[论文解读] Breaching the Human Firewall: Social engineering in Phishing and Spear-Phishing Emails
本研究探讨了社会工程学策略——权威性、稀缺性和从众心理——如何影响用户对钓鱼邮件和精准钓鱼邮件中邮件安全性的感知。通过一项受控实验,研究发现权威性原则是在欺骗用户方面最有效的策略,显著提高了用户将恶意链接判断为安全的可能性,尤其是在精准钓鱼情境下。
We examined the influence of three social engineering strategies on users' judgments of how safe it is to click on a link in an email. The three strategies examined were authority, scarcity and social proof, and the emails were either genuine, phishing or spear-phishing. Of the three strategies, the use of authority was the most effective strategy in convincing users that a link in an email was safe. When detecting phishing and spear-phishing emails, users performed the worst when the emails used the authority principle and performed best when social proof was present. Overall, users struggled to distinguish between genuine and spear-phishing emails. Finally, users who were less impulsive in making decisions generally were less likely to judge a link as safe in the fraudulent emails. Implications for education and training are discussed.
研究动机与目标
- 探讨社会工程学策略如何影响用户对点击邮件链接安全性的判断。
- 比较权威性、稀缺性和从众心理在钓鱼邮件和精准钓鱼邮件中的有效性。
- 评估用户区分真实邮件、钓鱼邮件和精准钓鱼邮件的能力。
- 探讨个体差异(如决策冲动性)在社会工程学攻击易感性中的作用。
提出的方法
- 开展一项受控实验,让参与者接触三类邮件:真实邮件、钓鱼邮件和精准钓鱼邮件。
- 每封邮件均融入三种社会工程学策略之一:权威性、稀缺性或从众心理。
- 使用标准化评分量表测量参与者对每封邮件中链接安全性的判断。
- 使用经过验证的心理评估工具收集参与者决策冲动性的数据。
- 分析社会工程学策略和个体特征对用户风险感知和点击判断的影响。
- 使用统计分析比较不同邮件类型和社会工程学策略下的点击安全判断。
实验结果
研究问题
- RQ1权威性、稀缺性和从众心理如何影响用户在钓鱼邮件和精准钓鱼邮件中对链接安全性的感知?
- RQ2哪种社会工程学策略最能有效欺骗用户,使其认为恶意链接是安全的?
- RQ3用户在多大程度上能够区分真实邮件、钓鱼邮件和精准钓鱼邮件?
- RQ4决策冲动性是否会影响个体在电子邮件攻击中对社会工程学的易感性?
- RQ5这些发现对网络安全教育和培训项目有何启示?
主要发现
- 权威性原则是最有效的社会工程学策略,显著提高了用户认为恶意链接是安全的感知。
- 当使用权威性策略时,用户最难以识别钓鱼邮件和精准钓鱼邮件,表明该策略具有极高的欺骗效果。
- 当存在从众心理时,用户在识别欺诈邮件方面表现最佳,表明该策略对攻击者而言效果较弱。
- 总体而言,用户难以区分真实邮件与精准钓鱼邮件,表明人类威胁检测存在关键漏洞。
- 决策冲动性较低的个体更不可能将恶意链接判断为安全,凸显了审慎决策的保护作用。
- 本研究证实,社会工程学比技术防御更能有效利用心理触发机制,尤其是在定向攻击中。
更好的研究,从现在开始
从论文设计到论文写作,大幅缩短您的研究时间。
无需绑定信用卡
本解读由 AI 生成,并经人工编辑审核。