Elie Burstzein. Det tog ett par veckors arbete och de kostade nästan 350 kronor styck att tillverka.

Dessutom arbetade teamet länge med att få fram kod som kunde räkna ut vilken typ av operativsystem som usb-minnet pluggades in i.

Här beskriver han hur forskningsteamet gjorde. 

Något tydligt svar på hur candy drop-metoden ska förhindras finns det inte. Men några metoder är att blockera eller begränsa användarnas tillgång till datorerna eller att utbilda dem bättre för att få dem att förstå att de inte ska använda okända usb-minnen.