NIST网络钓鱼度量表用户指南

admin 2025年5月5日19:56:05评论4 views字数 19472阅读64分54秒阅读模式

NIST技术说明

NIST TN 2276

NIST网络钓鱼度量表用户指南

谢妮·道金斯

信息访问部信息技术实验室可视化和可用性组

乔迪·雅各布斯

信息访问部信息技术实验室可视化和可用性组

本出版物可从以下网站免费获取:https://doi.org/10.6028/NIST.TN.2276

202311

编译 樊山 上海观安信息技术股份有限公司

202554

1.简介

网络钓鱼是一种基于电子邮件的网络安全威胁,网络犯罪分子试图从电子邮件收件人那里获取敏感信息。这是一种迫使电子邮件收件人执行对攻击者有利操作(例如,点击欺诈网站的链接或下载恶意附件)的社会工程技术[17]。网络钓鱼威胁影响美国和国际私营和公共部门。它仍然是这些组织面临的最大安全威胁之一,给公司带来了数十亿美元的损失[11]。由于技术保障和电子邮件过滤器不能保证阻止所有传入的恶意电子邮件,因此人通常是组织抵御网络钓鱼攻击的最后一道防线。这些组织的员工必须做好准备,以应对现实世界的网络钓鱼场景。

嵌入式网络钓鱼意识培训计划旨在帮助打击网络钓鱼威胁。在这些程序中,模拟的钓鱼邮件被发送给员工,以训练他们发现可能收到的真实钓鱼邮件。执行这些类型程序的人员(在本用户指南中称为“培训实施者”)部分使用这些程序的结果来评估其组织的安全风险。这些结果通常使用点击率来衡量——点击潜在恶意链接或附件的人数占发送模拟钓鱼电子邮件的总人数,以及报告率——向其组织报告可疑电子邮件的人数占发出模拟钓鱼电子邮件总人数。然而,点击率和报告率并不能全面反映组织的网络钓鱼风险;它们提供了一个单一的见解&有多少人被成功钓鱼。一些网络钓鱼电子邮件比其他电子邮件更难被人们发现,这一事实可以纳入模拟网络钓鱼培训练习的评估中,为评估整体网络安全风险提供了额外的指标。本用户指南中概述的方法解决了这一问题。

NIST网络钓鱼度量表是一种培训实施者对电子邮件的人工网络钓鱼检测难度进行评分的方法,评估网络钓鱼电子邮件本身的属性和电子邮件收件人的特征。

NIST网络钓鱼度量表,以下简称为网络钓鱼度量,最初发表于2019年【注1】的一篇研究文章中[22],于2020年在一份研究期刊上进行了扩展[23],并在随后的几年中进行了进一步研究[3][4]。这些出版物详细介绍了如何使用经验钓鱼模拟数据创建钓鱼量表,以及与培训实施者一起对其进行评估的研究。本用户指南是弥合从研究到实践的差距的第一步,概述了整个网络钓鱼量表,同时提供了如何将其应用于网络钓鱼电子邮件的指导步骤。附录A中提供了一份工作表,用于协助培训实施者应用网络钓鱼度量表。附录B中提供了有关电子邮件属性和文献中相关研究的详细信息。

1.1 使用本用户指南

本用户指南旨在供从业人员使用,包括钓鱼意识培训实施者、网络安全意识培训专业人员和其他负责进行钓鱼培训练习(例如设计、执行和/或分析数据)的计算机安全专业人员。应用网络钓鱼量表得出的人类网络钓鱼检测难度评级主要通过两种方式帮助网络钓鱼意识培训实施者:

1.通过提供关于目标受众的培训消息点击率和报告率的上下文,以及

2.通过提供一种描述实际网络钓鱼威胁的方法,培训实施者可以根据组织面临的威胁类型量身定制培训,从而降低组织的安全风险[22]

虽然本指南是使用经验数据制定的[22],但在考虑使用网络钓鱼度量表时,培训实施者应定制方法,以适应其组织当前的环境和员工群体。此外,在将网络钓鱼量表应用于电子邮件时,培训实施者在评估中保持一致非常重要,以确保跨电子邮件的人工网络钓鱼检测难度比较的有效性。

网络钓鱼只是培训实施者整体网络安全计划的一个方面。从组织的网络安全意识和培训计划的整体来看,网络钓鱼量表是一个额外的指标,培训实施者可以使用它来降低组织的安全风险,同时仍然满足组织的使命和风险承受能力。

2. NIST网络钓鱼度量表

网络钓鱼度量表有两个主要组成部分,共同用于确定人员网络钓鱼检测难度[22]

1.钓鱼电子邮件本身可观察特征的评分系统

2.一种用于将钓鱼电子邮件前提与目标受众一致的评分系统

第一个组成部分是通过评估电子邮件中存在的视觉指标(线索)来衡量的,这些指标可能会在发现钓鱼时提醒电子邮件收件人,例如线索的数量、线索的性质和线索的重复。第二个组成部分——前提一致——基于当前事件、组织环境以及接受者的角色和责任。首先测量这两个组件,然后共同解释,从而得出钓鱼电子邮件的总体人类检测难度评级。第2.1节至第2.3节详细介绍了这些组件,并说明了如何确定钓鱼电子邮件的总体人工钓鱼检测难度。

2.1 电子邮件提示

网络钓鱼度量表的第一个组成部分是针对网络钓鱼电子邮件本身可观察特征的评分系统,称为电子邮件提示[22]

线索是电子邮件的属性,它要么迫使用户点击欺诈链接或附件,要么提醒用户电子邮件可能是网络钓鱼。网络钓鱼电子邮件中线索数量较少表明该电子邮件更难被人检测为网络钓鱼;线索数量越多,检测就越容易。

电子邮件中的线索提供了对电子邮件本身的客观衡量;电子邮件中存在的线索数量被归入网络钓鱼量表的这一部分。通过提示类别以及电子邮件的前提一致类别,来判断检测的难易程度。在对钓鱼电子邮件中的线索数量进行分类时,首先了解钓鱼电子邮件中可能存在的线索类型及其发生位置非常重要。

2.1.1.线索列表

钓鱼邮件线索分为五类[22]

