Un nou instrument ajută companiile să evalueze de ce angajații dau click pe e-mailurile de phishing
Noul instrument dezvoltat de NIST poate ajuta organizațiile să îmbunătățească testarea abilităților de detectare a tentativelor de phishing de către angajații lor.
Cercetătorii de la Institutul Național de Standarde și Tehnologie din SUA (NIST) au conceput o nouă metodă care ar putea fi utilizată pentru a evalua cu exactitate de ce angajații dau click pe anumite e-mailuri de phishing. Instrumentul, numit Scala Phish, folosește date reale pentru a evalua complexitatea și calitatea atacurilor de phishing pentru a ajuta organizațiile să înțeleagă unde se află vulnerabilitățile lor (umane).
Pe scurt, în forma sa cea mai simplă, phishing-ul este un e-mail nesolicitat sau orice altă formă de comunicare electronică prin care infractorii cibernetici se folosesc de identitatea unei organizații de încredere și încearcă să vă subtilizeze datele. Informații precum datele de acces pot fi apoi utilizate pentru alte atacuri sau vândute pe dark web și folosite ulterior pentru a comite fraude sau furturi de identitate.
Prin urmare, orice companie sau organizație care ia în serios securitatea cibernetică, desfășoară în mod regulat traininguri în domeniul phishing-ului pentru a vedea dacă angajații săi pot face distincția între e-mailurile reale și cele de phishing. Aceste instruiri își propun să sporească vigilența angajaților și să-i învețe să identifice semne ale unor atacurilor de phishing care se prefigurează a fi e-mailuri legitime, ceea ce în final ajută la protejarea companiei și împiedică apariția unor daune pecuniare și reputaționale.
Aceste exerciții sunt, de obicei, supravegheate de către un Chief Information Security Officers (CISO), care evaluează succesul sau eșecul acestor exerciții pe baza ratelor de click – frecvența cu care angajații dau click pe un e-mail de phishing. Cu toate acestea, rezultatele nu sunt reprezentative pentru întreaga problemă.
„Scala Phish este menită să ofere o înțelegere mai complexă dacă un anumit e-mail de phishing este mai greu sau mai ușor de detectat pentru un anumit public țintă”, a declarat cercetătoarea NIST, Michelle Steves, în comunicatul de presă care anunța noul instrument.
Scala Phish analizează două elemente principale atunci când evaluează cât de dificil este să detectezi un potențial e-mail de phishing. Prima variabilă pe care instrumentul o evaluează o reprezintă „indicatorii unui e-mail de phishing” – semne observabile, cum ar fi greșeli de ortografie, folosirea unor adrese de e-mail personale și nu a unor e-mailuri de serviciu sau utilizarea unor tehnici de intimidare.
A doua variabilă este „alinierea contextului e-mailului cu utilizatorul” și folosește un sistem de evaluare pentru a vedea dacă informațiile din e-mail sunt relevante pentru țintă – cu cât este mai relevant, cu atât devine mai greu să îl identificați drept un e-mail de phishing. Pe baza unei combinații a acestor factori, scala de phishing clasifică dificultatea de a identifica phish-ul în trei categorii: cel mai mic, moderat și foarte dificil.
Acestea pot oferi o perspectivă valoroasă asupra atacurilor de phishing în sine, dar pot ajuta și la stabilirea motivului pentru care este mai probabil ca oamenii să dea click pe aceste e-mailuri.
Scala Phish își propune să ofere CISO o mai bună înțelegere a datelor privind rata de click, astfel încât să nu se bazeze doar pe numărul de ieșiri. „O rată de click scăzută pentru un anumit e-mail de phishing poate avea mai multe cauze: e-mailurile de instruire pentru phishing sunt prea ușoare sau nu oferă context relevant utilizatorului sau e-mailul de phishing este similar cu un exercițiu anterior. Datele de acest gen pot crea un fals sentiment de securitate dacă ratele de click sunt analizate singure fără a înțelege dificultatea e-mailului de phishing “, a declarat un reprezentant NIST.
În timp ce toate datele care au fost furnizate către Scala Phish au provenit de la NIST, institutul speră să testeze instrumentul pe alte organizații și companii pentru a vedea dacă funcționează la același standard. Pentru informații suplimentare despre instrument și cercetările care stau la baza acestuia, puteți accesa articolul, Categorizing human phishing difficulty: a Phish Scale, publicat de cercetătorii Michelle Steves, Kristen Greene și Mary Theofanos.