Linköpings universitet SE-581 83 Linköping www.liu.se, 013-28 10 00 Linköpings universitet | Institutionen för datavetenskap Examensarbete på grundnivå, 18hp | Kognitionsvetenskap VT 2021 | LIU-IDA/KOGVET-G--21/014--SE
Hur träning om phishing ändrar
synen på ett säkert mail
–En kvalitativ studie om hur mentala modeller av ett säkert mail förändras av träning om phishing
How training in phishing changes the perception of a secure email
Niklas Andersson
Handledare : Björn Johansson Examinator : Peter Berggren
Upphovsrätt
Detta dokument hålls tillgängligt på Internet - eller dess framtida ersättare - under 25 år från publiceringsdatum under förutsättning att inga extraordinära omständigheter uppstår.
Tillgång till dokumentet innebär tillstånd för var och en att läsa, ladda ner, skriva ut enstaka kopior för enskilt bruk och att använda det oförändrat för ickekommersiell forskning och för undervisning. Överföring av upphovsrätten vid en senare tidpunkt kan inte upphäva detta tillstånd. All annan användning av dokumentet kräver upphovsmannens medgivande. För att garantera äktheten, säkerheten och tillgängligheten finns lösningar av teknisk och administrativ art.
Upphovsmannens ideella rätt innefattar rätt att bli nämnd som upphovsman i den omfattning som god sed kräver vid användning av dokumentet på ovan beskrivna sätt samt skydd mot att
dokumentet ändras eller presenteras i sådan form eller i sådant sammanhang som är kränkande för upphovsmannens litterära eller konstnärliga anseende eller egenart.
För ytterligare information om Linköping University Electronic Press se förlagets hemsida http://www.ep.liu.se/.
Copyright
The publishers will keep this document online on the Internet - or its possible replacement - for a period of 25 years starting from the date of publication barring exceptional circumstances. The online availability of the document implies permanent permission for anyone to read, to download, or to print out single copies for his/hers own use and to use it unchanged for
non-commercial research and educational purpose. Subsequent transfers of copyright cannot revoke this permission. All other uses of the document are conditional upon the consent of the copyright owner. The publisher has taken technical and administrative measures to assure authenticity, security and accessibility.
According to intellectual property law the author has the right to be mentioned when his/her work is accessed as described above and to be protected against infringement.
For additional information about the Linköping University Electronic Press and its procedures for publication and for assurance of document integrity, please refer to its www home page:
http://www.ep.liu.se/.
Abstract
This paper investigated what the mental models of a secure email looked like for people without any training in information security. The participants were tested once, then received training on phishing and were then tested again to see how the mental model changed. This was achieved by conducting semi-structured interviews. The participants were given a role to play and were then shown emails and asked to explain how they, in their role, would act on the email. The interview was then structured around their answers. The interviews were transcribed verbatim and analysed using content analysis. The results showed that before training the mental models consisted of the themes emailadress, acquaintance, appearance, relevance, links, and language. After the training, the mental models consisted of the themes emailadress, acquaintance, appearance, relevance, links, language, file format, requested information and if the information was controllable.
Keywords: phishing, spear phishing, mail, semi-structured interviews, content analysis, mental models
Abstrakt
Denna studie undersökte hur den mentala modellen av ett säkert mail ser ut hos en användare som inte har tidigare träning inom informationssäkerhet. Deltagarna testades först en gång och fick sedan ta del av träningsmaterial om phishing, och blev sen testade igen för att se hur den mentala modellen förändrades. Detta uppnåddes med semistrukturerade intervjuer. Deltagarna blev tilldelade en roll att spela och visades sedan mail och blev ombedda att säga hur de, i sin roll, skulle hantera mailet. Intervjun var sedan strukturerad kring deras svar. Intervjuerna transkriberades ordagrant och analyserades med en innehållsanalys. Resultatet visade att före träning så bestod den mentala modellen av temana mailadress, bekantskap,
utseende, relevans, länkar och språk. Efter träningen bestod den mentala modellen av temana mailadress, bekantskap, utseende, relevans, länkar, språk, filformat, begärd information och kontrollerbarhet.
Nyckelord: phishing, spear phishing, mail, semi-strukturerade intervjuer, innehållsanalys, mentala modeller
Förord
Stort tack till min handledare Björn Johansson vars goda råd och feedback genom arbetet har varit till stor hjälp. Jag vill även rikta ett stort tack till familj och vänner, särskilt Ruben, Jacob och Ulrika för deras stöd under arbetets gång. Slutligen vill jag rikta ett tack till samtliga intervjudeltagare som möjliggjort detta arbete.