1.错误——与信息中包含的拼写和语法错误以及不一致有关;

2.技术指标——与电子邮件地址、超链接和附件有关; 

3.视觉呈现指标——与品牌、徽标、设计和格式有关; 

4.语言和内容——如通用问候语和缺乏签名者细节、使用时间压力和威胁性语言;以及

5.常见策略——使用人道主义呼吁、“好得令人难以置信”的提议、限时提议、冒充朋友、同事或权威人物等。

每种线索类型都有相关线索,共23个,如表1所示。附录B中可以进一步了解线索以及在电子邮件中寻找什么。

1.按类型列出的线索

线索类型

线索名称

错误

拼写和语法不规则

不一致

技术指标

附件类型

发件人显示姓名和电子邮件地址

URL超链接

域名欺骗

视觉呈现指示器

没有/很少有品牌和徽标

徽标模仿或过时的品牌/徽标

外观不专业的设计或格式

安全指示灯和图标

语言与内容

法律语言/版权信息/免责声明

令人分心的细节

敏感信息请求

紧迫感

威胁性语言

通用问候语

缺少签名者详细信息

常用策略

人道主义呼吁

好得令人难以置信

你很特别

限时优惠

模仿工作或业务流程

冒充朋友、同事、主管、权威人物

2.1.2.识别线索

在分析电子邮件时,了解如何正确识别其线索至关重要。 

虽然第2.1.1节规定了每个线索的特征,但本节剖析了电子邮件的解剖结构,并突出了不同类型线索的典型位置。图1显示了一封钓鱼电子邮件示例。在一封完整的电子邮件中,有四个主要组成部分:

l标题(Header-包括发件人、发送人和收件人信息

l主题(Subject

l附件(Attachment)——如果有,一个或多个可下载的文件

l信息(Message)——包括问候语Salutation(问候语)、正文Body(主要内容)、结束语Closing(签名)和附言Postscript(免责声明)

NIST网络钓鱼度量表用户指南

1.钓鱼电子邮件模板示例

“错误”和“技术指标”提示类型可以在整个电子邮件中的任何地方找到,具体取决于提示。“视觉呈现指示器”提示类型与电子邮件的显示方式有关,因此通常出现在电子邮件的消息中。“语言和内容”和“常用策略”提示类型更多地与电子邮件的前提有关,位于电子邮件的主题或消息中。请参阅附录B,了解各个线索的典型位置【注2】

2.1.3. 对线索数量进行分类

线索分类取决于钓鱼电子邮件中可观察到的线索数量。应仔细检查网络钓鱼电子邮件,以定位和识别存在的线索。为此,使用表2中的标准,计算钓鱼电子邮件中存在的线索的每个实例。例如,如果一封钓鱼电子邮件有三个拼写错误和两个语法错误,则五个“拼写和语法不规则”将计入线索总数。请注意,一些电子邮件特征可以被识别并计为多个线索。例如,一封超链接显示为“www.niist.gov”(与真实域名www.nist.gov相反)的电子邮件,其基础统一资源定位符(URL)为“commerce.gov”,将被视为“拼写和语法违规”和“URL超链接”提示。通过统计电子邮件中存在的线索数量并将线索总数相加,对钓鱼电子邮件进行评分。附录A中的表格可以用作工作表,以帮助您计算线索。

2.线索计数标准

线索类型

线索名称

计数标准

错误

拼写和语法不规则

消息是否包含拼写或语法使用不准确,包括复数不匹配? 

不一致

电子邮件中是否包含不一致?

技术指标

附件类型

是否存在潜在的危险依恋?

发件人显示姓名和电子邮件地址

显示名称是否隐藏了真实的发件人或回复电子邮件地址?

URL超链接

是否有文本将真实URL隐藏在文本后面?

域名欺骗

地址或链接中使用的域名是否与合法实体的域名相似?

视觉呈现指示器

没有/很少有品牌和徽标

是否缺少适当的品牌标签、符号或徽章?

徽标模仿或过时的品牌/徽标

是否有任何品牌元素看起来是模仿的或过时的?

外观不专业的设计或格式

设计和格式是否违反了任何传统的专业惯例?

设计元素是否似乎是非专业生成的?

安全指示灯和图标是否有任何暗示电子邮件安全的标记、图像或徽标?

语言与内容

法律语言/版权信息/免责声明

该消息是否包含任何法律类型的语言,如版权信息、免责声明或税务信息?

令人分心的细节

电子邮件中是否包含多余的细节或与电子邮件的主要前提无关的细节?

敏感信息请求

该消息是否包含对任何敏感信息的请求,包括个人身份信息或凭据?

紧迫感

消息中是否包含时间压力,要求用户快速遵守请求,包括隐含的压力?

威胁性语言

该信息是否包含威胁,包括隐含的威胁,例如不作为的法律后果?

通用问候语

消息中是否缺少问候语或缺乏个性化?

缺少签名者详细信息

邮件是否缺少发件人的详细信息,如联系信息?

常用策略

人道主义呼吁

这条信息是否呼吁帮助有需要的人?

好得令人难以置信

这条信息是否提供了任何好得令人难以置信的东西,比如赢得比赛、彩票、免费度假等等?

你很特别

这封电子邮件是否只为你提供了什么,比如一个秘密仰慕者的情人节贺卡?

限时优惠

这封电子邮件是否提供了任何不会持续很长时间或有限时间的东西?

模仿工作或业务流程

该消息是否显示为与工作或业务相关的流程,例如新的语音邮件、包裹递送、订单确认、发票通知?

冒充朋友、同事、主管、权威人物

该消息是否来自朋友、同事、老板或其他权威实体?

