New EU Study Proves Employees are an Organization’s Best First Line of Defense

bilingualhomepageTop News
Written By David Shipley

French | Spanish

A recent EU study supports Beauceron Security’s position that employees are an organization’s best first line of defense. Keep reading to learn the details of the study and how organizations can benefit from phishing their employees. 

Basis of the Study 

Researchers at ETH Zurich published a study in collaboration with an anonymous organization in December of 2021 where they tested organizational phishing over a period of 15 months from July of 2019 to October of 2020. A total of 14,733 employees from the anonymous organization participated in the study across 28 organizational groups and 3,827 teams. It is the first study of phishing of this scale and duration. 

For the purposes of the study, participant data was analyzed and classified according to age, gender and computer use relating to their role in the organization. Participants were divided into 12 “user groups.” From July 2019 to October 2020, the organization sent 8 different simulated phishing emails to each participant. They received the first 6 emails in random order and at random intervals during the first year of the study, and the last 2 emails in the last 3 months. 5 emails contained a link to a phishing website, while 3 contained an attached file. These emails were not directed at specific employees or company roles but were based on real phishes targeting the entire company. 

The study utilized the existing phishing awareness campaign the organization had been using with their employees prior to the experiment. Researchers had the organization send out 2 types of warnings on simulated phishes: short warnings that were “visually identical to the standard Outlook warnings already in place” and longer, detailed warnings that featured reasons why the email may be considered suspicious. Participants were then further divided into groups that received no warning at all for the simulated phishing emails, the short, standard warning and the modified longer, detailed warning. 

Participants that fell for a phish were redirected to a training webpage that explained that the employee has fallen for a phish, what to look for in the future to identify a phish, an instructional video as well as quizzes and extra learning materials. The contextual or remedial training was completed voluntarily and participants that were redirected to the training webpage could choose not to use it.  

The study was based around the following 4 questions: 

  1. Which employees are the most vulnerable to phishing?  

  2. How many employees will eventually fall for phishing emails through continued exposure? 

  3. How can organizations help employees in phishing prevention by using popular tools such as embedded phishing training and warnings on top of suspicious emails? 

  4. Can employees collectively help the organization in phishing prevention?  

Results of the Study 

The study found that participants clicked on 6,680 out of 117,864 simulated phishes. A little over 32% clicked on at least 1 phish, and 25.4% completed a dangerous action as a result. Researchers also found that the youngest employees aged 18-19 clicked on more phishes and performed more dangerous actions than any other age group. The top performing age group, the study found, was those aged 20-29 and 60+.  

4,260 participants reported at least 1 phishing email during the study. Encouragingly, the button to report a suspected phish was also deployed to company employees not participating in the study who made use of the opportunity and reported suspected phishing emails even though this was not required of them.  

Both short and detailed warnings greatly helped participants identify simulated phishes. When comparing the data, the group that received no warning clicked 3,964 times compared to 1,427 for the short warning and 1,289 for the detailed warning. Since the difference between the short and detailed warnings data shows no significant difference, it was concluded that a detailed warning would not significantly deter a user from falling for a phish.  

It was also found that voluntary contextual (remedial) training does not help users identify phishes, as both the click rate and dangerous action rate were higher for participants who were redirected to the remedial training webpage. More research would need to be conducted to determine the cause of this result, but the voluntary nature of the training may have discouraged users from completing the training, as well as the unspecific nature of the training page in regard to the specific phish clicked as they were randomly assigned to participants.  

The high and steady volume of reported phishes did not slow down as the study progressed and actually increased in the last months of the study when the two final simulated phishes were sent in close succession. The study concludes that as reporting the suspected phish was made easy with the click of a button, participants were motivated to report phishes and did not experience “reporting fatigue,” with 90% of participants reporting 6 or less simulated phishes during the study.  

The study also found and supports our stance that employees are an organization’s first and best line of defense against cyberattacks. Within 5 minutes of launching a phishing campaign, the study found that an average of 10% of participants reported the phish, with 30 to 40% of participants reporting it in half an hour.  

 

Click here to read the full study.

Interested in learning how Beauceron Security can help empower your workforce to be the best first line of defense against cyberattacks? Click here to read our whitepaper on Anti-phishing Training. 

Did you find this blog helpful? Make sure to share it with your teams and colleagues to foster a positive and knowledgeable cybersecurity culture. 

Une nouvelle étude de l’UE prouve que les employés sont la meilleure première ligne de défense d’une organisation

Une étude récente de l’UE appuie la position de Beauceron Security selon laquelle les employés sont la meilleure ligne de défense d’une organisation. Continuez à lire pour connaître les détails de l’étude et apprendre comment les organisations peuvent bénéficier de l’envoi de simulations d’hameçonnage à leurs employés.