Innehållsförteckning
1. Introduktion ... 1 1.1 Syfte ... 2 1.2 Frågeställning ... 2 1.3 Avgränsning... 2 2. Bakgrund ... 3 2.1 Mentala modeller ... 3 2.2 Phishing ... 4 2.3 Säkerhet... 5 2.4 Sammanfattning av bakgrund ... 6 3. Metod ... 7 3.1 Intervjumetodik ... 7 3.2 Deltagare ... 7 3.3 Material ... 8 3.3.1 Träningsmaterial ... 8 3.3.2 Mail ... 9 3.4 Procedur ... 10 3.5 Analys ... 11 3.6 Etik ... 12 4. Resultat ... 15 4.1 Identifierade teman ... 15 4.1.1 Mailadress ... 18 4.1.2 Bekantskap ... 19 4.1.3 Utseende ... 19 4.1.4 Relevans ... 20 4.1.5 Länk... 20 4.1.6 Språk ... 21 4.1.7 Filformat ... 22 4.1.8 Begärd information ... 22 4.1.9 Kontrollerbart ... 23 5. Diskussion ... 255.1 Hur ser den mentala modellen ut av ett säkert mail ut hos någon som saknar träning inom informationssäkerhet ut? ... 25
5.3 Metoddiskussion... 28
6. Slutsats ... 31
7. Referenser ... 33
8. Bilagor ... 37
1. Introduktion
Phishing är en cyberattack där bedragare skickar mail eller andra meddelanden för att lura offer att ge ut personlig information såsom exempelvis lösenord eller
bankuppgifter (Sheng et al., 2010). Det är ett stort problem då det kan ta många olika former och ske genom olika kanaler. En vidareutveckling av phishing är spear
phishing vilket idag ses som ett ännu större problem (Thomas, 2018). Spear phishing i sin tur är en komplex, riktad, attack där bedragaren på förhand tar reda på
information om måltavlan för att kunna skapa ett mail eller meddelande som ser genuint och personligt ut. Faktumet att attacken kan innehålla kontextuell information som användare inte väntar sig annat än i genuina mail gör att spear phishing ses som ett ännu större problem än phishing. Informationen som används hämtas vanligen från sociala medier (Dewan et al., 2014).
De olika phishing attackerna sker oftast via mail och leder till skador för flera miljarder dollar varje år (Thomas, 2018). Med hänsyn till att det finns omkring fyra miljarder mailanvändare och att det skickas över 300 miljarder mail om dagen (Radicati, 2020) så är det en attraktiv marknad för brottslingarna att försöka utnyttja.
Företag och regeringar försöker till följd av detta att bekämpa phishing och det görs oftast på tre sätt. Med mjukvara som sorterar bort inkommande skadliga mail, mjukvara som varnar användaren om att det kan vara en potentiell attack och
slutligen genom träning av användaren (Komatsu et al., 2012). På grund av, framför allt, spear phishingens personliga komponent och den flexibla utformningen av attacker generellt så är det svårt att skapa mjukvara som kan hindra alla potentiellt skadliga mail från att nå användaren. Detta gör att mycket forskning har gjorts på användaren och hur de hanterar mail.
Forskare har tidigare undersökt mentala modeller kring phishing och hur de skiljer sig mellan nybörjare och experter för att identifiera vad som skiljer dessa grupper åt (Zielinska et al., 2015). Effekten av träning har också undersökts och det har visat att användare blir 40 % bättre på att identifiera ett phishingmail efter träning (Sheng et al., 2010).
2
Detta visar på att den mentala modellen förändras, till det bättre, av träning men det har ännu inte undersökts hur den förändras. Det är vad denna rapport ämnar
undersöka. 1.1 Syfte
Syftet med denna rapport är att undersöka hur den mentala modellen ändras av träning om phishing. Detta för att se vad det är som ändras i den mentala modellen som gör att användare blir bättre på att identifiera phishingmail efter träning. 1.2 Frågeställning
Detta syfte kan besvaras med följande frågeställningar:
1. Hur ser den mentala modellen av ett säkert mail ut hos en användare som saknar träning inom informationssäkerhet ut?
2. Hur ser den mentala modellen av ett säkert mail ut hos en användare efter träning om phishing?
1.3 Avgränsning
Denna studie avgränsar sig till att enbart undersöka universitetsstudenters mentala modeller av ett säkert mail. Det är i vidare forskning relevant och intressant att undersöka en större del av populationen mailanvändare för att kunna dra generella slutsatser. Denna avgränsning görs till följd av studiens omfång som inte är stor nog för att hinna intervjua ett representativt urval för populationen mailanvändare. Gruppen universitetsstudenter väljs då de anses av studien vara lättast att rekrytera till intervjuer.
