Guillaume Rolland
Les travailleurs ressentant une forme spécifique de strain sont in addition susceptibles que les autres d’être victimes d’une attaque de phishing, selon une étude du Pacific Northwest Countrywide Laboratory du ministère de l’Énergie.
Alors que la plupart – sinon la totalité – d’entre nous ressentons du worry au travail, les scientifiques ont identifié une forme spécifique de pressure qui indique qui est le additionally vulnérable à cliquer sur un fake contenu qui pourrait conduire à des logiciels malveillants et à d’autres cybermalfaits. Les travaux pourraient aider les travailleurs et leurs employeurs à renforcer leurs défenses en matière de cybersécurité en reconnaissant les signes avant-coureurs lorsque quelqu’un est sur le stage de faire un clic risqué.
Les résultats de l’équipe d’une étude de 153 participants ont été publiés récemment dans le Journal of Info Warfare. Les chercheurs ont noté que si la taille relativement petite de l’échantillon limitait leur capacité à démêler toutes les relations entre plus de deux douzaines de variables étudiées, la relation entre le stress et la réponse à l’e-mail de phishing simulé était statistiquement significative.
Les coûts des attaques de phishing sont énormes. Une analyse sponsorisée par Proofpoint et menée par le Ponemon Institute estime que les grandes entreprises américaines ont perdu, en moyenne, 14,8 thousands and thousands de bucks chacune à trigger des fraudeurs through le phishing rien qu’en 2021.
Les défenses comprennent non seulement une meilleure technologie, mais également une meilleure sensibilisation des victimes potentielles.
“La première étape pour nous défendre est de comprendre la constellation complexe de variables qui rendent une personne reasonable au phishing”, explique le psychologue PNNL Corey Fallon, auteur correspondant de l’étude. “Nous devons démêler les facteurs qui rendent les gens in addition ou moins susceptibles de cliquer sur un information douteux.”
Dans leur étude, Fallon et ses collègues ont constaté que les personnes qui signalaient un niveau élevé de détresse liée au travail étaient beaucoup plus susceptibles de suivre le lien d’un fake e-mail de phishing. Chaque augmentation d’un point de la détresse autodéclarée augmentait de 15 % la probabilité de répondre à l’e-mail de phishing simulé.
Les scientifiques décrivent la détresse comme un sentiment de stress lorsqu’une personne au travail se despatched dans une predicament difficile et incapable de s’attaquer à la tâche à accomplir. La détresse peut provenir du sentiment que leur charge de travail est trop élevée, ou ils peuvent se demander s’ils ont une formation adéquate ou du temps pour accomplir leur travail.
Extravagant phishing pour explorer la psychologie du phishing
Les 153 members avaient accepté de participer à une étude, mais ils ignoraient que l’e-mail de phishing envoyé quelques semaines moreover tard faisait partie de l’étude prévue sur les facteurs humains.
En ce qui concerne les hameçonnages, c’était un hameçonnage fantaisiste. Il n’y avait aucune point out d’une grosse somme d’argent d’un prince africain, par exemple, et il n’y avait pas de fautes d’orthographe pures et simples ou d’erreurs grammaticales grossières.
“Il s’agissait d’e-mails bien conçus, délibérément conçus pour tromper les gens et adaptés à l’organisation”, a déclaré Jessica Baweja, psychologue et auteur de l’étude. “C’était beaucoup furthermore difficile à détecter que le phishing moyen.”
Chaque participant a reçu l’une des quatre versions différentes d’un information concernant un prétendu nouveau code vestimentaire à mettre en œuvre dans son organisation. L’équipe a testé trois tactiques de phishing courantes séparément et ensemble. Voici ce qu’ils ont trouvé :
- Urgence. 49 % des destinataires ont cliqué sur les liens. Exemple de texte : “Cette politique entrera en vigueur 3 jours à compter de la réception de cet avis. reconnaissez les modifications immédiatement.”
- Menace. 47 % ont cliqué. “… respectez ce changement de code vestimentaire ou vous pourriez faire l’objet de mesures disciplinaires.”
- Autorité. 38 % ont cliqué. “Par le Bureau de l’avocat général…”
- Les trois tactiques ensemble : 31 % ont cliqué
Alors que l’équipe s’était attendue à ce que furthermore de tactiques utilisées ensemble se traduisent par in addition de personnes cliquant sur le concept, ce n’était pas le cas.
“Il est possible que plus de tactiques aient été utilisées, additionally il s’agissait d’un information de phishing évident”, a déclaré l’auteur Dustin Arendt, un scientifique des données. “La tactique doit être convaincante, mais il y a un terrain d’entente. Si trop de tactiques sont utilisées, il peut être évident que vous êtes manipulé.”
Dans les opérations quotidiennes, PNNL teste périodiquement son personnel avec de faux e-mails de phishing. En règle générale, seulement 1 % des destinataires cliqueront. Beaucoup moreover d’employés repèrent le phishing dès le début et fournissent des alertes participatives aux industry experts en cybersécurité du Laboratoire, a déclaré Joseph Higbee, responsable de la sécurité de l’information de PNNL. Lorsqu’un véritable e-mail de phishing est détecté, le Laboratoire purge immédiatement le système de toutes les circumstances de l’e-mail. Les informations sont fréquemment partagées avec d’autres laboratoires du DOE.
L’association homme-equipment pour réduire la cyber-sécurité risque
Remark les entreprises et les employés peuvent-ils utiliser ces données pour réduire le risque ?
“Une choice consiste à aider les gens à reconnaître quand ils se sentent en détresse”, a déclaré Fallon, “afin qu’ils puissent être plus conscients et prudents lorsqu’ils sont particulièrement vulnérables.”
À l’avenir, une solution pourrait être l’association homme-equipment. Si un algorithme notice un changement dans un modèle de travail qui pourrait indiquer de la fatigue ou de l’inattention, un assistant de equipment intelligente pourrait suggérer une pause dans le courrier électronique. Les alertes automatisées sont de as well as en additionally courantes, par exemple lorsqu’un conducteur dérive de manière inattendue et que la voiture émet un avertissement de exhaustion. Les chercheurs ont noté que les avantages potentiels de la contribution d’un assistant device devraient être mis en harmony avec les préoccupations des employés en matière de confidentialité.
“Il peut être difficile de voir le courrier électronique comme une menace”, a déclaré Baweja. “Nos anciens cerveaux ne sont pas câblés pour assimiler les e-mails à des choses effrayantes. Vous travaillez avec des e-mails toute la journée et c’est la routine il y a peu de raisons de penser qu’ils pourraient vous nuire ou nuire à notre organisation.
“Les organisations doivent réfléchir à la manière d’encourager les gens à faire de bons choix. Les gens surestiment leur capacité à détecter les e-mails de phishing”, a-t-elle ajouté.
Les chercheurs du PNNL poursuivent les travaux, mais avec un rebondissement. Au lieu de demander ce qui rend les gens moreover vulnérables au phishing, ils mèneront une petite étude sur les personnes qui ont résisté à l’appât, pour en savoir plus sur leurs caractéristiques et leur état d’esprit lorsqu’ils surveillent leurs e-mails.
Le travail fait partie d’un programme in addition big de recherche sur les équipes homme-device et les facteurs humains au PNNL, qui a récemment accueilli un symposium sur les facteurs humains.
Le travail a été financé par la Cybersecurity and Infrastructure Security Company, qui fait partie du Department of Homeland Stability. En plus d’Arendt, Baweja et Fallon, les auteurs incluent Ji Youthful Yun et Nick Thompson de PNNL et Zhuanyi Shaw, anciennement de PNNL.