FONDEMENTS DE L’ÉTUDE

En décembre 2021, des chercheurs de l’EPF Zurich ont publié les résultats d’une étude menée en collaboration avec une organisation anonyme où ils ont testé l’hameçonnage organisationnel sur une période de 15 mois, de juillet 2019 à octobre 2020. Au total, 14 733 employés de l’organisation anonyme ont participé à l’étude dans 28 groupes organisationnels et 3 827 équipes. Il s’agit de la première étude de cette ampleur et de cette durée à propos de l’hameçonnage.

Aux fins de l’étude, les données sur les participants ont été analysées et classées selon l’âge, le sexe et l’utilisation de l’ordinateur en fonction de leur rôle au sein de l’organisation. Les participants ont été divisés en 12 « groupes d’utilisateurs ». De juillet 2019 à octobre 2020, l’organisation a envoyé 8 courriels d’hameçonnage simulés différents à chaque participant. Ils ont reçu les 6 premiers courriels dans un ordre et à intervalles aléatoires au cours de la première année de l’étude, et les 2 derniers courriels au cours des 3 derniers mois. Sur ce nombre, 5 courriels contenaient un lien vers un site Web d’hameçonnage, tandis que 3 contenaient un fichier joint. Ces courriels ne s’adressaient pas à des employés ou à des rôles particuliers dans l’entreprise, mais étaient basés sur de véritables attaques d’hameçonnage ciblant l’ensemble de l’entreprise.

L’étude a utilisé la campagne existante de sensibilisation à l’hameçonnage que l’organisation utilisait avec ses employés avant l’expérience. Les chercheurs ont demandé à l’organisation d’envoyer 2 types d’avertissements sur les simulations d’hameçonnage : de courts avertissements qui étaient « visuellement identiques aux avertissements Outlook standard déjà en place » et des avertissements plus longs et détaillés qui présentaient des raisons pour lesquelles un courriel peut être considéré comme suspect. Les participants ont ensuite été divisés en trois groupes : ceux qui n’ont reçu aucun avertissement pour les courriels d’hameçonnage simulés, ceux qui ont reçu l’avertissement court et standard, et ceux qui ont reçu l’avertissement plus long et détaillé modifié.

Les participants qui tombaient dans le panneau d’une simulation d’hameçonnage étaient redirigés vers une page Web de formation qui expliquait ce qui venait de se passer, les éléments à rechercher à l’avenir pour identifier une tentative d’hameçonnage, une vidéo didactique ainsi que des questionnaires et du matériel d’apprentissage supplémentaire. La formation contextuelle ou de rattrapage pouvait être suivie sur une base volontaire et les participants qui étaient redirigés vers la page Web de formation pouvaient faire le choix de ne pas suivre celle-ci. 

L’étude était fondée sur les 4 questions suivantes :

  1. Quels sont les employés les plus vulnérables à l’hameçonnage? 

  2. Combien d’employés finiront par tomber dans le piège d’un courriel d’hameçonnage en raison d’une exposition continue?

  3. Comment les organisations peuvent-elles aider les employés dans la prévention de l’hameçonnage en utilisant des outils populaires tels que la formation et les avertissements d’hameçonnage intégrés aux courriels suspects?

  4. Les employés peuvent-ils aider collectivement l’organisation dans la prévention de l’hameçonnage? 

RÉSULTATS DE L’ÉTUDE

L’étude a révélé que les participants ont cliqué sur 6 680 des 117 864 courriels d’hameçonnage simulés. Un peu plus de 32 % des participants ont cliqué sur au moins 1 courriel d’hameçonnage, et 25,4 % d’entre eux ont effectué une action dangereuse en conséquence. Les chercheurs ont également constaté que les plus jeunes employés, ceux âgés de 18 à 19 ans, cliquaient sur plus de tentatives d’hameçonnage et effectuaient des actions plus dangereuses que tout autre groupe d’âge. L’étude a révélé que le groupe d’âge le plus performant était celui des personnes âgées de 20 à 29 ans et de 60 ans et plus.

4 260 participants ont signalé au moins un courriel d’hameçonnage au cours de l’étude. Il est encourageant de constater que le bouton pour signaler une tentative d’hameçonnage soupçonnée a également été utilisé par des employés de l’entreprise qui ne participaient pas à l’étude et qui ont profité de l’occasion pour signaler des courriels d’hameçonnage soupçonnés, même s’ils n’étaient pas tenus de le faire.