3
2. Bakgrund
För att kunna besvara frågeställningarna så presenteras i följande kapitel tidigare teorier och forskning inom området mentala modeller, informationssäkerhet och phishing. Vidare presenteras hur denna studie ämnar använda dessa begrepp och vilken närliggande forskning som tidigare har gjorts.
2.1 Mentala modeller
En mental modell kan beskrivas som ett koncept eller en föreställning av exempelvis ett system som människor har i sitt huvud och som ger både förklarande och
förutsägande kraft om hur produkten eller systemet fungerar och dess konsekvenser. En mental modell bildas och utvecklas genom att användaren tränas i systemet, interagerar med det specifika systemet eller ser på när andra interagerar med systemet (Rook & Donnell, 1993).
Mentala modeller sägs ha sitt ursprung i Craiks bok The Nature of Explanation från 1943 (Johnson-Laird, 2001; Thatcher & Greyling, 1998). Craik menar att människor har förmågan att i sina tankar skapa en småskalig modell av en process. Ett av Craiks exempel på detta är att vi kan designa en bro och veta om den är tillräckligt hållbar för ett tåg att åka över eller inte, utan att behöva bygga flera modeller i realstorlek och testa oss fram tills bron håller.
Craik menar vidare att när en person har denna småskaliga modell av den externa verkligheten, samt sina egna möjliga handlingar, så kan personen testa olika
handlingar i sina tankar och sedan dra slutsatser om vilken handling som är bäst och agera följande. Modellen tillåter oss även att reagera på situationer som ännu inte har inträffat, använda oss av tidigare kunskap för att hantera saker i nutid och på alla sätt reagera och hantera situationer på ett säkrare och mer kompetent sätt (Craik, 1943). Det kan här vara värt att notera att forskningen kring beslutsfattande har utvecklats sedan Craiks artikel och det finns fler, modernare, perspektiv idag. Detta berörs inte i detta arbete och nämns inte vidare.
Det var Johnson-Laird som sedan utvecklade Craiks tidigare idé till begreppet
mentala modeller vi använder idag. Johnson-Laird skrev att mentala modeller spelar en central och enande roll i att representera objekt, situationer, sekvenser av
4
händelser, världen omkring oss och de sociala och psykologiska handlingarna i vårt vardagliga liv. De mentala modellerna tillåter individer att dra slutsatser och skapa förutsägelser, förstå fenomen, att besluta vilken handling som ska genomföras och kontrollera dess utförande, och viktigast av allt enligt Johnson-Laird; att uppleva händelser genom ett slags ombud (Johnson-Laird, 2001).
2.2 Phishing
Phishing är en socioteknisk attack som försöker utnyttja svagheter i system som beror på dess användare. Det är en typ av datorattack som sker via en elektronisk kommunikationskanal, vanligen mail, där den som utför attacken försöker övertala den drabbade att utföra handlingar som gynnar den som attackerar. Ett exempel på det är ett system som tekniskt sett är säkert nog för att stå emot lösenordstöld. Då kan den som utför attacken försöka komma runt detta genom att kontakta systemets användare och lura denne på olika sätt att uppge sitt lösenord (Khonji et al., 2013). De som utför attacken kan exempelvis skicka ut ett mail där de ber användaren att uppdatera sitt lösenord på en medföljande länk. Istället för att lösenordet uppdateras så ges det ut till den som har utfört attacken och den får på så sätt tillgång till det tekniskt sett säkra systemet.
Det finns även olika typer av phishing. Det som benämns som phishing kan vara just ett mail om att uppdatera sitt lösenord, men det skickas till flera personer och är inte anpassat efter en enskild individ. Spear phishing är en riktad phishingattack som använder sig av fler sociotekniska metoder för att övertyga användare om att uppge känsliga uppgifter (Goel et al., 2017). Oftast vid en sådan attack så har måltavlan av attacken undersökts på förhand för att kunna skapa personliga och trovärdiga meddelanden. Detta är en faktor som gör det svårt, även för experter, att upptäcka en spear phishingattack. I takt med teknologins framväxt så blir det även allt vanligare med kommunikation via elektroniska kanaler, detta bidrar till problematiken att upptäcka attacker då det inte är ovanligt med sådan
kommunikation. Ett stort problem med phishing är att det finns många olika
kommunikationskanaler som attacken kan ske via och attacken i sig kan utformas på olika sätt och vara ute efter olika saker, lösenord är bara ett exempel. Spear phishing, och phishing, är ofta ingångsporten för andra cyberbrott som exempelvis
5
identitetsstöld och ransomware vilket orsakar skador för flera miljarder dollar varje år (Thomas, 2018).