网络钓鱼度量表有三个类别,对应于线索总数得分:

l很少—钓鱼电子邮件的线索数量较少,将电子邮件识别为钓鱼的机会也较少

l一些—钓鱼邮件有适度数量的线索

l许多—钓鱼电子邮件有更多的线索,有更多的机会将电子邮件识别为钓鱼邮件

使用表3中所示的映射,根据该电子邮件的线索总数得分确定钓鱼电子邮件的线索类别。 

3.钓鱼邮件线索类别映射

总线索计数

线索类别

1-8个提示

很少(更难)

9-14个线索

一些

15个或更多提示

许多(难度较小)

少数、一些或许多线索类别与第2.2节中全面介绍的前提一致一起继续到第2.3节“确定检测难度”中。

2.2 主题一致

网络钓鱼度量表的第二个组成部分侧重于用户上下文和网络钓鱼电子邮件之间的关系,称为主题一致[22]。当关系牢固时,这接近于通常所说的鱼叉式网络钓鱼。

主题一致是衡量电子邮件与电子邮件收件人或组织的工作角色或职责的匹配程度。电子邮件的主题一致越强,就越难被检测为网络钓鱼。相反,电子邮件的主题一致越弱,就越容易被检测为网络钓鱼。

评估钓鱼电子邮件的主题一致是一个描述电子邮件消息主题与目标受众相关性的过程。该目标受众可以集中在组织内的各个级别之一(例如,特定领域、部门、组、团队),以了解点击率及其与特定部门或员工的直接关系。在不了解目标受众与钓鱼电子邮件消息主题相关的工作背景的情况下,无法评估主题一致情况。因此,衡量网络钓鱼电子邮件的主题一致性应由了解目标受众工作文化和责任的个人执行。

衡量网络钓鱼电子邮件的主题一致性始于为五个单独的主题一致元素分配一个数值——适用性得分。然后使用这些适用性得分计算主题一致评级。然后,将最终的主题一致评级映射到强、中或弱前提一致类别,与线索类别一起考虑,用于确定电子邮件的检测难度。在评估钓鱼电子邮件之前,需要了解这一过程的五个基础要素。以下部分将介绍这些元素以及如何使用它们来计算前提一致评级。附录A中包含的工作表表格可用于协助培训实施者衡量电子邮件的前提一致性。

2.2.1.主题一致元素

下面详细描述五个主题一致元素中的每一个。 

要素1——模仿工作场所流程或实践

此元素反映了电子邮件的主题与目标受众的流程或实践的相关性。此元素应考虑组织中通常发生的任何流程或功能。 

例如,如果目标受众通常通过某个应用程序接收组织的官方聊天通知,那么一封通知收信人错过聊天消息的邮件在这一要素上的适用性评分就会较低。然而,如果电子邮件通常是聊天通知的方式,那么该邮件在这一要素上的适用性评分就会较高。

要素2——与工作场所相关

这一要素反映了主题与目标受众工作的相关性,包括他们的角色和责任。了解目标受众的工作职责和工作职能是关键,以便正确评估这一要素。 

例如,如果目标受众是财务部门,并且一封电子邮件的主题是延迟或错过付款,那么该电子邮件对这一要素的适用性得分会更高。此元素的另一个考虑因素是发件人的域名。如果电子邮件发件人的域名与您组织的域名相同或相似(例如[email protected]正在接收来自的电子邮件[email protected]),电子邮件对此元素的适用性得分更高。尽管许多组织的安全策略禁止或不鼓励将个人电子邮件用于商业目的,但这仍然是一种常见的做法,即应考虑使用熟悉姓名和公共域名的发件人。如果目标受众熟悉您组织的员工,例如一位名叫John Doe的高管,那么来自“[email protected]“将具有更高的适用性得分。

此外,考虑电子邮件是否与所有或部分目标受众的工作和职责相关。例如,如果电子邮件的主题具有更高的上下文一致性,但仅针对一小部分目标受众,那么工作场所相关性元素应被分配一个中等范围的适用性得分。

要素3——与其他情况或事件相一致,包括工作场所外部的情况或事件

此元素基于目标受众收到钓鱼电子邮件的时间。它反映了主题与直接或间接影响您组织的内部和外部情况或事件的一致性。美国与日历相关的外部事件包括圣诞节、元旦和阵亡将士纪念日;内部事件的例子包括聘请新的组织总监/总裁/领导、开设新的分支机构以及财政年度的开始或结束。如果事件是最新的,并且与目标受众相关,那么此元素的适用性得分应该更高(例如,214日左右发送的与情人节相关的钓鱼电子邮件)。相反,如果一个事件不是最新的或与预期受众无关,那么主题的适用性得分应该较低(例如,在仲夏发送的关于办公室寒假派对的钓鱼电子邮件)。

要素4——工程师担心不点击的后果

如果不采取任何行动,此元素反映了潜在的有害后果,增加了钓鱼电子邮件收件人点击欺诈链接或附件的可能性。某些电子邮件主题比其他主题更能引起收件人的这种反应。例如,基于用户对错过的恐惧(例如,错过的消息、信息通知)的钓鱼电子邮件可能不会产生与更严重指控(例如,受保护的健康信息的潜在泄露、个人信息的暴露、勒索软件)的电子邮件相同的响应。前者对这一要素的适用性得分低于后者。

要素5——已接受针对性培训、特定警告或其他暴露

此元素反映了培训对目标受众的影响,例如,包括与网络钓鱼相关的识别和报告网络钓鱼电子邮件的组织培训。理想情况下,接受过与网络钓鱼相关的某种形式的IT安全培训的员工在将电子邮件识别为网络钓鱼时会比没有接受过培训的员工更明智(此元素的适用性得分更高)。网络钓鱼培训不限于正式IT安全培训课程中的组成部分;培训是指目标受众所接触到的任何意识材料或指导。培训可能涉及:

l正式的IT网络安全意识和培训计划[5][7][16][19][25]; 

l关于如何识别网络钓鱼电子邮件的教育材料或研讨会;或

l组织电子邮件,提醒员工警惕网络钓鱼企图或警告特定类型的网络钓鱼攻击。

如果钓鱼邮件收件人在检测钓鱼邮件方面接受了大量培训,则此元素的适用性得分会更高。同样,如果组织在很长一段时间内实施了强有力的网络钓鱼意识培训计划,则适用性得分会很高。

2.2.2.对主题一致元素进行评分

要计算主题一致评级,首先为五个主题一致元素中的每一个分配一个介于08之间的偶数值——适用性得分(见表4)。 

适用性得分为0的元素表示该元素与目标受众的相关性完全不匹配。相反,8的高适用性得分表明该元素非常适用于目标受众。

4.前提一致适用性度量表

适用性度量表【注3】

适用性评分

极端适用性、一致性或相关性

8

显著的适用性、一致性或相关性

6

适度的适用性、一致性或相关性

4

适用性、一致性或相关性低

2

不适用、没有一致或没有相关性

0

5提供了五个前提一致元素的标准。使用这些标准以及适用性量表来确定每个元素的适用性得分。 

5.主题一致元素评分标准

主题一致元素

评分标准

1.模仿工作场所的流程或实践

该元素是否试图捕捉目标受众与工作场所流程或实践的前提一致性?

