Les gens ne sont peut-être pas aussi avertis en matière de cybercriminalité qu'ils le croient lorsqu'il s'agit d'identifier les escroqueries par hameçonnage par e-mail, selon les chercheurs du Missouri S&T. Mais les employeurs peuvent tirer profit d'enseigner aux employés comment repérer l'hameçonnage en leur envoyant régulièrement de faux e-mails d'hameçonnage.

Le phishing est une méthode de collecte d'informations personnelles, coordonnées bancaires et de carte de crédit, et mots de passe via des liens dans les messages, qu'en surface, paraissent légitimes.

"Vous devriez juste être assez méfiant en général avec les e-mails, " dit le Dr Casey Canfield, Missouri S &T professeur adjoint de gestion de l'ingénierie et d'ingénierie des systèmes. "Les gens avaient certainement tendance à être trop confiants dans leur capacité à repérer les e-mails de phishing."

La dernière étude de Canfield, publié en libre accès ce mois-ci dans la revue Métacognition et apprentissage , ont examiné les métriques de métacognition autour du phishing, ou la compréhension qu'ont les individus de leur capacité à détecter les e-mails de phishing. Canfield a travaillé avec ses collègues de l'Université Carnegie Mellon Baruch Fischhoff et Ales Davis sur l'étude, qui mesurait à quel point la confiance des gens dans leur capacité à détecter le phishing correspondait à la réalité.

Les participants à l'étude ont consulté une série d'e-mails légitimes et de phishing et ont répondu à des questions pour déterminer s'ils pouvaient identifier les deux types. Les chercheurs ont ensuite demandé à quel point ils étaient confiants dans leur réponse, et à quel point les conséquences seraient négatives s'ils manquaient un e-mail de phishing.

Les chercheurs ont découvert que lorsque les gens étaient sûrs à 90-99% d'avoir correctement identifié un e-mail comme étant soit du phishing, soit légitime, ils n'identifiaient correctement les e-mails de phishing qu'environ 56 % du temps.

Canfield a ensuite poussé la recherche un peu plus loin en comparant leurs réponses avec ce qui se passait réellement sur leurs ordinateurs personnels. Les chercheurs ont utilisé les données du Security Behavior Observatory de Carnegie Mellon, une étude à long terme dans laquelle chaque action sur l'ordinateur d'un volontaire est surveillée. En utilisant ces mêmes participants à l'étude, Canfield a trouvé une corrélation intéressante.

"Étonnamment, nous avons vu que les personnes ayant une meilleure métacognition avaient tendance à mieux se protéger, " dit Canfield. " Ils avaient moins de fichiers malveillants sur leurs ordinateurs. Mon étude précédente sur les mesures de performance n'était pas concluante."

Canfield suggère qu'augmenter artificiellement le nombre d'e-mails de phishing que les gens reçoivent pourrait potentiellement améliorer leur capacité à distinguer les escroqueries des messages légitimes.

"L'un des défis avec les e-mails de phishing est que vous n'obtenez pas nécessairement de retour pour savoir si vous avez ou non pris la bonne décision, " dit Canfield. " Vous pouvez avoir des fichiers malveillants sur votre ordinateur, mais vous ne le saurez peut-être jamais. Vous n'êtes peut-être qu'un portail vers une autre cible. Sans ces commentaires, il est vraiment difficile pour les gens de savoir s'ils sont doués pour détecter les e-mails de phishing."

C'est pourquoi Canfield suggère qu'un programme de formation où les employeurs envoient de faux courriels de phishing pourrait être bénéfique.

"C'est comme une opportunité pour les gens d'avoir des retours sur leur façon de faire, " dit-elle. " Avec le faux e-mail de phishing, vous cliquez dessus et vous êtes redirigé vers une page qui vous indique que vous avez cliqué sur un e-mail de phishing. Avec des e-mails légitimes, vous obtenez cette boucle de rétroaction. Vous envoyez un e-mail à quelqu'un, et ils vous renvoient un e-mail. Vous avez une conversation avec quelqu'un."

Canfield dit que des recherches supplémentaires sur le sujet sont nécessaires, mais sa recherche soutiendrait de telles interventions des employeurs.