Le harponnage au travail | Spear Phishing in the workplace

(English version will follow)

Le harponnage est un problème majeur et lorsqu’ignoré, les effets de ce phénomène on des conséquences dévastatrices. Le harponnage est une méthode d’hameçonnage qui cible des individus ou des groupes à l’intérieur d’une organisation et est difficile à détecter, car il utilise une approche ciblée afin de baisser la garde des utilisateurs. Il peut aussi agir en tant que catalyseur d’autres cybercrimes tels que les logiciels de rançon et le vol d’identité. Environ 80 % des organisations ont fait l’expérience d’attaques d’hameçonnage. Au Canada, le Bureau de la compétition a estimé qu’entre 2014 et 2017, les Canadiens ont perdu près de 405 millions de dollars à cause d’escroqueries.

L’éventail des cibles d’hameçonnage est large. Néanmoins, certains groupes sont plus ciblés que d’autres. Les employés des départements de ressources humaines sont souvent ciblés par le harponnage, car ils ont accès aux informations sensibles des employés telles que leur numéro d’assurance sociale. Les organisations financières sont aussi souvent ciblées en raison de leur accès électronique à de vastes montants monétaires. Les employés sont la première ligne de défense en cybersécurité, mais aussi le vecteur le plus accessible pour les cybercriminels afin de gagner l’accès aux ordinateurs et aux données sensibles. Si les professionnels des TI peuvent renforcer les systèmes et créer des procédures robustes, ils doivent aussi outiller les utilisateurs avec des moyens et des connaissances afin de résister aux attaques de harponnage.

Un des défis significatifs de l’hameçonnage est le manque d’information en ce qui concerne les facteurs psychologiques humains tels que la prise de décision et leurs effets sur les attaques d’hameçonnage. Dans cette étude, Jason Thomas de l’Université A&M du Texas a sondé les raisons pour lesquelles les utilisateurs succombent au harponnage et a réuni et documenté les observations et recommandations des participants afin d’adresser le problème. Afin de comprendre le comportement humain et travailler de manière à l’influencer, l’auteur a eu recours à deux théories comme cadre théorique, soit la théorie de la motivation à se protéger (TMP) (protection motivation theory en anglais) et la théorie du comportement planifié (TCP) (theory of planned behaviour en anglais). La TMP est un modèle de théorie comportementale qui décrit comment les appels à la peur stimulent le processus d’appréciation cognitive motivant les individus à s’auto protéger face à des menaces perçues. La TCP indique que les gens considèrent en premier les implications d’actions potentielles avant de prendre des actions quant à un évènement donné. La TCP peut aider à identifier des opportunités afin de changer ou d’influencer un comportement.

Les entrevues des participants ont démontré qu’en raison du manque d’information, de la sophistication des cyberattaques et du manque de formation, les utilisateurs sont plus vulnérables aux attaques de harponnage. Aussi, les utilisateurs ayant un emploi à fort impact (par exemple, ceux qui traitent avec des données sensibles) et ceux qui ont un volume élevé de courriels sont aussi plus susceptibles d’être victimes. Les utilisateurs qui ne sont pas familiers avec l’hameçonnage sont bien entendu incapables de se défendre, mais, ceux qui sont trop sûrs d’eux sont aussi plus susceptibles de cliquer sur des liens d’hameçonnage en pensant que les logiciels antivirus les protégeront. Les utilisateurs qui connaissent des victimes ou qui ont été victimes de harponnage y sont plus résistants. Enfin, la vérification des compétences peut être utile afin de préparer les utilisateurs à résister au harponnage notamment s’ils savent qu’ils vont être testés régulièrement.

Les résultats de cette étude peuvent être utilisés afin de mieux outiller les utilisateurs à identifier et résister aux attaques de harponnage en créant des programmes d’éducation et des aide-mémoire efficaces. Pour les chercheurs, les données de cette étude peuvent être utilisées pour développer des théories qui explorent les comportements de prédiction et d’influence.

Cite: Thomas, J. E. (2018). Individual Cyber Security: Empowering Employees to Resist Spear Phishing to Prevent Identity Theft and Ransomware Attacks. International Journal of Business and Management, 13(6).

Source: http://www.ccsenet.org/journal/index.php/ijbm/article/view/74724


Spear phishing is a major problem and when unaddressed, the effects of it have devastating consequences. Spear phishing is a phishing method that targets specific individuals or groups within an organization and is difficult to detect because it uses a targeted approach in order to lower user’s guard. It can also acts as an enabler to other cyber crimes such as ransomware and identity theft. About 80% of organizations have experienced phishing attacks. In Canada, the Competition Bureau estimated that between 2014 and 2017, Canadians lost over $405 million to scammers.

The range of targets for phishing attacks is broad. However, there are particular targeted groups. Employees in human resources departments are often targeted for spear phishing because of their access to sensitive employee data such as social security numbers. Financial firms are also targeted more often due to their electronic access to vast amounts of monetary resources. Employees are the first line of defense for cyber security and simultaneously the most accessible vehicle for cybercriminals to gain access to valuable computer systems and sensitive data. While IT professionals can harden systems and create robust processes, they must empower users with the tools and knowledge to resist spear phishing attacks.

One of the significant challenges when it comes to phishing is the lack of information regarding human psychological factors such as decision-making and their effects on phishing attacks. In this study, Jason Thomas from Texas A&M University surveyed the reasons users succumb to spear phishing as well as gathered and documented observations and recommendations from the participants to address the problem. In order to understand the human behaviour and work to influence it, the author used two theories as the theoretical framework, the protection motivation theory (PMT) and the theory of planned behaviour (TPB). PMT is a behavioural theory model that describes how fear appeal stimulates the cognitive appraisal process, which then motivate individuals to react in a self-protective way towards perceived threats. The TPB states that people first consider the implications of potential actions prior to taking action on a given event. TPB can help identify opportunities to change or influence behaviour.

The interviews showed that because of the lack of information, the sophistication of cyber attacks and the lack of training, users are more vulnerable to spear phishing attacks. Also, users with high-impact job (e.g., who deal with sensitive data) and with high volumes of email are also more susceptible to spear phishing attack. Users who are unfamiliar with phishing are of course powerless to defend themselves against it but the ones who are overconfident are more likely to click on phishing links and rely on antivirus software to protect them. Users who know victims of spear phishing or who have been victims themselves are more resistant to spear phishing attacks. Finally, testing proficiency that can be useful in preparing users to resist spear phishing especially if they know they will be tested regularly.

The results of this study can be used to better empower users to identify and resist spear phishing attacks by creating more effective user education programs and learning aids. For researchers, the data from this study could be used to expand theories that explore predicting and influencing behaviour.

Cite: Thomas, J. E. (2018). Individual Cyber Security: Empowering Employees to Resist Spear Phishing to Prevent Identity Theft and Ransomware Attacks. International Journal of Business and Management, 13(6).

Source: http://www.ccsenet.org/journal/index.php/ijbm/article/view/74724