2.与工作场所相关

这个元素是否试图反映前提对目标受众的相关性?

3.与其他情况或事件保持一致,包括工作场所外部的情况或事件

这个元素是否与其他情况或事件相一致,即使是工作场所之外的情况或事件,为信息增添了熟悉感?

4.工程师担心不点击的后果

这个元素是否反映了不点击会增加点击可能性的潜在有害后果?

5.曾接受过针对性培训、特定警告或其他接触

这一要素是否反映了导致主题检测的有针对性的训练效果?必须注意适当地纳入培训或警告的特殊性,因为学习的转移是相当困难的。

每个主题一致元素的适用性得分用于计算最终的主题一致评级。

2.2.3.对主题一致进行分类

上一节的适用性得分用于计算最终的主题一致评级:将要素14的适用性分数相加,然后从总数中减去要素5的适用性评分。要素五涉及培训,有助于检测;因此,从总和中减去分配给该元素的数值。下面的方程式1显示了前提一致所需的计算。

𝑟𝑒𝑚𝑖𝑠𝑒𝐴𝑙𝑖𝑔𝑛𝑚𝑒𝑛𝑡𝑅𝑎𝑡𝑖𝑛𝑔 =𝑆𝑢𝑚(𝐸𝑙𝑒𝑚𝑒𝑛𝑡1𝑡ℎ𝑟𝑜𝑢𝑔ℎ𝐸𝑙𝑒𝑚𝑒𝑛𝑡4)−𝐸𝑙𝑒𝑚𝑒𝑛𝑡5

主题一致性评分 = Sum(元素1到元素4元素5(公式1

最高可能的主题一致评级为32,表示钓鱼电子邮件消息与目标受众相匹配,目标受众没有接受过任何相关培训,也没有收到任何关于即将到来的钓鱼演习的事先警报或警告。最低的前提一致评级为-8,表示钓鱼电子邮件与目标受众完全不匹配,并且他们之前已经接受过与钓鱼相关的培训、警报或警告。 

一旦计算出最终的前提一致评级,就可以将其映射到三个前提一致类别之一【注4】

l-钓鱼电子邮件的主题与目标受众的一致性很高,使电子邮件难以被检测为钓鱼邮件

l中等—钓鱼电子邮件的主题与目标受众的一致性适中

l-钓鱼电子邮件的主题与目标受众的一致性较低,使电子邮件不太难被检测为钓鱼邮件

使用表6中描述的映射来确定钓鱼电子邮件的主题一致类别。

6.钓鱼电子邮件主题一致类别映射

主题一致评级

主题一致类别

10及以下

11  17

中等

18及以上

弱、中等或强主题一致类别与第2.1.3节中的线索类别一起转入第2.3节。

2.3 确定检测难度

应用网络钓鱼度量表的最后一步是确定电子邮件的整体检测难度。如表7所示,对之前确定的钓鱼电子邮件的线索(见第2.1.3节)和前提一致(见第2.2.3节)类别进行综合分析,以确定钓鱼电子邮件的检测难度。 

7.网络钓鱼度量表-检测难度

线索类别

主题一致类别

检测难度

很少(更难)

很难

中等

很难

中等难度

一些

很难

中等

中等难度

中等难度至最低难度

很多(难度较小)

中等难度

中等

中等难度

难度最小

与线索较多且主题一致较弱的电子邮件相比,线索较少且主题一致较强的电子邮件更难被人类检测为钓鱼者。

例如,被归类为具有“很少”线索和“中等”主题一致的钓鱼电子邮件的检测难度评级为“非常困难”。被归类为具有“一些”线索和“中等”主题一致的钓鱼电子邮件的检测难度评级为“中等难度”。

3.结论说明

使用网络钓鱼度量表来了解网络钓鱼电子邮件的检测难度,可以从两个主要方面帮助网络钓鱼意识培训实施者。首先,网络钓鱼度量表为目标受众提供了有关训练消息点击率和报告率的上下文。例如,在模拟钓鱼练习中使用时,很难检测到的钓鱼电子邮件可能会导致高点击率,这是可以理解的;最简单的电子邮件可能会导致较低的点击率。然而,当网络钓鱼活动产生意外结果时(例如,一封导致高点击率的“最简单”电子邮件),这可能表明目标受众需要修改或额外的培训。

其次,网络钓鱼度量表提供了一种描述实际网络钓鱼威胁的方法,因此培训实施者可以通过根据组织面临的威胁类型量身定制培训来降低组织的安全风险,同时仍然保持弹性的安全态势。强大而有弹性的安全态势的一个好处是维护内部和外部的信任。一个强大的网络钓鱼计划不应该是一种停滞不前的“复选框”式的练习,而应该是成熟的网络安全意识和培训计划的一个不断发展的部分,以提供成熟的、由指标驱动的结果。组织需要根据其独特的环境和员工的需求和要求量身定制其网络安全和意识培训计划,同时仍然满足其组织的使命和风险承受能力。组织实施的安全级别应与其风险、组织目的和运营相称。换句话说,组织面临的风险越高,组织应该实施的安全级别就越高。

最后,一个组织的网络安全意识和培训计划并不是万灵药。一个组织需要采取多管齐下的方法,考虑技术、流程和人员,以识别、应对和报告可疑的钓鱼事件。当应用于用户的家庭和工作环境时,这些策略可以为用户提供具体的技能和知识,让他们更好地防御潜在的网络钓鱼企图,保护用户及其组织。

参考文献

[1] AlazabMamounBroadhurstRoderic,垃圾邮件和犯罪活动(2016)。犯罪和刑事司法的趋势和问题(澳大利亚犯罪学研究所),第52号,RegNet研究论文第2014/44号。出生日期:10.2139/ssrn.2467423

