“我,秦始皇,打钱。”
经典的电信骗术已鲜少有人上当,但内核逻辑相似的网络钓鱼却仍是黑客屡试不爽的攻击手段。至于在大规模的网络钓鱼攻击中,哪些人才是更容易中招的“衰仔”,近期的一份研究报告给出了不一样的答案。
找到最易上钩的“鱼”
苏黎世联邦理工学院与第三方公司合作进行了一项为期15个月的大规模网络钓鱼调查研究。期间以14733名参与者为样本,通过常规工作电子邮箱发送模拟的网络钓鱼电子邮件,部署电子邮件客户端按钮的方式,测试参与者对可疑电子邮件的识别能力。
具体说来,这项研究有四个明确的目的,首先就是研究哪些员工容易被网络钓鱼?培训和警告的有效性到底如何?个体是否可以做些什么提高网络钓鱼检测能力?以及漏洞如何随时间演变?
经过一年零三个月的测试,最终苏黎世联邦理工学院的研究人员得到了一些意想不到的结果。
中招与否无关性别
与多数统计数据一样,研究人员在研判哪些员工更容易被网络钓鱼时,首先想到的就是性别,但从参与者那里统计到的数据却证明性别与网络钓鱼易感性无关。
也就是说,仅从性别上来看,并不能判别出谁在网络钓鱼攻击面前更容易中招。反倒是在年龄上有一定的差异。研究结果显示,年轻人和老年人更容易点击网络钓鱼链接,以及与那些不需要计算机来完成日常工作的人相比,使用专门软件执行重复性任务的人更容易陷入网络钓鱼陷阱。
近1/4重复点击率
看别人排雷都是理论高手,轮到自己上阵,那就不一定了。在这份研究中,有一项名为“重复点击者”的数据显示,30.62%的人打开模拟网络钓鱼电子邮件,点击了其他电子邮件。此外,在执行危险操作(启用宏、提交凭据)的人员中,有23.91%的人执行了不止一次。
经过反复测试,研究人员还发现,32.1%的研究参与者点击了至少一个危险链接或附件,简单说来就是不断暴露于网络钓鱼的测试参与人员最终会陷入网络钓鱼。如果从安全防护的角度出发,即使是对钓鱼邮件攻击高敏感的普通人,在频繁遭遇钓鱼邮件攻击的情况下,依然会大大提高中招的概率。
有效的电子邮件安全和反网络钓鱼过滤器,是十分必要的。
发挥个体能动性
前文中,有提到研究人员在参与者电子邮件上配备了一个“报告网络钓鱼”的按钮。在测试期间,90%的员工报告了6封或更少的可疑电子邮件,用户报告网络钓鱼的准确率为68%,垃圾邮件的准确率为79%,而最多产的报告者的准确率超过80%。比例如此之高的数据,也说明在网络钓鱼攻击面前个体是可以发挥一定效果。
如若付诸实际,会发现利用全公司范围内安全意识较高用户的众包网络钓鱼检测服务的方式,不仅可以降低网络钓鱼攻击的威胁,还可以降低检测系统的工作量,不失为一种抵御网络钓鱼攻击的好方法。
写在最后
一直以来,网络钓鱼都是一种典型常见的欺诈式攻击,伪装成真实的人、系统或者企业的攻击者总能通过广撒大网的电子邮件,轻而易举地捕获想要的目标。由于个体巨大的差异性,很难轻易地断定那些因素导致受害者中招,但苏黎世联邦理工学院的研究虽不能作为防御网络钓鱼攻击的普适性原则,却给了我们带来了一些新的思考角度。
在越发依赖安全解决方案的今天,人本身的识别安全风险的能力,也许不该被忽略。
文章原文链接:https://www.anquanke.com/post/id/263615