官方公众号企业安全新浪微博
FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。
FreeBuf+小程序
面对网络钓鱼,什么样的人或情况更容易中招?一项调查研究结果可能和大家所想的不太一样。
这项研究是由苏黎世联邦理工学院的研究人员与一家不知名的公司合作进行的,该公司没有告知参与者关于模拟网络钓鱼项目的情况。最终这项持续了15个月的研究实验共募集了14733名参与者。
为了进行测试,研究人员向参与者的常规工作电子邮件发送了虚假的网络钓鱼电子邮件,并设置了一个电子邮件客户端按钮,使他们能够轻松报告可疑电子邮件。
这项研究的主要目的在于弄清:哪些人容易陷入网络钓鱼、中招的概率如何随时间演变、嵌入式培训和警告的有效性如何以及人们是否可以通过做一些事情来帮助网络钓鱼检测。
网络钓鱼与性别无关
研究结果显示,性别差异与网络钓鱼的中招概率没有明显联系,这与现有的一些研究相矛盾。相反,研究发现,年轻人和老年人更容易中招,因此年龄是一个关键因素。
此外,与那些不需要用电脑完成日常工作的人相比,需要用电脑完成日常工作的人更有可能落入钓鱼陷阱。
重复点击者
反复成为网络钓鱼邮件受害者的个人被称为“重复点击者”(repeated clickers)。研究显示,30.62%的人打开了不止一封网络钓鱼邮件,23.91%的人甚至进行了不止一次危险操作,比如提交个人相关凭证。
一个有趣的发现在于,持续收到网络钓鱼邮件的人最终会被攻破,32.1%的人点击了至少一个危险链接或附件。
安全培训被高估
研究发现,对可疑电子邮件的警告响应是有效的,但随着警告消息变得更加详细冗长,所起到的防护效果并没有增加。
网络钓鱼响应中警告冗长的影响,来源:Arxiv.org
测试中,研究人员得到了一个与常用的安全实践相悖的发现:在模拟网络钓鱼期间进行的嵌入式安全培训被证实是无效的,不仅没有提高人员对抗钓鱼邮件的韧性,反而使他们更容易受到网络钓鱼的影响。
众包具有可行性
被测试人员在他们的电子邮件客户端上有一个 "报告网络钓鱼 "的按钮,以报告可疑的信息。研究发现,90%的人报告了不超过6封可疑邮件,但有些人在整个实验过程中仍然非常活跃。因此,研究人员得出结论,实验中没有“报告疲劳”,这表明众包反网络钓鱼数据是可行的。
随时间推移的累积电子邮件报告,来源:Arxiv.org
就这样一个系统的有效性而言,分析家们研究了反馈时间和标记的准确性。用户报告对钓鱼网站的准确率为68%,如果将垃圾邮件也计算在内,准确率为79%,而最多的报告者的准确率达到了80%以上。这些报告在接收后提交的时间,10%为5分钟,35%为半小时。
报告可疑电子邮件所需的时间,来源:Arxiv.org
假设将这些数字应用于一个拥有1000名员工的公司,其中100名员工成为网络钓鱼活动的目标,将获得8份-25份员工报告的电子邮件,其中5分钟内就有一份高准确率报告,30分钟内则会有更多有价值的报告。
这些发现表明,利用企业范围内的众包式网络钓鱼检测服务可以大大减少网络钓鱼攻击的威胁。这不会因此而产生较大的运营工作量,所以实施众包式网络钓鱼保护的企业不会产生太多的额外负担。
当然,网络钓鱼是一个复杂的话题,涉及许多关键因素,超出了此研究的范围,因此这些发现还不太具备普遍适用的规则。
然而,考虑到网络钓鱼在整个现代网络攻击中继续发挥着核心作用,应该在这些发现的基础上进一步实验,以开发更有效的反钓鱼措施。