[2] AlutaybiA.Arden CloseE.McAlaneyJ.StefanidisA.PhalpK.AliR.201910月)。社交网络设计如何引发错过的恐惧?在Proc2019IEEE系统、人与控制论国际会议(SMC)(第3758-3765页)。IEEE

[3] BarrientosF.JacobsJ.DawkinsS.,《扩展网络钓鱼:推进NIST网络钓鱼量表》。HCII 2021会议记录(第23届国际人机交互会议)。2021724日至729日。DOI:10.1007/978-3-030-78642-7_52

[4] 道金斯,S.和雅各布斯,J.2023)。如何衡量网络钓鱼:对NIST网络钓鱼量表使用情况的调查。第十九届可用隐私和安全研讨会论文集,美国加利福尼亚州阿纳海姆。

[5] deZafraD.PitcherS.TresslerJ.IppolitoJ.1998)。信息技术安全培训要求:基于角色和绩效的模型。(美国国家标准与技术研究所,马里兰州盖瑟斯堡),NIST特别出版物(SP800-16DOI:10.6028/NISTSP.800-16

[6] DownsJ.S.HolbrookM.CranorL.F.,(20067月)。决策策略和对网络钓鱼的易感性。在Proc。第二届可用隐私和安全研讨会(SOUPS'06),ACM2006,第79-90页。

[7] 2014年《联邦信息安全现代化法案》,Pub。第113-283号法律(2014年)。https://www.govinfo.gov/app/details/PLAW-113publ283(最后检索时间为202310月)。 

[8] 格拉齐奥利,S.20043月)。他们哪里错了?有知识的互联网消费者在互联网上检测欺诈失败的分析。群体决策与谈判13149-1722004)。出生日期:10.1023/B:出生日期:000021839.04093.5d

[9] GreeneK.K.StevesM.TheofanosM.KostickJ.2018)。用户上下文:网络钓鱼易感性的一个解释变量。在Proc2018年网络和分布式系统安全(NDSS)研讨会上的可用安全(USEC)研讨会。 

[10] HadnagyC.FincherM.2015)。钓鱼黑暗水域:恶意电子邮件的进攻和防御方面。威利父子公司。

[11] 联邦调查局互联网犯罪投诉中心(IC3)。 (2023).2022年网络犯罪报告。https://www.ic3.gov/Media/PDF/AnnualReport/2022_IC3Report.pdf(最后检索时间为202310月)。 

[12] 雅各布森,M.2007)。网络钓鱼中的人为因素。消费者信息的隐私和安全。 

[13] KarakasiliotisA.FurnellS.M.PapadakiM.2006)。评估最终用户对社会工程和网络钓鱼的认识。2006124日至5日,西澳大利亚州珀斯伊迪丝科文大学第七届澳大利亚信息战与安全会议论文集。DOI:10.4225/75/57a80e47aa0cb

[14] McAlaney J.Hills PJ。通过眼动追踪了解网络钓鱼电子邮件处理和感知的可信度。前线心理医生。2020728日;11:1756.DOI:10.389/fpsy.2020.01756PMID:32849040PMCID:PMC7399207。 

[15] 莫利纳罗,K.A.2019)。理解钓鱼:使用判断分析来评估人类对钓鱼电子邮件的判断(纽约州立大学布法罗分校博士论文)。 

[16] 美国国家标准与技术研究所(2020)《联邦信息系统和组织的安全和隐私控制》。特别出版物800-53,第5版。DOI:10.6028/NISTSP.800-53r5

[17] NielesM.DempseyK.PillitteriV.Y.2017)。信息安全导论。(美国国家标准与技术研究所,马里兰州盖瑟斯堡),NIST特别出版物(SP800-12,第1版。DOI:10.6028/NISTSP.800-12r1

[18] 奥唐纳,L.20195月)。威胁列表:前5种最危险的附件类型。https://threatpost.com/threatlist-top-5-most-dangerous-attachment-types/144635/(最后检索时间202310月)

[19] 管理和预算办公室通告A-130,将信息作为战略资源进行管理,20167月。https://obamawhitehouse.archives.gov/sites/default/files/omb/assets/OMB/circulars/a130/a130revised.pdf(最后检索时间为202310月)。 

[20] ParsonsK.ButaviciusM.PattinsonM.CalicD.MccormacA.JerramC.2016)。用户是否关注区分网络钓鱼和真实电子邮件的正确线索? 

[21]帕森斯K.,麦考马克A.,帕丁森M.Butavicius M.,杰拉姆C.2013)。网络钓鱼真相:基于场景的用户对电子邮件行为反应实验。在:信息处理系统中的安全和隐私保护(SEC 2013)。IFIP信息和通信技术进展,第405卷。施普林格,柏林,海德堡。DOI:10.1007/978-3-642-39218-4_27

[22]StevesM.GreeneK.TheofanosM.2019)。钓鱼量表:评估人类钓鱼邮件检测难度。2019年可用安全研讨会论文集。加利福尼亚州圣地亚哥,DOI:10.14722/usec.2019.23028

[23]StevesM.GreeneK.TheofanosM.2020)。人类网络钓鱼难度分类:网络钓鱼量表。网络安全杂志,61),tyaa009DOI:10.1093/ybsec/taa009

[24]曹,A.和雅各布森,M.2007)。欺骗与欺骗:网络钓鱼的大型用户研究。 

[25]WilsonM.HashJ.2003)。建立信息技术安全意识和培训计划。(美国国家标准与技术研究所,马里兰州盖瑟斯堡),NIST特别出版物(SP800-50DOI:10.6028/NISTSP.800-50

[26]WrightR.T.JensenM.L.ThatcherJ.B.DingerM.MarettK.2014)研究笔记——网络钓鱼攻击中的影响技术:脆弱性和抵抗力的检验。信息系统研究252):385-400。出生日期:2014522

附录A:NIST网络钓鱼度量工作表

当将NIST网络钓鱼度量表应用于网络钓鱼电子邮件时,可以使用此可填写的工作表。工作表有三个部分:线索(第A.1节)、主题一致(第A.2节)和检测难度(第A.3节)。 

A.1 电子邮件提示

下表可用于计算钓鱼电子邮件的线索数量。表格的第一部分包括关于电子邮件的问题,回答是/否。对表格第二部分中问题的回答应该是电子邮件中相应提示的实例总数。这个总数加上表格第一部分中的“是”答案的数量,得出该钓鱼电子邮件的最终观察线索总数。然后,该最终总数用于对钓鱼线索进行分类。

1部分:对以下问题回答“是”或“否”:

技术指标

发件人的姓名是否与发件人的电子邮件地址无关,包括“回复”地址?