Företag och andra organisationer försöker ofta förhindra phishing- och spear phishingattacker på tre olika sätt. Med mjukvara som sorterar bort inkommande mail eller motsvarande i andra kommunikationssystem, mjukvara som varnar användaren om att det kan vara en potentiell attack och slutligen genom att träna eller utbilda användaren (Komatsu et al., 2012). Av de tre tillvägagångssätten anses träning vara en av de viktigare då det i slutändan är användaren som gör en
bedömning om de ska ge ut information eller inte.
En studie av Sheng mfl visade på att de personer som hade fått träning om phishing var 40% mindre troliga att dela med sig av information till obehöriga än de var före träningen (Sheng et al., 2010).
Det har också gjorts studier på vilka mentala modeller personer utan träning och experter inom ämnet har av just phishing (Zielinska et al., 2015). Detta för att få en bild av var kunskapsglappet är och vad som skiljer de två grupperna för att kunna identifiera eventuella problem. Zielinska med fler undersökte personers mentala modeller genom att se hur de associerade olika begrepp inom phishing med verktyget Pathfinder. De skapade sedan kartor av de kopplade orden för att representera användarens mentala modell. Det studien upptäckte var att experter har mycket mer komplexa nätverk än nybörjarna. Experterna såg fler kopplingar mellan begrepp vilket bland annat visade på att de hade större kunskap om riskerna och tillvägagångssätten som phishing använder sig av (Zielinska et al., 2015). 2.3 Säkerhet
Cybersäkerhet och informationssäkerhet är två begrepp som ofta används synonymt och de innefattar mycket av samma saker men de skiljer sig också. Både
cybersäkerhet och informationssäkerhet är svårdefinierade begrepp med flera olika definitioner (von Solms & van Niekerk, 2013). Craigen med flera (2014) genomförde en litteraturstudie på tidigare definitioner av cybersäkerhet med målet att skapa en ny, fullständig, definition. Deras resultat var följande: “Cybersecurity is the
6
cyberspace and cyberspace-enabled systems from occurrences that misalign de jure from de facto property rights” (Craigen et al., 2014, s.17). För att förstå detta citat måste man förstå vad de menar med cyberspace, eller cyberrymden. Cyberrymden är den elektroniska världen som skapats av kopplade nätverk av informationsteknologi och informationen i dessa nätverk. Detta är däremot inte statiskt och cyberrymden utvecklas konstant i takt med nya innovationer och utvecklingen av befintliga system (Craigen et al., 2014). Informationssäkerhet i sin tur är skyddandet av information, vilket är en tillgång, från möjlig skada till följd av olika hot och sårbarheter (von Solms & van Niekerk, 2013). Då phishing och spear phishing kan få en mängd olika följder som inte är bundna till cyberrymden men är informationsintrång på olika sätt så menar studien att phishing är en del av och en problematik för
informationssäkerhet.
Säkerhet är svårdefinierat (Craigen et al., 2014) och vad ett säkert mail är finns ingen mall för. I denna uppsats används det som ett mail som inte på något sätt försöker lura, bedra eller på något sätt skada mottagaren. Detta baseras på den
grundläggande delen av säkerhet som tycks delas över olika definitioner av begreppet (Oxford, 2021).
2.4 Sammanfattning av bakgrund
Likt studien som jämförde mentala modeller hos experter med personer utan någon träning inom ämnet (Zielinska et al., 2015) så jämför denna studie mentala modeller modeller innan och efter träning på flertal deltagare för att se vad som skiljer. Det har även sedan tidigare konstaterats att träning minskar risken att användare faller för phishing och spear phishing (Sheng et al., 2010) men det visar inte på vad som har ändrats hos kunskapen i användaren. Denna studie ämnar med det som
bakgrund att se vad som förändras i en användares konceptuella modell av ett säkert mail, deras mentala modell, vid träning. Enkelt sagt, vad användaren lär sig som gör att de löper en förminskad risk att falla för phishing.
7
3. Metod
Syftet med studien är att extrahera en mental modell av ett säkert mail hos en person som inte är utbildad inom informationssäkerhet och sedan, efter träning inom
området, extrahera den mentala modellen igen och se hur de två olika modellerna skiljer sig. Detta görs genom en semistrukturerad intervju där deltagaren får se ett antal mail och muntligt svara på hur de skulle hantera mailet och i ett senare skede motivera sitt beslut. Deltagaren får sedan ta del av träningsmaterial för att efter det upprepa processen.
