面對(duì)網(wǎng)絡(luò)釣魚(yú)，什么樣的人或情況更容易中招?一項(xiàng)調(diào)查研究結(jié)果可能和大家所想的不太一樣。

這項(xiàng)研究是由蘇黎世聯(lián)邦理工學(xué)院的研究人員與一家不知名的公司合作進(jìn)行的，該公司沒(méi)有告知參與者關(guān)于模擬網(wǎng)絡(luò)釣魚(yú)項(xiàng)目的情況。最終這項(xiàng)持續(xù)了15個(gè)月的研究實(shí)驗(yàn)共募集了14733名參與者。

為了進(jìn)行測(cè)試，研究人員向參與者的常規(guī)工作電子郵件發(fā)送了虛假的網(wǎng)絡(luò)釣魚(yú)電子郵件，并設(shè)置了一個(gè)電子郵件客戶端按鈕，使他們能夠輕松報(bào)告可疑電子郵件。

這項(xiàng)研究的主要目的在于弄清：哪些人容易陷入網(wǎng)絡(luò)釣魚(yú)、中招的概率如何隨時(shí)間演變、嵌入式培訓(xùn)和警告的有效性如何以及人們是否可以通過(guò)做一些事情來(lái)幫助網(wǎng)絡(luò)釣魚(yú)檢測(cè)。

[[440849]]

網(wǎng)絡(luò)釣魚(yú)與性別無(wú)關(guān)

研究結(jié)果顯示，性別差異與網(wǎng)絡(luò)釣魚(yú)的中招概率沒(méi)有明顯聯(lián)系，這與現(xiàn)有的一些研究相矛盾。相反，研究發(fā)現(xiàn)，年輕人和老年人更容易中招，因此年齡是一個(gè)關(guān)鍵因素。

此外，與那些不需要用電腦完成日常工作的人相比，需要用電腦完成日常工作的人更有可能落入釣魚(yú)陷阱。

重復(fù)點(diǎn)擊者

反復(fù)成為網(wǎng)絡(luò)釣魚(yú)郵件受害者的個(gè)人被稱為“重復(fù)點(diǎn)擊者”(repeated clickers)。研究顯示，30.62%的人打開(kāi)了不止一封網(wǎng)絡(luò)釣魚(yú)郵件，23.91%的人甚至進(jìn)行了不止一次危險(xiǎn)操作，比如提交個(gè)人相關(guān)憑證。

一個(gè)有趣的發(fā)現(xiàn)在于，持續(xù)收到網(wǎng)絡(luò)釣魚(yú)郵件的人最終會(huì)被攻破，32.1%的人點(diǎn)擊了至少一個(gè)危險(xiǎn)鏈接或附件。

安全培訓(xùn)被高估

研究發(fā)現(xiàn)，對(duì)可疑電子郵件的警告響應(yīng)是有效的，但隨著警告消息變得更加詳細(xì)冗長(zhǎng)，所起到的防護(hù)效果并沒(méi)有增加。

網(wǎng)絡(luò)釣魚(yú)響應(yīng)中警告冗長(zhǎng)的影響，來(lái)源：Arxiv.org

測(cè)試中，研究人員得到了一個(gè)與常用的安全實(shí)踐相悖的發(fā)現(xiàn)：在模擬網(wǎng)絡(luò)釣魚(yú)期間進(jìn)行的嵌入式安全培訓(xùn)被證實(shí)是無(wú)效的，不僅沒(méi)有提高人員對(duì)抗釣魚(yú)郵件的韌性，反而使他們更容易受到網(wǎng)絡(luò)釣魚(yú)的影響。

眾包具有可行性

被測(cè)試人員在他們的電子郵件客戶端上有一個(gè) "報(bào)告網(wǎng)絡(luò)釣魚(yú) "的按鈕，以報(bào)告可疑的信息。研究發(fā)現(xiàn)，90%的人報(bào)告了不超過(guò)6封可疑郵件，但有些人在整個(gè)實(shí)驗(yàn)過(guò)程中仍然非常活躍。因此，研究人員得出結(jié)論，實(shí)驗(yàn)中沒(méi)有“報(bào)告疲勞”，這表明眾包反網(wǎng)絡(luò)釣魚(yú)數(shù)據(jù)是可行的。

隨時(shí)間推移的累積電子郵件報(bào)告，來(lái)源：Arxiv.org

就這樣一個(gè)系統(tǒng)的有效性而言，分析家們研究了反饋時(shí)間和標(biāo)記的準(zhǔn)確性。用戶報(bào)告對(duì)釣魚(yú)網(wǎng)站的準(zhǔn)確率為68%，如果將垃圾郵件也計(jì)算在內(nèi)，準(zhǔn)確率為79%，而最多的報(bào)告者的準(zhǔn)確率達(dá)到了80%以上。這些報(bào)告在接收后提交的時(shí)間，10%為5分鐘，35%為半小時(shí)。

報(bào)告可疑電子郵件所需的時(shí)間，來(lái)源：Arxiv.org

假設(shè)將這些數(shù)字應(yīng)用于一個(gè)擁有1000名員工的公司，其中100名員工成為網(wǎng)絡(luò)釣魚(yú)活動(dòng)的目標(biāo)，將獲得8份-25份員工報(bào)告的電子郵件，其中5分鐘內(nèi)就有一份高準(zhǔn)確率報(bào)告，30分鐘內(nèi)則會(huì)有更多有價(jià)值的報(bào)告。

這些發(fā)現(xiàn)表明，利用企業(yè)范圍內(nèi)的眾包式網(wǎng)絡(luò)釣魚(yú)檢測(cè)服務(wù)可以大大減少網(wǎng)絡(luò)釣魚(yú)攻擊的威脅。這不會(huì)因此而產(chǎn)生較大的運(yùn)營(yíng)工作量，所以實(shí)施眾包式網(wǎng)絡(luò)釣魚(yú)保護(hù)的企業(yè)不會(huì)產(chǎn)生太多的額外負(fù)擔(dān)。

當(dāng)然，網(wǎng)絡(luò)釣魚(yú)是一個(gè)復(fù)雜的話題，涉及許多關(guān)鍵因素，超出了此研究的范圍，因此這些發(fā)現(xiàn)還不太具備普遍適用的規(guī)則。

然而，考慮到網(wǎng)絡(luò)釣魚(yú)在整個(gè)現(xiàn)代網(wǎng)絡(luò)攻擊中繼續(xù)發(fā)揮著核心作用，應(yīng)該在這些發(fā)現(xiàn)的基礎(chǔ)上進(jìn)一步實(shí)驗(yàn)，以開(kāi)發(fā)更有效的反釣魚(yú)措施。

參考來(lái)源：

https://www.bleepingcomputer.com/news/security/large-scale-phishing-study-shows-who-bites-the-bait-more-often/