发件人电子邮件地址中使用的域名是否与可识别实体的域名相似?

视觉呈现指示器

是否缺少适当的品牌元素(文本或徽标)?

电子邮件的设计和格式是否显得不专业?

语言与内容

电子邮件是否缺少通用的问候语,如正式或非正式的问候语?  

是 

电子邮件是否缺少个性化设置?

邮件是否缺少发件人的详细信息,如发件人或联系信息?

常见策略

该消息看起来是与工作或业务相关的流程吗?

消息是否来自朋友、同事、老板、其他权威实体或其他信誉良好的权威实体?

回答“是”的总数:_____________

2部分:统计以下内容在电子邮件中出现的总次数:

错误

电子邮件中有多少拼写错误?

电子邮件中有多少语法错误,包括不匹配的复数?

电子邮件中有多少不一致之处?

技术指标

包含多少潜在危险的附件?

文本在超链接中隐藏真实URL的次数是多少?

有多少链接的域名与可识别实体的域名相似?

视觉呈现指示器

有多少品牌元素(文本或徽标)看起来像是模仿?

有多少品牌元素(文本或徽标)似乎已经过时?

电子邮件中有多少不合适的安全指示器或安全图标?

语言与内容

信息中使用了多少次法律语言,如版权信息、免责声明或税务信息?

有多少不涉及信息主要内容的细节(方面)?

电子邮件中有多少敏感信息请求,包括个人身份信息或凭据?

这封电子邮件表达了多少次时间压力,包括暗示?

消息中包含了多少威胁,包括隐含的威胁?

常见策略

这封电子邮件有多少次呼吁帮助他人?

有多少次,电子邮件提供了一些好得令人难以置信的东西,比如赢得了比赛、彩票、免费度假等等?

这封电子邮件是否为你提供了任何个性化和意想不到的内容?

电子邮件在有限的时间内提供了多少次内容?

已统计线索总数:____________

1部分(“是”回答)和第2部分(已计数线索)的总线索计数:______________

总线索计数映射到网络钓鱼度量工作表表1中的相应类别。

网络钓鱼度量工作表表1.线索类映射

总线索计数

线索类

1-8个提示

很少(更难)

9-14

一些

15个或更多提示

许多(难度较小)

线索类:________________

A.2.主题一致

此工作表可用于计算主题一致。 

对于下面的每个元素,根据网络钓鱼度量表表2中的适用性量表分配一个适用性得分。

1) 模仿工作场所的流程或实践

□0 □2 □4

□8

电子邮件对目标受众的工作场所流程或实践的适用性如何?

2) 与工作场所相关

□0 □2 □4

□8

电子邮件的前提与目标受众的角色和责任有多相关?

3) 与其他情况或事件保持一致,包括工作场所外部的情况或事件

□0 □2 □4

□8

电子邮件与其他情况或事件(甚至是工作场所之外的情况或事件)的一致性如何?

4) 工程师担心不点击的后果

 0  2  4

 6  8

对于不点击链接或附件可能产生的有害后果的担忧,电子邮件的适用性如何?

5) 曾接受过针对性培训、特定警告或其他接触

□0 □2 4

□8

电子邮件反映的有针对性的培训效果将导致前提检测,其适用性如何?必须注意适当地纳入培训或警告的特殊性,因为学习的转移是相当困难的。

网络钓鱼度量工作表表2.适用范围

适用范围

适用性评分

极度的适用性、一致性或相关性

8

显著的适用性、一致性或相关性

6

适度的适用性、一致性或相关性

4

适用性、一致性或相关性低

2

不适用、没有一致或没有相关性

0

主题一致元素14的适用性得分之和,减去主题一致元素5的适用性分数,就是您的主题一致评级。

主题一致评级:__________________

前提对齐评级映射到Phish Scale工作表表3中的相应类别。 

网络钓鱼度量工作表表3. 主题一致类别映射

主题一致评级

主题一致类

10及以下

11  17

中等

18岁及以上

主题一致类别:________________

A.3.检测难度

线索类别和前提对齐类别用于根据网络钓鱼度量工作表表4确定检测难度。这一最终的检测难度评级应用于网络钓鱼意识培训练习中的点击率和报告率。

网络钓鱼度量工作表表4. 网络钓鱼度量表-检测难度

线索类别

主题一致类别

检测难度

很少(更难)

非常困难

非常困难

中等难度

一些

非常困难

中等难度

中等难度至最低难度

许多(难度较小)

中等难度

中等难度

最低难度

总体检测难度评级:__________________________

附录 B:详细提示描述

本附录提供了有关线索和线索类型的更多信息,包括线索示例、在电子邮件中查找线索的位置以及文献中的参考文献。

B.1 错误提示

B.1.1 拼写和语法不规则

通常出现在电子邮件的任何部分

示例如附录B1所示

注意电子邮件标题、正文和主题行中的任何语法错误、拼写错误、标点错误或不匹配的复数(例如,使用“compliment”一词代替“complement”)。如果电子邮件正文使用复数代词(例如“we”),但签名行表示单数(例如,来自个人“John Doe”),则会出现不匹配的复数,反之亦然。

参考文献:Parsons等,2016[20]Karakasiliotis等人,2006[13]

B.1.2 不一致

通常出现在电子邮件的任何部分

示例如附录B1所示

不一致的提示是指在合法电子邮件中看似不一致或出乎意料,但在钓鱼电子邮件中很常见的项目。电子邮件中的不一致可能包括电子邮件正文中发送和提及的附件类型不匹配,或者电子邮件正文中的签名与“发件人”行中的发件人不匹配。

参考文献:格拉齐奥利,2004[8]

