面对钓鱼,什么样的人或者情况更容易中招?一份调查的结果可能和大家想的不一样。该研究由苏黎世联邦理工学院的研究人员与一家未具名的公司合作进行,该公司并未告知参与者有关模拟网络钓鱼程序的信息。最终,历时15个月的研究实验共招募了14733名参与者。在测试中,研究人员向参与者的常规工作电子邮件发送虚假的网络钓鱼电子邮件,并设置一个电子邮件客户端按钮,使他们能够轻松报告可疑电子邮件。这项研究的主要目的是找出哪些人容易受到网络钓鱼的影响,被抓到的概率如何随着时间的推移而变化,嵌入式培训和警告的有效性如何,以及人们是否可以做些什么来帮助检测网络钓鱼。网络钓鱼与性别无关该研究的结果表明,性别差异与网络钓鱼成功的概率之间没有显着联系,这与现有的一些研究相矛盾。相反,研究发现年轻人和老年人更有可能被招募,因此年龄是一个关键因素。此外,需要使用计算机完成日常工作的人比不需要的人更容易落入网络钓鱼陷阱。重复点击者反复成为网络钓鱼电子邮件受害者的个人被称为“重复点击者”。研究表明,30.62%的人打开了不止一封钓鱼邮件,23.91%的人甚至进行了不止一次的危险操作,比如提交个人凭证。一项有趣的发现是,持续收到网络钓鱼电子邮件的人最终会遭到入侵,其中32.1%的人至少点击了一个危险链接或附件。安全培训被高估研究发现,对可疑电子邮件的警告响应是有效的,但这种保护并没有随着警告消息变得更加冗长而增加。TheEffectofWarningVerbosenessinPhishingResponses,来源:Arxiv.org在测试中,研究人员得出了一个违背常见安全实践的发现:模拟网络钓鱼期间的嵌入式安全培训被证明是无效的,不仅没有使人们对网络钓鱼电子邮件更有弹性使他们更容易受到网络钓鱼的攻击。众包工作测试者在他们的电子邮件客户端上有一个“报告网络钓鱼”按钮来报告可疑邮件。研究发现,90%的人报告的可疑电子邮件不超过6封,但有些人在整个实验过程中仍然非常活跃。因此,研究人员得出结论,实验中没有出现“报告疲劳”,表明众包反钓鱼数据是可行的。随着时间的推移累积的电子邮件报告,来源:Arxiv.org对于此类系统的有效性,分析师研究了反馈时间和标记准确性。用户报告在钓鱼网站上的准确率为68%,在计算垃圾邮件时准确率为79%,排名靠前的报告者准确率超过80%。这些报告在收到后提交的时间分别为10%五分钟和35%半小时。报告可疑电子邮件所需的时间,来源:Arxiv.org假设这些数字适用于拥有1000名员工的公司,其中100名员工成为网络钓鱼活动的目标,将以电子方式获得8-25名员工报告电子邮件,具有高5分钟内提供准确报告,30分钟内提供更有价值的报告。这些发现表明,利用企业范围的众包网络钓鱼检测服务可以大大降低网络钓鱼攻击的威胁。这不会造成很大的运营工作量,因此实施众包网络钓鱼防护的企业不会有太多额外负担。当然,网络钓鱼是一个复杂的话题,有许多关键因素超出了本研究的范围,因此这些发现还不是一般的经验法则。然而,鉴于网络钓鱼在整个现代网络攻击中继续发挥核心作用,应该在这些发现的基础上进行进一步的实验,以制定更有效的反网络钓鱼措施。参考来源:https://www.bleepingcomputer.com/news/security/large-scale-phishing-study-shows-who-bites-the-bait-more-often/