3.1 Intervjumetodik
En semistrukturerad intervju är en intervju där de förberedda intervjufrågorna fungerar som en guide in på ämnet och låter deltagaren att prata fritt. Denna frihet tillåter deltagaren att generera informationsrika svar som är lämpliga för analys i en studie med kvalitativ ansats. Öppenheten i frågorna och deltagarens svar öppnar för att intervjuerna ser olika ut mellan deltagare och därför är aktiva följdfrågor viktiga i alla intervjuer för att anpassa sig efter deltagarens svar (Howitt, 2016). Howitt menar även att kvalitativa intervjuer bör spelas in för att kunna transkriberas i efterhand och ge möjlighet att bekanta sig mer med materialet för bättre analyser (Howitt, 2016). Detta genomfördes med godkännande från deltagaren.
För att skapa en bild av den mentala modellen hos användaren användes de olika mailen för att styra intervjun till mail och varför de skulle agera som de gör beroende på vad för mail de får. Mailen i sig kan därför ses som en del i intervjuguiden som hjälpmedel för att styra intervjun och låta deltagaren tala fritt om dem.
Ingen bedömning gjordes på om svaren var rätt eller inte, med avseende till om deltagarna bedömde dem säkra eller inte. Resultatet var de egenskaper i mailet som respondenten gjorde sin bedömning på och ingen värdering gjordes i dessa
motiveringar. 3.2 Deltagare
Deltagarna rekryterades genom ett selektivt urval vilket bygger på principen att deltagarnas relevans för fenomenet som ska undersökas. Valet av målgruppen studenter valdes av bekvämlighet för att begränsa tidsåtgången (Denscombe, 2014)
8
för att rekrytera deltagare samt underlätta bokningen av intervjuer. En
intresseanmälan delades via Facebook och deltagarna var de som svarade och uppfyllde kraven som student utan tidigare träning inom informationssäkerhet. Totalt 7 personer intervjuades. Av dessa var 3 kvinnor och 4 var män. Medelåldern var 22,4 med en standardavvikelse på 1. Deltagarna var alla studenter på
universitetsnivå och hade ingen tidigare utbildning inom informationssäkerhet, se tabell 1.
Samtliga deltagare ser vanligtvis sina mail i mobilen via Apples egen applikation. Om de ser på mail via en dator så använder 4 av 7 oftast Outlook och resterande 3
använder vanligen Gmail. Tabell 1. Studiens respondenter
3.3 Material
Till genomförandet av studien behövdes träningsmaterial samt de mail som
intervjun baserades på. I detta avsnitt presenteras träningsmaterialet som användes. Även de mail som användes presenteras översiktligt och hur de skapades.
3.3.1 Träningsmaterial
Träningsmaterialet som användes, se figur 1, baserades på Sawyers (2015)
träningsmaterial och visades upp som en bild för deltagaren. Materialet anpassades för att uppmärksamma respondenten för både stölder av känslig information och malware (Sawyer et al., 2015). Till denna studie utvecklades materialet med ett tips på hur den faktiska url:en som länkats ett mail kan kontrolleras, se figur 1. Detta gjordes efter önskemål pilotintervjuerna. Distinktionen mellan phishing och spear phishing nämns inte i träningsmaterialet då detta uppfattades som förvirrande i
9
pilotintervjuerna men träningsmaterialet är utformat för att förbättra chanserna att upptäcka båda varianterna.
Figur 1. En bild på träningsmaterialet som användes med inspiration från Sawyer (2015)
3.3.2 Mail
Mailen skapades med html kod för denna studie och visades som bilder, med en interaktiv möjlighet att undersöka bifogade länkar och filer, för respondenterna. Mailen baserades på de framtagna av Downs (2006) och varierade från mail som skapades för att vara äkta, phishingattacker och spear phishingattacker. Mailen skapades så att de första åtta mailen före träningen skulle likna de sista åtta mailen, se bilaga 1, efter träningen för att innehållet i mailen inte ska orsaka skillnader i respons. Exempel på mailens innehåll visas i tabell 2.