Des avertissements courts et détaillés ont grandement aidé les participants à identifier les simulations d’hameçonnage. Lors de la comparaison des données, le groupe qui n’a reçu aucun avertissement a cliqué 3 964 fois sur ces courriels, contre 1 427 pour ceux qui avaient reçu l’avertissement court et 1 289 pour l’avertissement détaillé. Comme les données concernant les individus qui ont reçu des avertissements courts et ceux qui en ont reçu des détaillées ne montrent aucune différence significative, les chercheurs ont conclu qu’un avertissement détaillé ne dissuaderait pas de manière importante un utilisateur de ne pas cliquer sur une tentative d’hameçonnage.

Il a également été constaté que la formation contextuelle volontaire (de rattrapage) n’aide pas les utilisateurs à identifier les tentatives d’hameçonnage, car le taux de clics et le taux d’action dangereuse étaient plus élevés pour les participants qui ont été redirigés vers la page Web de formation de rattrapage. D’autres recherches devraient être menées pour déterminer la cause de ce résultat, mais la nature volontaire de la formation peut avoir découragé les utilisateurs de terminer la formation, ainsi que la nature non spécifique de la page de formation par rapport à la tentative d’hameçonnage spécifique, car ces dernières avaient été attribuées au hasard aux participants.

Le volume élevé et constant de tentatives d’hameçonnage signalées n’a pas ralenti au fur et à mesure que l’étude progressait et a en fait augmenté au cours des derniers mois de l’étude lorsque les deux courriels d’hameçonnage simulés finaux ont été envoyés en succession rapprochée. L’étude conclut qu’étant donné la facilité de signalement des tentatives d’hameçonnage grâce à un simple clic, les participants étaient motivés à signaler ces tentatives et n’ont pas eu de « fatigue du signalement », 90 % des participants ayant déclaré 6 simulations d’hameçonnage ou moins au cours de l’étude.

L’étude a également révélé que les employés sont la première et la meilleure ligne de défense d’une organisation contre les cyberattaques, ce qui soutient notre position sur la question. Dans les 5 minutes suivant le lancement d’une campagne d’hameçonnage, l’étude a révélé qu’en moyenne 10 % des participants ont déclaré la tentative d’hameçonnage, et que 30 à 40 % des participants l’ont signalé en une demi-heure.

 

Pour lire l’étude complète, cliquez ici.

Vous souhaitez savoir comment Beauceron Security peut aider votre main-d’œuvre à être la meilleure ligne de défense contre les cyberattaques? Cliquez ici pour lire notre livre blanc sur la formation anti-hameçonnage.

Avez-vous trouvé ce billet de blogue utile? Assurez-vous de le partager avec vos équipes et vos collègues pour favoriser une culture de cybersécurité positive et bien informée.

Un nuevo estudio de la UE demuestra que los empleados son la mejor línea de defensa de una organización

Un estudio reciente de la UE respalda la postura de Beauceron Security que afirma que los empleados son la mejor línea de defensa de una organización. Sigue leyendo para conocer los detalles del estudio y cómo las organizaciones pueden beneficiarse de enseñar sobre el phishing a sus empleados.

BASES DEL ESTUDIO

Investigadores de ETH Zurich publicaron un estudio en colaboración con una organización anónima en diciembre de 2021 donde probaron hacer phishing a nivel organizacional durante un período de 15 meses, de julio de 2019 a octubre de 2020. Un total de 14,733 empleados de la organización anónima participaron en el estudio en 28 grupos organizacionales y 3827 equipos. Este es el primer estudio de phishing de esta magnitud y duración.

Para los fines del estudio, los datos de los participantes fueron analizados y clasificados por edad, sexo y uso de computadoras en función de su puesto dentro de la organización. Los participantes se dividieron en 12 «grupos de usuarios». De julio de 2019 a octubre de 2020, la organización envió 8 correos electrónicos de phishing simulados diferentes a cada participante. Estos recibieron los primeros seis primeros correos electrónicos en orden aleatorio y en intervalos aleatorios durante el primer año del estudio, y los últimos dos correos electrónicos en los últimos tres meses. Cinco correos electrónicos contenían un enlace a un sitio web de phishing, mientras que tres contenían un archivo adjunto. Estos correos electrónicos no estaban dirigidos a empleados específicos o puestos de la empresa, sino que se basaban en estafas de phishing reales dirigidas a toda la empresa.

El estudio utilizó la campaña de concientización sobre phishing existente que la organización utilizó con sus empleados antes del experimento. Los investigadores pidieron a la organización que enviara dos tipos de advertencias sobre el phishing simulado: advertencias cortas, que eran «visualmente idénticas a las advertencias estándar de Outlook ya existentes», y advertencias más largas y detalladas, que presentaban razones por las que el correo electrónico podía considerarse sospechoso. Luego, los participantes se dividieron en grupos que no recibieron advertencias de los correos electrónicos de phishing simulados, la advertencia corta y estándar, y la advertencia modificada más larga y detallada.