NIST网络钓鱼度量表用户指南

附录1.错误类型提示的电子邮件示例

译者注:

Spelling and grammar irregularities (spelling error):拼写和语法不规范(拼写错误)

Spelling and grammar irregularities (mismatched plurality):拼写和语法不规范(单复数不一致)

Inconsistency in the attachment file type:附件文件类型不一致

B.2. 技术指标提示

B.2.1. 附件类型

通常在电子邮件的附件部分找到

示例如附录B2所示

任何附件类型都保证将此提示包含在提示计数中,包括图像(例如.jpeg)、pdf(例如.pdf)、可执行文件(例如.exe)和压缩文件(例如.zip)。 

参考文献:AlazabBroadhurst2016[1];奥唐纳,2019[18]

B.2.2 发件人显示姓名和电子邮件地址

通常在电子邮件的标题中找到

示例如附录B2所示

如果发件人显示名称与“发件人”和/或“回复”地址不匹配,请计算此提示。假冒的显示名称可能会说“IT帮助台”,但回复地址可能是“[email protected].“确保标题中的‘from’行在这两个元素之间是一致的。 

参考文献:Parsons等,2016[20]Karakasiliotis等人,2006[13];莫里纳罗,2019[15]

B.2.3 URL超链接

通常在电子邮件的消息正文或消息附言中找到

示例如附录B2所示

当超链接将真实URL隐藏在文本后面时,就会出现此提示,文本格式为纯文本或其他链接。例如,www.nist.gov的超链接在文本中被错误地显示为“国防部”。 

参考文献:Parsons等,2016[20];曹和雅各布森,2007[24]Karakasiliotis等人,2006[13]

B.2.4 域名欺骗

通常出现在电子邮件的标题、消息正文或消息附言中

示例如附录B2所示

这个提示是指一个域名看起来来自目标受众熟知的网站。 

考虑到这一点,域名不应该仅仅是合理的;它应该被目标受众识别为一个熟悉且合法的领域。该域名可以看起来是合法的,也可以与合法域名非常相似。这个线索可以用多种方式计算,包括:

l如果标题中包含一个“发件人”电子邮件地址,并且域名看起来很有信誉。例如,如果发件人是“[email protected].” 

l如果电子邮件正文中显示的超链接文本具有看起来信誉良好的域名。例如,“请前往https://www.ni-st.gov了解更多信息。” 

l如果电子邮件正文中的超链接的URL有一个看起来信誉良好的域名。例如,如果将鼠标悬停在文本上时显示的URL为“https://www.nist.com.” 

注意:如果URL和显示的文本匹配,并且链接到合法网站(例如www.nist.gov),则不要计算此提示。 

参考文献:Karakasiliotis等人,2006[13];曹和雅各布森,2007[24]

NIST网络钓鱼度量表用户指南

附录2.技术指标类型提示的电子邮件示例

译者注:

Domain Spoofing:域名欺骗

Sender display name and email address:发件人显示名称和电子邮件地址

URL HyperlinkingURL 超链接

Attachment:附件

B.3 视觉呈现指示器提示

B.3.1没有/很少有品牌和徽标

通常在电子邮件的主题或消息中找到

示例如附录B3所示

如果缺少任何适当的品牌,请计算此提示。这可能包括缺少徽标、横幅、文本和商标字体。如果电子邮件通常包含品牌或徽标(例如,来自外部供应商),如果缺少这些提示,请将其计算在内;然而,如果一封典型的电子邮件不包括品牌(例如,来自同事的),那么就不要考虑这个暗示。

参考文献:Karakasiliotis等人,2006[13];曹和雅各布森,2007[24]

B.3.2 徽标模仿或过时的品牌/徽标

通常在电子邮件的消息中找到

示例如附录B3所示

如果出现模仿合法品牌/徽标或不是最新的徽标、横幅或字体,请计算此提示。 

参考文献:Karakasiliotis等人,2006[13];格林等人,2018[9]

B.3.3 外观不专业的设计或格式

通常在电子邮件的消息中找到

示例如附录B3所示

如果电子邮件正文显得不专业,例如换行、突出显示不当、文本或标题格式异常,请计算此提示。 

参考文献:Karakasiliotis等人,2006[13];雅各布森,2007[12];曹和雅各布森,2007[24]

B.3.4 安全指示灯和图标

通常在电子邮件的消息中找到

示例如附录B3所示

统计钓鱼邮件正文中是否出现挂锁图标、安全背书、“数字签名”文本等。 

参考文献:曹和雅各布森,2007[24]Downs等人,2006[6]

NIST网络钓鱼度量表用户指南

附录3。视觉演示指示器类型提示的示例电子邮件

译者注:

No/minimal branding and logos (company logo missing):没有或几乎没有品牌标识和标志(缺少公司标志)

Logo imitation or out of date branding/logos (branding imitation):标志模仿或过时的品牌标志/标志(品牌模仿)

Unprofessional looking design or formatting (line breaks in the middle of sentences):看起来不专业的设计或格式(句子中间有换行)

Security indicators and icons:安全指示器和图标

B.4 语言和内容提示

B.4.1 法律语言/版权信息/免责声明

通常在电子邮件的邮件附言中找到

示例如附录B4所示

如果电子邮件中包含类似于免责声明的文本,包括安全警告或商标、版权或其他法律信息,请计算此提示。 

注意:并非所有细则都应被视为免责声明。 

参考文献:雅各布森,2007[12];曹和雅各布森,2007[24]

B.4.2 令人分心的细节

通常在电子邮件的正文中找到

示例如附录B4所示

任何与电子邮件目的无关的内容都可以被视为分散注意力的细节。 

参考文献:格林等人,2018[9]

B.4.3 敏感信息请求

通常在电子邮件的主题或消息正文中找到

示例如附录B4所示

如果电子邮件要求提供个人身份信息(PII)或与个人或组织的财务或身份直接相关的任何信息(例如登录凭据、社会保障号码),请计算此提示。

参考文献:Downs等人,2006[6]