10 Tabell 2. Översiktsbild av mail 1 till 6
3.4 Procedur
Före studiens start genomfördes två pilotintervjuer för att hitta förbättringsområden i intervjun samt säkerställa att frågorna gav önskat resultat. Vid intervjuns start samlades ett muntligt medgivande in och deltagaren fick bekräfta att de förstod sina rättigheter samt studiens syfte. Intervjuerna spelades in för att kunna transkriberas i efterhand. Intervjun började med demografiska frågor samt frågor om deras tidigare erfarenhet inom informationssäkerhet för att säkerställa att de uppfyllde kraven ställda på deltagarna. Deltagarna fick även besvara hur de vanligtvis ser på mail. Respondenterna tilldelades sedan en karaktär att porträttera i intervjun, detta för att stärka studiens validitet (Sawyer et al., 2015; Sheng et al., 2010). Rollspelet som användes av Sheng med flera (2010) baserades på tidigare studier som har visat på
11
rollspels effektivitet som instrument för en bättre validitet. Deras resultat var även i linje med en tidigare phishingstudie som inte skedde i en laboratoriemiljö, vilket de menar talar för rollspelets effekt på validiteten (Sheng et al., 2010). Karaktären som deltagarna spelade jobbar på HR-avdelningen på företaget Kogsystem AB där
huvuduppgiften är att hantera rekryteringar. Detta innebär att i tjänsten så ingår det kommunikation med övriga på företaget kring rekryteringar samt utomstående som söker tjänster på företaget.
När respondenterna hade förstått uppgiften så fick de se åtta olika mail och säga hur de, i sin karaktär, skulle hantera mailet. När de hade sett de första åtta mailen så fick de motivera sina beslut, varför de skulle hantera varje mail som de gjorde. Efter det visades träningsmaterial om phishing för deltagaren. Något som deltagaren fick gå igenom i egen takt. Deltagaren fick sedan se åtta mail till och på samma sätt som tidigare säga hur de skulle hantera mailen i sin karaktär. När deltagaren hade gjort detta så fick de motivera sina val på samma sätt som innan. Vid svar som påvisade misstanke eller tillit mot mail gavs ingen feedback till respondenten.
Intervjun avslutades med att fråga respondenterna om de hade lärt sig något nytt och om de tänkte på något annat efter träningen jämfört med vad de gjorde innan.
Intervjuerna tog i genomsnitt 18,7 minuter med en standardavvikelse på 3 minuter. Intervjun transkriberades sedan ordagrant, med vilket menas att alla identifierbara ordförekomster återges, enligt Linells transkription II. Med tanke på att syftet med analysen inte inkluderade hur deltagarna har yttrat sig, snarare innehållet i det de har yttrat, utfördes transkriptionerna i form av en låg detaljeringsgrad (Linell, 1994). Detta fångar då innehållet i intervjun för att kunna analyseras och identifiera mentala modeller hos respondenten. Svaren analyserades med en tematisk
innehållsanalys för att extrahera mentala modeller från transkriptionerna. 3.5 Analys
Transkriptionen analyserades med en innehållsanalys för att kunna identifiera de teman som utgör den mentala modellen (Prior, 2016). Innehållsanalysen är i många anseenden lik den tematiska analysen och har liknande definitioner (Howitt, 2016) . Intervjun hade en explorativ utgångspunkt och resultatet av varje intervju baserades
12
på respondentens svar. Resultatet utgörs av olika teman och sammanställdes med en tabell med exempel ur transkriptionen, se tabell3 och 4.
Det första steget i innehållsanalysen är avkontextualisering. I detta steg bekantar sig den som genomför analysen med den transkriberade datan för att få en helhetsbild av vad som sägs. Sedan identifieras meningsenheter. En meningsenhet är den minsta enheten som säger något relevant för analysen, i det här fallet studiens
frågeställningar. Det kan vara allt från en mening till hela stycken.
Meningsenheterna markeras med en övergripande kod som sedan kan användas för att identifiera vilka olika koncept som finns i datan. Vid en explorativ studie likt denna så skapas ingen kodlista på förhand utan den skapas baserat på datan. Detta gör att koderna kan ändras under analysen och därför genomförs denna kodning två gånger för att försäkra om en enhetlig kodning (Bengtsson, 2016).
Det andra steget är återkontextualisering. Här gås datan igenom igen och fokuserar på vad som inte markerats som relevanta meningsenheter och jämför med sin kodning. En ny bedömning görs för att avgöra om det finns fler för frågeställningen relevanta meningsenheter som inte har kodats. Det som inte bedöms som relevant lämnas utanför resterande analys (Bengtsson, 2016).
