Vos e-mails de test anti-hameçonnage sont peut-être trop faciles à repérer. Le NIST a un outil de formation pour cela

  • FrançaisFrançais


  • L’Institut national américain des normes et de la technologie (NIST) a déclaré qu’il avait développé un moyen de mesurer précisément pourquoi le personnel de l’entreprise clique sur des e-mails de phishing évidents et ouvre des pièces jointes chargées de logiciels malveillants, malgré les avertissements de ne pas faire ces choses.

    «De nombreuses organisations ont des programmes de formation au phishing dans lesquels les employés reçoivent de faux e-mails de phishing générés par leur propre organisation pour leur apprendre à être vigilants et à reconnaître les caractéristiques des e-mails de phishing réels», a déclaré le NIST dans un communiqué annonçant sa nouvelle échelle de clic.

    Cette échelle, a déclaré l’institut, vise à aider les RSSI à comprendre pourquoi utilisateurs idiots Le personnel bien intentionné continue de cliquer sur les e-mails de phishing et leurs pièces jointes, libérant généralement tout, des infostealers ordinaires aux infections de ransomware à part entière.

    Outil de formation plutôt que quelque chose à déployer dans le cadre d’un environnement de production, l’échelle de phishing utilise une échelle en cinq points pour déterminer pourquoi les taux de clics pour certains e-mails de formation (faux messages de phishing utilisés par une équipe bleue) sont inférieurs à d’autres.

    “La nouvelle méthode utilise cinq éléments qui sont notés sur une échelle de 5 points qui se rapportent à la prémisse du scénario”, a déclaré le NIST. “Le score global est ensuite utilisé par le formateur de phishing pour aider à analyser ses données et classer l’exercice de phishing comme étant de difficulté faible, moyenne ou élevée.”

    Un article détaillé sur la technique de formation (lien ci-dessous) a expliqué comment les e-mails de formation ont tendance à être ciblés à l’heure actuelle, en les décomposant en catégories spécifiques: “Erreur – liée aux fautes d’orthographe et de grammaire et aux incohérences contenues dans le message; indicateur technique – relatif à adresses e-mail, hyperliens et pièces jointes; indicateur de présentation visuelle – lié à la marque, aux logos, à la conception et à la mise en forme; langue et contenu – comme un message d’accueil générique et le manque de détails du signataire, l’utilisation de la pression du temps et un langage menaçant; et, tactique commune – utilisation des appels humanitaires, des offres trop belles pour être vraies, des offres limitées dans le temps, se faisant passer pour un ami, un collègue ou une figure d’autorité, etc. “

    L’idée est que les organismes infoec peuvent ensuite utiliser ces données pour adapter leur formation au phishing dans l’espoir d’éviter le scénario où les e-mails de formation évidents sont facilement repérables, les taux de clics sont faibles et les C-suite pensent que leur personnel sait tout ce qu’il y a. savoir pour ne pas se faire hameçonner.

    Un article académique sur l’échelle de phish – une étude interne du NIST menée par Michelle Steves, Kristen Greene et Mary Theofanos – peut être consulté sur le site Web du Symposium du NDSS au format PDF. ®

    Laisser un commentaire

    Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *