Les chercheurs de l'Institut national américain des normes et de la technologie (NIST) ont mis au point une nouvelle méthode qui pourrait être utilisée pour évaluer avec précision les raisons pour lesquelles les employés cliquent sur certains courriels d’hameçonnage. L'outil, nommé Phish Scale, utilise des données réelles pour évaluer la complexité et la qualité des tentatives d’hameçonnage afin d'aider les organisations à comprendre où se situent leurs vulnérabilités (humaines).
Revenons d’abord aux sources : dans sa forme la plus simple, le hameçonnage constitue un courriel non sollicité ou toute autre forme de communication électronique où des cybercriminels se font passer pour une organisation de confiance et tentent de voler vos données. Des informations telles que les codes d'accès peuvent ensuite être utilisées de manière abusive pour d'autres attaques ou vendues sur le dark Web et utilisées pour commettre des fraudes ou des vols d'identité.
Par conséquent, toute entreprise ou organisation qui prend sa cybersécurité au sérieux organise régulièrement des exercices de formation sur le phishing pour voir si ses employés peuvent faire la distinction entre les courriels légitimes des tentatives d’arnaques. Ces formations visent à accroître la vigilance des employés et à leur apprendre à identifier les tentatives d'hameçonnage dissimulés sous la forme de courriels légitimes, ce qui leur permet d'éviter de se faire prendre au piège et de protéger leur organisation contre les atteintes à l'argent et à la réputation.
LECTURES COMPLÉMENTAIRES : Succomberiez‑vous à une arnaque d’hameçonnage? Faites le test!
Ces exercices sont généralement supervisés par les responsables de la sécurité informatique (CISO), qui évaluent le succès ou l'échec de ces exercices en fonction du taux de clics - la fréquence à laquelle les employés cliquent sur un message de phishing. Toutefois, les résultats ne sont pas emblématiques de l'ensemble du problème.
« Le Phish Scale est destinée à aider à mieux comprendre si un courriel d'hameçonnage particulier est plus difficile ou plus facile à détecter pour un public cible particulier », précise Michelle Steves, chercheuse au NIST, dans le communiqué de presse annonçant le nouvel outil.
Phish Scale prend en compte deux éléments principaux lorsqu'il s'agit d'évaluer la difficulté à détecter un potentiel message d’hameçonnage. La première variable que l'outil évalue est le « phishing email cues » (littéralement, indices de messages d’hameçonnage) - des signes observables, tels que les fautes d'orthographe, l'utilisation d'adresses e-mail personnelles plutôt que professionnelles, ou l'utilisation de techniques de pression du temps.
La deuxième variable, « l'alignement du contexte du courriel sur l'utilisateur", s'appuie sur un système de notation pour évaluer si le contexte est pertinent pour la cible - plus il est pertinent, plus il devient difficile de l'identifier comme un message d’hameçonnage. Sur la base d'une combinaison de ces facteurs, Phishing scale classe la difficulté de détection de ces tentatives malveillantes en trois catégories : la plus faible, la plus modérée et la plus difficile.
Ces catégories peuvent fournir des informations précieuses sur les attaques d’hameçonnage elles-mêmes, et aider à déterminer pourquoi les gens sont plus ou moins susceptibles de cliquer sur ces courriels.
LECTURES COMPLÉMENTAIRES : 5 façons simples pour se protéger du phishing
Phish Scale vise à permettre aux CISO de mieux comprendre leurs données sur le taux de clics, afin qu'ils ne se fient pas uniquement à la sortie des chiffres. « Un faible taux de clics pour un message d’hameçonnage particulier peut avoir plusieurs causes : Les e-mails de formation au phishing sont trop faciles ou ne fournissent pas un contexte pertinent à l'utilisateur, ou encore l'e-mail d’hameçonnage est similaire à un exercice précédent. De telles données peuvent créer un faux sentiment de sécurité si les taux de clics sont analysés seuls sans comprendre la difficulté du courriel d’hameçonnage associé », précise le NIST.
Bien que toutes les données qui ont été transmises pour le phishing scale proviennent du NIST, l'institut espère tester l'outil sur d'autres organisations et entreprises pour voir s'il est conforme aux normes. Pour plus d'informations sur l'outil et la recherche qui le sous-tend, vous pouvez consulter l'article Categorizing human phishing difficulty: a Phish Scale [en anglais] (ou Catégorisation de la difficulté du phishing humain : une échelle du hameçonnage), publié par les chercheurs Michelle Steves, Kristen Greene et Mary Theofanos.