釣魚郵件的最佳防御：內部眾包

近日，蘇黎世聯邦理工學院的研究人員完成了一個涉及14733名參與者，為期15個月的大規模網絡釣魚研究項目，并得出了一些令人驚訝的發現，這些發現與之前安全行業用來指導實踐的研究結果相矛盾。

測試中，研究人員向參與者的常規工作電子郵箱發送了模擬的網絡釣魚電子郵件，并部署了一個電子郵件客戶端按鈕，使他們能夠輕松報告可疑電子郵件。

該研究的四個目標是確定：

• 哪些員工容易被網絡釣魚？
• 漏洞如何隨時間演變？
• 嵌入式培訓和警告的有效性如何？
• 員工是否可以做任何事情來幫助網絡釣魚檢測？

性別無關

人口統計數據多種多樣，使研究人員能夠研究哪些才是用戶被網絡釣魚的決定因素。

與現有研究相矛盾的一項發現是：性別與網絡釣魚易感性無關。

相反，該研究發現，年輕人和老年人更容易點擊網絡釣魚鏈接，因此年齡是一個關鍵因素。

此外，與那些不需要計算機來完成日常工作的人相比，那些使用專門軟件執行重復性任務的人更容易陷入網絡釣魚陷阱。

重復點擊

先前的研究中強調的所謂“重復點擊者”再次中招，30.62%的在此前測試中曾打開過釣魚電子郵件的受試者，再次點擊了本次測試中的釣魚郵件。此外，在執行危險操作（啟用宏、提交憑據）的人員中，有23.91%的人執行了不止一次。

研究中的一個有趣發現是，不斷暴露于網絡釣魚的員工遲早會中招，因為32.1%的研究參與者至少點擊了一個危險鏈接或附件。

這一發現強調了企業部署有效的電子郵件安全和反網絡釣魚過濾器的重要性，因為即使是安全意識較強的員工，持續暴露也會導致其麻木和冒險行為。

培訓被高估

研究發現對可疑電子郵件的警告是有效的，但隨著警告消息變得更加詳細，這種效果并沒有增加，這是一個新發現。

與通常的安全實踐背道而馳的一項發現是，研究人員發現模擬網絡釣魚練習中的自愿嵌入式培訓是無效的。

“有趣的是，與之前的研究結果和常見的行業實踐相矛盾，我們發現模擬網絡釣魚練習和自愿嵌入式培訓（即員工不需要完成培訓）相結合，不僅沒有提高員工的網絡釣魚免疫力，反而會讓員工更容易受到網絡釣魚的影響”，研究論文解釋道。

企業內部眾包方式可行

接受測試的公司員工在他們的電子郵件客戶端上有一個“報告網絡釣魚”按鈕以報告可疑郵件。

研究發現，90%的員工報告了6封或更少的可疑電子郵件，但在整個實驗過程中，有些員工始終非常活躍。

因此，研究人員得出結論，一部分員工沒有“報告疲勞”，這表明眾包反網絡釣魚工作是可行的。

在此類系統的有效性方面，分析師研究了反應時間和標記準確性。

用戶報告網絡釣魚的準確率為68%，垃圾郵件的準確率為79%，而最多產的報告者的準確率超過80%。

報告釣魚郵件所需時間方面，5分鐘內提交的占總量的10%，半小時內提交的占總量的35%。

“如果將這些數字應用到一家擁有1000名員工的假設公司，其中100人成為網絡釣魚活動的目標，我們將收到8到25份員工電子郵件報告——其中一次發生在5分鐘內的概率很高，而更多報告在30分鐘內提交”該論文詳細說明。

這些發現表明，利用全公司范圍內（安全意識較高用戶）的眾包網絡釣魚檢測服務可以顯著降低網絡釣魚攻擊的威脅。

同樣重要的是要注意，這樣的系統不會因此產生大量的工作量，因此實施眾包網絡釣魚保護的公司不會產生太多額外的負擔。

最后，網絡釣魚是一個復雜的議題，涉及許多超出此類研究范圍的關鍵因素，因此該調研中的這些發現和結論僅供參考，不能作為判斷網絡釣魚防御策略的具體證據或普遍適用的規則。

然而，考慮到網絡釣魚在現代網絡攻擊中依然發揮著核心作用，人們應該在這些發現的基礎上進一步試驗，開發出更有效的反網絡釣魚措施。

（來源：@GoUpSec）