什么樣的情況下容易上鉤?這項(xiàng)研究結(jié)果和你想的不太一樣
面對網(wǎng)絡(luò)釣魚,什么樣的人或情況更容易中招?一項(xiàng)調(diào)查研究結(jié)果可能和大家所想的不太一樣。
這項(xiàng)研究是由蘇黎世聯(lián)邦理工學(xué)院的研究人員與一家不知名的公司合作進(jìn)行的,該公司沒有告知參與者關(guān)于模擬網(wǎng)絡(luò)釣魚項(xiàng)目的情況。最終這項(xiàng)持續(xù)了15個月的研究實(shí)驗(yàn)共募集了14733名參與者。
為了進(jìn)行測試,研究人員向參與者的常規(guī)工作電子郵件發(fā)送了虛假的網(wǎng)絡(luò)釣魚電子郵件,并設(shè)置了一個電子郵件客戶端按鈕,使他們能夠輕松報告可疑電子郵件。
這項(xiàng)研究的主要目的在于弄清:哪些人容易陷入網(wǎng)絡(luò)釣魚、中招的概率如何隨時間演變、嵌入式培訓(xùn)和警告的有效性如何以及人們是否可以通過做一些事情來幫助網(wǎng)絡(luò)釣魚檢測。
網(wǎng)絡(luò)釣魚與性別無關(guān)
研究結(jié)果顯示,性別差異與網(wǎng)絡(luò)釣魚的中招概率沒有明顯聯(lián)系,這與現(xiàn)有的一些研究相矛盾。相反,研究發(fā)現(xiàn),年輕人和老年人更容易中招,因此年齡是一個關(guān)鍵因素。
此外,與那些不需要用電腦完成日常工作的人相比,需要用電腦完成日常工作的人更有可能落入釣魚陷阱。
重復(fù)點(diǎn)擊者
反復(fù)成為網(wǎng)絡(luò)釣魚郵件受害者的個人被稱為“重復(fù)點(diǎn)擊者”(repeated clickers)。研究顯示,30.62%的人打開了不止一封網(wǎng)絡(luò)釣魚郵件,23.91%的人甚至進(jìn)行了不止一次危險操作,比如提交個人相關(guān)憑證。
一個有趣的發(fā)現(xiàn)在于,持續(xù)收到網(wǎng)絡(luò)釣魚郵件的人最終會被攻破,32.1%的人點(diǎn)擊了至少一個危險鏈接或附件。
安全培訓(xùn)被高估
研究發(fā)現(xiàn),對可疑電子郵件的警告響應(yīng)是有效的,但隨著警告消息變得更加詳細(xì)冗長,所起到的防護(hù)效果并沒有增加。
網(wǎng)絡(luò)釣魚響應(yīng)中警告冗長的影響,來源:Arxiv.org
測試中,研究人員得到了一個與常用的安全實(shí)踐相悖的發(fā)現(xiàn):在模擬網(wǎng)絡(luò)釣魚期間進(jìn)行的嵌入式安全培訓(xùn)被證實(shí)是無效的,不僅沒有提高人員對抗釣魚郵件的韌性,反而使他們更容易受到網(wǎng)絡(luò)釣魚的影響。
眾包具有可行性
被測試人員在他們的電子郵件客戶端上有一個 "報告網(wǎng)絡(luò)釣魚 "的按鈕,以報告可疑的信息。研究發(fā)現(xiàn),90%的人報告了不超過6封可疑郵件,但有些人在整個實(shí)驗(yàn)過程中仍然非常活躍。因此,研究人員得出結(jié)論,實(shí)驗(yàn)中沒有“報告疲勞”,這表明眾包反網(wǎng)絡(luò)釣魚數(shù)據(jù)是可行的。
隨時間推移的累積電子郵件報告,來源:Arxiv.org
就這樣一個系統(tǒng)的有效性而言,分析家們研究了反饋時間和標(biāo)記的準(zhǔn)確性。用戶報告對釣魚網(wǎng)站的準(zhǔn)確率為68%,如果將垃圾郵件也計(jì)算在內(nèi),準(zhǔn)確率為79%,而最多的報告者的準(zhǔn)確率達(dá)到了80%以上。這些報告在接收后提交的時間,10%為5分鐘,35%為半小時。
報告可疑電子郵件所需的時間,來源:Arxiv.org
假設(shè)將這些數(shù)字應(yīng)用于一個擁有1000名員工的公司,其中100名員工成為網(wǎng)絡(luò)釣魚活動的目標(biāo),將獲得8份-25份員工報告的電子郵件,其中5分鐘內(nèi)就有一份高準(zhǔn)確率報告,30分鐘內(nèi)則會有更多有價值的報告。
這些發(fā)現(xiàn)表明,利用企業(yè)范圍內(nèi)的眾包式網(wǎng)絡(luò)釣魚檢測服務(wù)可以大大減少網(wǎng)絡(luò)釣魚攻擊的威脅。這不會因此而產(chǎn)生較大的運(yùn)營工作量,所以實(shí)施眾包式網(wǎng)絡(luò)釣魚保護(hù)的企業(yè)不會產(chǎn)生太多的額外負(fù)擔(dān)。
當(dāng)然,網(wǎng)絡(luò)釣魚是一個復(fù)雜的話題,涉及許多關(guān)鍵因素,超出了此研究的范圍,因此這些發(fā)現(xiàn)還不太具備普遍適用的規(guī)則。
然而,考慮到網(wǎng)絡(luò)釣魚在整個現(xiàn)代網(wǎng)絡(luò)攻擊中繼續(xù)發(fā)揮著核心作用,應(yīng)該在這些發(fā)現(xiàn)的基礎(chǔ)上進(jìn)一步實(shí)驗(yàn),以開發(fā)更有效的反釣魚措施。
參考來源:
https://www.bleepingcomputer.com/news/security/large-scale-phishing-study-shows-who-bites-the-bait-more-often/
