Toutes les campagnes de phishing ne fonctionnent pas, mais quand un attaquant persévère avec une stratégie qui le fait, c'est la clé de son succès. C'est la conclusion d'une nouvelle étude portant sur l'attaquant, un aspect largement ignoré mais crucial du phishing. En plus d'identifier des stratégies efficaces, il révèle également que les attaquants sont motivés par des récompenses plus rapides et plus importantes, avec des individus créatifs mettant plus d'efforts dans la construction de ces e-mails malveillants. Aperçus de l'étude, publié aujourd'hui dans une revue en libre accès Frontières en psychologie , peut être utilisé pour développer des outils et des procédures de formation pour détecter les e-mails de phishing.

"Nous trouvons des stratégies de phishing spécifiques, comme l'utilisation d'un ton autoritaire, exprimer un intérêt commun et envoyer des notifications, ont plus de chances de réussir, " dit le Dr Prashanth Rajivan, auteur principal de l'étude et basé à l'Université Carnegie Mellon, Pennsylvanie, ETATS-UNIS.

Le phishing est une forme courante de cyberattaque. Les criminels se font passer pour un tiers de confiance pour persuader les gens de visiter des sites Web frauduleux ou de télécharger des pièces jointes malveillantes, dans l'intention de compromettre leur sécurité. Bien que la recherche se soit largement concentrée sur les victimes de ces crimes, cette nouvelle étude examine un aspect critique du phishing :le comportement et les stratégies de l'attaquant.

« Nous avons créé une expérience de type jeu pour évaluer le fonctionnement de différentes stratégies, et de comprendre comment les incitations et les taux de réussite, ou la créativité d'un individu, peut affecter la motivation, " explique le Dr Rajivan.

Dans l'expérience, les participants humains jouent le rôle d'un attaquant de phishing et accumulent des points, sur un certain nombre de tours, pour avoir réussi à tromper d'autres personnes qui sont « l'utilisateur final » effectuant une tâche de gestion des e-mails. Le jeu a été soigneusement conçu pour former et récompenser les gens à produire des e-mails de phishing utilisant différentes stratégies et différents sujets.

Les stratégies qui avaient le moins de chances de réussir comprenaient « l'offre d'offres, « Vendre du matériel illégal » et « utiliser un ton positif ».

« Les gens peuvent être moins réceptifs aux stratégies associées aux escroqueries qui ont fonctionné il y a une décennie, " explique le Dr Rajivan. " Les stratégies les plus efficaces aujourd'hui seraient " l'envoi de notifications, ' ' l'utilisation d'un ton autoritaire, ' ' profiter de la confiance en se faisant passer pour un ami ou en exprimant un intérêt commun, ' et 'l'échec de la communication'."

La conception répétée du jeu a permis aux chercheurs d'évaluer les tactiques de l'attaquant au fil du temps. Cela a révélé que la persévérance avec une stratégie réussie, plutôt que de passer de l'un à l'autre, peut donner de meilleurs résultats. Les chercheurs attribuent cela aux attaquants améliorant le texte de l'e-mail à chaque tour.

Les incitations ont une influence directe sur la motivation, avec des récompenses différées entraînant un effort moindre. Les récompenses les plus faciles et les plus rapides ont été obtenues, plus un attaquant s'efforce de concevoir des e-mails persuasifs, tout comme les personnes qui ont obtenu un score élevé dans un test de « créativité ». Il n'y avait aucune preuve à suggérer, cependant, que la créativité pourrait être utilisée comme un prédicteur du succès du phishing.

« Il y a eu une recrudescence des attaques de phishing ces dernières années et les attaques régulières, les utilisateurs non experts d'Internet sont généralement les victimes de ces crimes. Nous devons améliorer les pratiques de sécurité actuelles pour modifier la structure des incitations pour l'attaquant. Si les récompenses sont supérieures aux coûts, les attaquants continueront à déployer plus d'efforts dans les campagnes de phishing, " dit le Dr Rajivan. " Nous pensons que les attaquants avec une plus grande créativité peuvent être capables de modifier et d'adapter les e-mails pour échapper à la détection, même si leur créativité ne peut pas déterminer dans quelle mesure ils réussissent à faire réagir l'utilisateur final."

Il continue, « Notre conception expérimentale novatrice pourrait être utilisée pour recruter des personnes pour jouer à notre jeu, ce qui nous donnerait beaucoup d'informations sur les taux de réussite du phishing et comment ces emails peuvent être adaptés, améliorant ainsi le logiciel de détection. En outre, nous pourrions l'utiliser comme outil de formation pour aider les gens à penser comme des pirates afin de mieux détecter les e-mails de phishing."