什么樣的情況下容易上鉤?這項研究結果和你想的不太一樣
面對網絡釣魚,什么樣的人或情況更容易中招?一項調查研究結果可能和大家所想的不太一樣。
這項研究是由蘇黎世聯邦理工學院的研究人員與一家不知名的公司合作進行的,該公司沒有告知參與者關于模擬網絡釣魚項目的情況。最終這項持續了15個月的研究實驗共募集了14733名參與者。
為了進行測試,研究人員向參與者的常規工作電子郵件發送了虛假的網絡釣魚電子郵件,并設置了一個電子郵件客戶端按鈕,使他們能夠輕松報告可疑電子郵件。
這項研究的主要目的在于弄清:哪些人容易陷入網絡釣魚、中招的概率如何隨時間演變、嵌入式培訓和警告的有效性如何以及人們是否可以通過做一些事情來幫助網絡釣魚檢測。
網絡釣魚與性別無關
研究結果顯示,性別差異與網絡釣魚的中招概率沒有明顯聯系,這與現有的一些研究相矛盾。相反,研究發現,年輕人和老年人更容易中招,因此年齡是一個關鍵因素。
此外,與那些不需要用電腦完成日常工作的人相比,需要用電腦完成日常工作的人更有可能落入釣魚陷阱。
重復點擊者
反復成為網絡釣魚郵件受害者的個人被稱為“重復點擊者”(repeated clickers)。研究顯示,30.62%的人打開了不止一封網絡釣魚郵件,23.91%的人甚至進行了不止一次危險操作,比如提交個人相關憑證。
一個有趣的發現在于,持續收到網絡釣魚郵件的人最終會被攻破,32.1%的人點擊了至少一個危險鏈接或附件。
安全培訓被高估
研究發現,對可疑電子郵件的警告響應是有效的,但隨著警告消息變得更加詳細冗長,所起到的防護效果并沒有增加。
網絡釣魚響應中警告冗長的影響,來源:Arxiv.org
測試中,研究人員得到了一個與常用的安全實踐相悖的發現:在模擬網絡釣魚期間進行的嵌入式安全培訓被證實是無效的,不僅沒有提高人員對抗釣魚郵件的韌性,反而使他們更容易受到網絡釣魚的影響。
眾包具有可行性
被測試人員在他們的電子郵件客戶端上有一個 "報告網絡釣魚 "的按鈕,以報告可疑的信息。研究發現,90%的人報告了不超過6封可疑郵件,但有些人在整個實驗過程中仍然非常活躍。因此,研究人員得出結論,實驗中沒有“報告疲勞”,這表明眾包反網絡釣魚數據是可行的。
隨時間推移的累積電子郵件報告,來源:Arxiv.org
就這樣一個系統的有效性而言,分析家們研究了反饋時間和標記的準確性。用戶報告對釣魚網站的準確率為68%,如果將垃圾郵件也計算在內,準確率為79%,而最多的報告者的準確率達到了80%以上。這些報告在接收后提交的時間,10%為5分鐘,35%為半小時。
報告可疑電子郵件所需的時間,來源:Arxiv.org
假設將這些數字應用于一個擁有1000名員工的公司,其中100名員工成為網絡釣魚活動的目標,將獲得8份-25份員工報告的電子郵件,其中5分鐘內就有一份高準確率報告,30分鐘內則會有更多有價值的報告。
這些發現表明,利用企業范圍內的眾包式網絡釣魚檢測服務可以大大減少網絡釣魚攻擊的威脅。這不會因此而產生較大的運營工作量,所以實施眾包式網絡釣魚保護的企業不會產生太多的額外負擔。
當然,網絡釣魚是一個復雜的話題,涉及許多關鍵因素,超出了此研究的范圍,因此這些發現還不太具備普遍適用的規則。
然而,考慮到網絡釣魚在整個現代網絡攻擊中繼續發揮著核心作用,應該在這些發現的基礎上進一步實驗,以開發更有效的反釣魚措施。
參考來源:
https://www.bleepingcomputer.com/news/security/large-scale-phishing-study-shows-who-bites-the-bait-more-often/