Det tredje steget är kategorisering. I detta steg identifieras alla olika teman i svaren. Dessa teman kan vara samma som kodningen men kan också vara ett övergripande tema för att innefatta flera koder, om de faller in i samma tema. Det finns ingen konsensus för vad som kan ses som ett tema men ett tema ska vara
internt homogent och externt heterogent. Detta innebär att inga meningsenheter ska hamna mellan olika teman och inga meningsenheter ska passa in i flera olika teman (Bengtsson, 2016).
Det sista steget, kompilering, är presentationen av de olika temana som har tagits fram (Bengtsson, 2016). I denna studie presenteras detta i resultatet.
3.6 Etik
Deltagarna fick innan intervjun började information om vad studiens syfte var samt hur intervjun skulle genomföras. Deltagarna fick även information om hur deras
13
uppgifter och resulterande ljudinspelning samt transkription skulle behandlas
(anonymt och i enlighet med GDPR). De fick också veta vilka rättigheter de hade och att de när som helst kunde avbryta studien utan att ange orsak för detta. Studien följer Vetenskapsrådets regler för god forskningssed (Vetenskapsrådet, 2017).
15
4. Resultat
Resultatet presenteras i tabell 3 och 4. Tema står för ett övergripande begrepp som var deltagarens motivering för hur de skulle hantera mailen, följt av en beskrivning och citat från deltagarna som understödjer dessa teman. Resultatet visade på en utökad mental modell med fler olika aspekter i mailet som tas hänsyn till efter träningen. I följande resultatpresentation kommer samtliga teman presenteras och förklaras.
4.1 Identifierade teman
Före träningen kunde temana mailadress, bekantskap, utseende, relevans, länk och språk identifieras. Efter träning kunde mailadress, bekantskap, utseende, relevans, länk, språk, filformat, begärd information och kontrollerbart identifieras. Inga teman identifierades före träning som inte identifierades efter.
16
Tabell 3. Den mentala modellen före träning med tema, beskrivning av temat och citat som stödjer temat
17
Tabell 4. Den mentala modellen efter träning med tema, beskrivning av temat och citat som stödjer temat
18 4.1.1 Mailadress
Mailadress var ett tema som identifierades i sex av sju mentala modeller efter träning och fyra av sju modeller före träning. En deltagare nämnde aldrig mailadressen, varken före eller efter träningen. Det vanligaste som påpekades i mailadressen var domänen som användes men i somliga fall även det valda namnet som föregår domänen i mailadressen.
En domän de kände igen med ett vanligt namn före ansågs vara en trovärdig faktor i mailet:
Jonas rad 30: ”… en helt vanlig live-domän, ser inte farligt ut där”
Resonemangen kring mailadressen kunde skilja sig mellan deltagarna där somliga visade större förtroende för maildomäner de inte sett tidigare:
Sara rad 16: ”… mailen sbcglobal.se jag vet inte känner inte igen den men känns legit”
medan andra ratade dem direkt:
Gustaf rad 37 angående sbcglobal.se.: ”mailadressen känns konstig högst upp”
Maildomänen kunde även bedömas vara “felstavad” och samtliga som noterade detta bedömde det som ett mindre trovärdigt mail till följd. De flesta misstänkte att någon försökte lura dem men en deltagare resonerade kring att det kan vara en kollega som har valt en oprofessionell mailadress. Just detta var från mail nummer 7, se bilaga, där var maildomänen i fråga k0gsyt3m.org istället för kogsystem.se.
Det deltagarna tycktes vilja se i mailadressen för att bedöma den som säker var en bekant domän och ett läsbart namn som gick att spåra till avsändaren.
19 4.1.2 Bekantskap
Bekantskap identifierades som ett tema hos samtliga deltagare före och efter träning. De gjorde ofta en samlad bedömning på om de känner avsändaren. Denna
bedömning baserades ofta, ibland tillsammans och ibland enskilt, men inte uteslutande på mailadressen, vad mailet handlade om och hur personligt det var skrivet:
Jonas rad 30: ”Det ser ut som någon jag känner. Skriver att vi ses på fredag och har samma maildomän”
För att göra bedömningen att deltagaren kände avsändaren så ville respondenten se personliga fraser likt ”ses i helgen” eller samma maildomän som indikerade att de var kollegor:
Josefine rad 24: ”eftersom att Sara Urman har samma mailadress eller samma ah kogsystem.se så känns det som att det är en arbetskollega”
Jonas rad 14: ”Det var sista frasen där som fick mig när han skrev hälsa hem så fick jag en bild av att de kanske känner varandra”
4.1.3 Utseende
Utseendet på mailet var ett tema som identifierades hos tre av sju personer före träning och lika många efter träning. Deltagarna jämförde då mail med tidigare mail de har sett för att se om den övergripande strukturen och utseendet på mailet ser bekant ut eller inte.