B.4.4 紧迫感

通常在电子邮件的主题或消息正文中找到

示例如附录B4所示

电子邮件的主题行或正文的措辞表明,迫切需要让用户快速遵守。这个提示包括明确的行动截止日期和更隐含的措辞(例如,“立即”)。 

参考文献:Parsons等人,2013[21];麦卡兰尼和希尔斯,2020[14]Wright等人,2014[26]

B.4.5 威胁性语言

通常在电子邮件的主题或消息正文中找到

示例如附录B4所示

如果电子邮件因收件人的不作为而构成威胁,请计算此提示。威胁可能是个人、职业、法律等。 

参考文献:Karakasiliotis等人,2006[13]

B.4.6 通用问候语

通常出现在电子邮件的主题或消息称呼中

示例如附录B4所示

电子邮件缺乏个性化(例如,特定的收件人姓名)或任何形式的问候。 

参考文献:Parsons等,2016[20];雅各布森,2007[12]Karakasiliotis等人,2006[13];唐斯等人,2006[6]

B.4.7 缺少签名者详细信息

通常在电子邮件的关闭消息中找到

示例如附录B4所示

如果缺少以下任何一项,请计算此提示:

l电子邮件正文中的个人签名。

l电子邮件正文中的联系信息。这可能是发件人的职务、电话号码、传真、电子邮件或营业地址。

参考文献:雅各布森,2007[12]

NIST网络钓鱼度量表用户指南

附录4.语言和内容类型提示的示例电子邮件

译者注:

Generic greeting:泛泛的问候语

Threatening language:带有威胁性的语言

Sense of urgency:制造紧迫感

Legal language/copyright info/disclaimers:法律语言/版权信息/免责声明

Lack of signer details:缺少发件人详情

Requests for sensitive information:要求提供敏感信息

Distracting detail:分散注意力的细节

B.5 常见策略提示

B.5.1 人道主义呼吁

通常在电子邮件的主题或消息正文中找到

示例如附录B5所示

如果电子邮件侧重于收件人乐于助人的愿望,包括是否试图为慈善事业或类似的人道主义努力争取支持,请考虑这一提示。

参考文献:Karakasiliotis等人,2006[13]Alutaybi等人,2019[2];哈纳吉和芬奇,2015[10]

B.5.2 好得令人难以置信

通常在电子邮件的主题或正文中找到

示例如附录B5所示

电子邮件为收件人提供了意想不到或难以置信的奖品,例如比赛奖金或其他不太可能的金钱和/或物质奖励。

参考文献:雅各布森,2007[12];格拉齐奥利,2004[8]

B.5.3 你很特别

通常在电子邮件的主题或消息正文中找到

示例如附录B5所示

这封电子邮件的措辞表明,一些特别的东西是出乎意料的,只提供给收件人(例如,情人节电子贺卡、特别的生日优惠券)。此提示不仅适用于收件人收到电子邮件时;只有当有特别的东西提供时,才应该计算在内。

参考文献:HadnagyFincher2015[10]

B.5.4 限时优惠

通常在电子邮件的主题或消息正文中找到

示例如附录B5所示

与“紧迫感”提示类似,如果电子邮件中包含明确的行动截止日期,则应计算此提示。然而,这个提示不应被视为典型的时间压力提示;只有当电子邮件的内容向收件人提供了一些相关内容时,才应该计算在内。

参考文献:Steves等人,2019

B.5.5 模仿工作或业务流程

通常在电子邮件的主题或消息中找到

附录B1和图2中的电子邮件前提就是这种提示的示例。

如果电子邮件与组织的任何工作场所实践或业务运营有关(例如,语音邮件通知、包裹递送),请计算此提示。

参考文献:Steves等人,2019

B.5.6 冒充朋友、同事、主管、权威人物

通常出现在电子邮件的标题或消息结尾处

示例如附录B5所示

这个提示可以在电子邮件的任何地方找到,只要发件人看起来是收件人可以信任的人(例如老板、合法组织、家人和朋友),就会出现这种提示。

参考文献:Karakasiliotis等人,2006[13]

NIST网络钓鱼度量表用户指南

附录常见策略类型提示的电子邮件示例

译者注:

Poses as friend, colleague, supervisor, authority figure:伪装成朋友、同事、上司或权威人士

You're special:你很特别

Too good to be true offer:难以置信的诱人提议

Humanitarian appeals:人道主义诉求

Limited time offer:限时优惠

附录术语

点击率 Click Rate

点击模拟钓鱼电子邮件潜在恶意链接或附件的人数与发送模拟钓鱼电子邮件的总人数的比率。

检测难度Detection Difficulty

人员网络钓鱼检测困难是将NIST网络钓鱼度量表应用于电子邮件的结果;它衡量的是电子邮件被某人检测为钓鱼者的难易程度。

提示 Cue

电子邮件的可观察特征,要么迫使用户点击欺诈链接或附件,要么提醒用户电子邮件可能是网络钓鱼。

NIST钓鱼量表(钓鱼量表) NIST Phish Scale (Phish Scale)

一种对钓鱼电子邮件的人员检测难度进行评级的方法。 

主题一致 Premise Alignment

网络钓鱼电子邮件主题对目标受众的适用性。 

目标受众 Target Audience

一群具有相似工作文化或责任的人,他们收到了一封模拟的网络钓鱼电子邮件。

意识实施者Training Implementer

网络钓鱼意识培训实施者是使用NIST网络钓鱼度量表的从业者,通常是网络安全意识培训专业人员或负责进行网络钓鱼培训练习的其他计算机安全专业人员。

【1】NIST之前的研究发现,用户上下文在解释点击率方面起着关键作用[9]

【2】由于不同的电子邮件客户端、用户电子邮件自定义以及用户查看电子邮件的设备,提示的位置可能会有所不同。

【3】Steves等人在最近的phish scale出版物中使用了“锚点”一词[23]。为了清楚起见,本手册使用了“适用性量表”一词。

【4】在Steves等人的出版物[23]中,用于前提对齐的类别是高、中、低。在本用户指南中,将使用术语强、中、弱。虽然类别名义上不同,但含义和分类映射保持不变。

原文始发于微信公众号(老烦的草根安全观):NIST网络钓鱼度量表用户指南

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年5月5日19:56:05
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   NIST网络钓鱼度量表用户指南https://cn-sec.com/archives/4030381.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息