Los participantes que cayeron en el phishing fueron redirigidos a una página web de formación donde se le explicaba al empleado que había caído en el phishing, a qué debía estar atento en el futuro para identificar un phishing, un video instructivo y cuestionarios y materiales de aprendizaje adicionales. La formación contextual o correctiva se completó voluntariamente y los participantes que fueron redirigidos a la página web de la formación pudieron optar por no usarla. 

El estudio se basó en las siguientes 4 preguntas:

  1. ¿Quiénes son los empleados más vulnerables al phishing? 

  2. ¿Cuántos empleados terminarán cayendo en correos electrónicos de phishing debido a la exposición continua?

  3. ¿Cómo pueden las organizaciones ayudar a los empleados a prevenir el phishing mediante el uso de herramientas populares como la formación y las advertencias de phishing integradas en la parte superior de los correos electrónicos sospechosos?

  4. ¿Pueden los empleados ayudar colectivamente a la organización a prevenir el phishing? 

RESULTADOS DEL ESTUDIO

El estudio descubrió que los participantes hicieron clic en 6680 de los 117,864 ganchos de phishing simulados. Poco más del 32% hizo clic en al menos 1 intento de phishing, y el 25.4% llevó a cabo una acción peligrosa como resultado de ello. Los investigadores también vieron que los empleados más jóvenes entre las edades de 18 y 19 años hicieron clic en más intentos de phishing y realizaron acciones más peligrosas que cualquier otro grupo de edad. El estudio encontró que el grupo de edad con el mejor desempeño fueron las personas de entre 20 y 29 años y los mayores de 60 años. 

4260 participantes denunciaron al menos un correo electrónico de phishing durante el estudio. De manera alentadora, el botón para denunciar sospechas de phishing también se utilizó para los empleados de la compañía que no participaban en el estudio y que aprovecharon la oportunidad y denunciaron correos electrónicos sospechosos de phishing, incluso si no se les había pedido que lo hicieran. 

Las advertencias cortas y detalladas ayudaron en gran medida a los participantes a identificar los phishing simulados. Al comparar los datos, el grupo que no recibió ninguna advertencia hizo clic 3964 veces, en comparación con 1427 que sí tenían la advertencia corta y 1289 con la advertencia detallada. Dado que la desigualdad entre los datos de advertencia cortos y los detallados no muestra diferencias significativas, se concluyó que una advertencia detallada no disuadiría significativamente a un usuario de caer en el phishing. 

También se encontró que la formación contextual voluntaria (correctiva) no ayuda a los usuarios a identificar el phishing, ya que la tasa de clics y la tasa de acciones peligrosas fueron más altas para los participantes que fueron redirigidos a la página web de formación correctiva. Se deben realizar más investigaciones para determinar la causa de este resultado, pero la naturaleza voluntaria de la formación pudo haber desalentado a los usuarios de completar la formación, así como la naturaleza no específica de la página de formación con respecto al phishing específico en el que se hizo clic porque se asignó aleatoriamente a los participantes. 

El volumen alto y constante de intentos de phishing denunciados no disminuyó a medida que el estudio progresó y, de hecho, aumentó en los últimos meses del estudio cuando los dos intentos de phishing simulados finales se enviaron en estrecha sucesión. El estudio concluye que debido a que la notificación de sospechas de phishing se facilitó con el clic de un botón, los participantes estaban motivados para denunciar los phishing y no presentaban «fatiga de denuncia», donde el 90% de los participantes denunciaron seis o menos phishing simulados durante el estudio. 

El estudio también reveló y respalda nuestra postura de que los empleados son la primera y la mejor línea de defensa de una organización contra los ataques cibernéticos. A los 5 minutos de lanzar una campaña de phishing, el estudio encontró que en promedio, el 10% de los participantes denunciaron el phishing, y entre el 30 y 40% de los participantes lo denunciaron en media hora. 

 

Para leer el estudio completo, haz clic aquí.

¿Quieres saber cómo Beauceron Security puede ayudar a tu fuerza laboral a ser la mejor línea de defensa contra los ciberataques? Haz clic aquí para leer nuestro informe técnico sobre la formación antiphishing.

¿Te ha resultado útil esta entrada de blog? No dejes de compartirla con tus equipos y compañeros para fomentar una cultura de ciberseguridad positiva y bien informada.

 

David Shipley
Previous

5 Things You Can Do to Drive the Ongoing Success of Your Cyber Awareness Program
Next

Beauceron Security's 2022 Cybersecurity Predictions