La recherche montre que les gens sont trop confiants quant à l'identification des courriels d'hameçonnage

Les chercheurs du Missouri S & T estiment que les internautes ne sont peut-être pas aussi doués en matière de cyberconscience qu'ils le pensent en matière d'identification des arnaques par hameçonnage par courrier électronique. Toutefois, il peut être avantageux pour les employeurs d’enseigner à leurs employés comment détecter le phishing en leur envoyant régulièrement des e-mails de phishing.

Le phishing est une méthode de collecte d'informations personnelles, de coordonnées bancaires et de cartes de crédit, ainsi que de mots de passe via des liens dans des messages qui, à première vue, semblent légitimes.

"En règle générale, vous devriez être assez méfiant avec les courriels", déclare Casey Canfield, professeur adjoint en sciences et technologie au Missouri, chargé de la gestion de l'ingénierie et de l'ingénierie des systèmes. "Les gens avaient tendance à être trop confiants dans leur capacité à détecter les emails de phishing."

La dernière étude de Canfield, publiée en accès libre ce mois-ci dans la revue Métacognition et apprentissage, ont examiné les métriques de métacognition concernant le phishing ou la compréhension qu'ont les individus de leur capacité à détecter les courriels de phishing. Canfield a collaboré avec Baruch Fischhoff et Ales Davis, des collègues de l’Université Carnegie Mellon, dans le cadre de l’étude, qui mesurait à quel point la confiance des personnes dans leur capacité à détecter le phishing correspondait bien à la réalité.

Les participants à l'étude ont visionné une série d'e-mails légitimes et d'hameçonnage et répondu aux questions afin de déterminer s'ils pouvaient identifier les deux types. Les chercheurs ont ensuite demandé s'ils avaient confiance en leur réponse et quelles seraient les conséquences négatives s'ils manquaient un courrier électronique d'hameçonnage.

Les chercheurs ont constaté que lorsque 90% à 90% des personnes pensaient avoir correctement identifié un courrier électronique comme étant du phishing ou légitime, elles ne l'identifiaient correctement que dans 56% des cas.

Canfield a ensuite poussé la recherche un peu plus loin en comparant leurs réponses à ce qui se passait réellement sur leur ordinateur personnel. Les chercheurs ont utilisé les données de l'observatoire du comportement de sécurité de Carnegie Mellon, une étude à long terme dans laquelle chaque action effectuée sur l'ordinateur d'un volontaire est surveillée. En utilisant ces mêmes participants à l’étude, Canfield a découvert une corrélation intéressante.

"De manière surprenante, nous avons vu que les personnes avec une meilleure métacognition avaient tendance à mieux se protéger", a déclaré Canfield. "Ils avaient moins de fichiers malveillants sur leurs ordinateurs. Mon étude précédente sur les métriques de performance n’était pas concluante."

Canfield suggère qu'une augmentation artificielle du nombre de courriels de phishing reçus pourrait potentiellement améliorer leur capacité à distinguer les fraudes des messages légitimes.

"L'un des problèmes avec les courriels d'hameçonnage est que vous ne recevez pas forcément des informations indiquant si vous avez ou non pris la bonne décision", déclare Canfield. "Vous pouvez avoir des fichiers malveillants sur votre ordinateur, mais vous ne le saurez peut-être jamais. Vous ne pouvez être qu'un portail vers une autre cible. Sans ce retour, il est très difficile pour les gens de savoir s'ils savent bien détecter les courriels de phishing."

C'est pourquoi Canfield suggère qu'un programme de formation dans le cadre duquel les employeurs envoient de faux courriels d'hameçonnage pourrait être bénéfique.

«C’est une opportunité pour les gens d’obtenir des commentaires sur leurs progrès», dit-elle. "Avec le faux email de phishing, vous cliquez dessus et vous êtes envoyé sur une page qui vous indique que vous avez cliqué sur un email de phishing. Avec les emails légitimes, vous obtenez cette boucle de rétroaction. Vous envoyez un e-mail à quelqu'un, et celui-ci vous renvoie. Vous avez une conversation avec quelqu'un. "

Canfield dit que des recherches supplémentaires sur le sujet sont nécessaires, mais ses recherches appuieraient de telles interventions de la part des employeurs.