De jämförde mailets utseende med hur de hade väntat sig att ett sådant mail skulle se ut. Detta kunde vara både en fördel och en nackdel för mailets trovärdighet. Om mailet såg ut som respondenten väntade sig så var det bra:
Josefine rad 26: ”Rätt lika andra Microsoft uppdatering om när någon loggar in”
20
Om mailet inte såg ut som respondenten väntade sig så skadade det mailets trovärdighet. Ett exempel på detta visade Philip angående mail 14:
Philip rad 23: ”Jag hade raderat det för jag vet att jag har fått såna innan så jag vet hur de ser ut.”
4.1.4 Relevans
Relevans var ett tema som identifierades hos fyra av sju personer före och efter träning. Här gjorde deltagarna en bedömning på om det var rimligt att de i deras karaktärsroll skulle få det givna mailet. Ofta gjordes bedömningen att det var ett relevant mail att få om någon sökte ett jobb, exempelvis:
Josefine rad 13: ”Det här känns också som ett väldigt rimligt mail att få. Någon som söker jobb och vill att jag ska kika på hans LinkedIn.”
Bedömningen kunde också gå åt andra hållet, både före och efter träningen, exempelvis när mail annonserade att de har vunnit pengar. Något som inte bedömdes vara relevant då det inte framgick hur eller varför de har vunnit:
Gustaf rad 16: ”… jag kan ta ut pengar helt plötsligt eh så och vet inte riktigt hur jag har fått det från första början …”
Sofie rad 21: ”Har jag inte heller varit med i något lotteri och då vet man ju direkt att det är något fuffens”
4.1.5 Länk
Länkar var ett tema som identifierades både före och efter träningen. De flesta deltagarna hade sedan tidigare en skepticism mot länkar i mail och försökte i stort att undvika att klicka på dem om de inte kände avsändaren, och i många fall även om de kände avsändaren.
21
Johannes rad 2: ”… hade inte tryckt på någon länk även om det ser legit ut”
Efter träningen började de att undersöka länkar likt träningen tipsat om, se figur 1, och kunde då i vissa fall, ofta i samband med att de kände avsändaren, lita på länken:
Philip rad 28: ”… om jag känner Magnus Johansson och vi skulle ha kollat sånt här tidigare och jag känner igen länken skulle jag gått in på den men annars kanske jag inte skulle ha gjort det”
Philip rad 16: ”Jag hade kanske hållit över den där länken för att se URL:en … beroende på vad jag ser hade jag väl raderat det eller gjort som det står”
4.1.6 Språk
Ytterligare ett tema som identifierade både före och efter träningen var språket. Med språket menas det generella språkbruket i mailet men även stavning och grammatik. Deltagarna kunde här reagera på felstavningar men också på fraser som de tyckte lät automatiserade:
Sara rad 12: ”… spana in den här hemsidan folk pratar inte på det här sättet utan det är typ automatiskt”
Johannes rad 14: ”… texten i sig låter väldigt skräppostig”
I de fallen reagerade dem med misstanke. I andra fall, likt en del i bedömningen av bekantskap, reagerade de med tillit om språkbruket var personligt:
Johannes rad 21: ”… och slutar med ses på fredag så det ser inte ut som ett vanligt skräppostmeddelande.”
En skillnad kunde identifieras i detta tema före träningen och efter träningen. Före träningen reagerade ingen på om det uttrycktes en tidspress i mailet men det gjordes efter träningen. Detta var något som framgick i träningsmaterialet, se figur 1.
22
Josefine rad 55: ”Eh tidspress, hade inte svarat”
4.1.7 Filformat
Filformat var ett tema som enbart identifierades efter träning. Efter träningen såg 6 av deltagarna efter vilket filformatet var på eventuellt bifogade filer. Filer som bedömdes vara säkra var PDF filer:
Philip rad 21: “Det är ju PDF filer. Det kan ju inte göra någon skada, det kan man bara läsa.”
Jonas rad 30: ”Det är ju PDFer så inga farliga filformat heller”
De format som inte bedömdes trovärdiga var zip och exe, i enlighet med
träningsmaterialet. Respondenterna var efter träningen fortsatt bekväma med att öppna PDF filer. Temat identifierades inte före träning och om samma filformat inte skulle bedömas som trovärdiga före träningen går inte att säga men ett citat från Johannes indikerar att det är ny kunskap för somliga respondenter:
Johannes rad 38 angående vad han har lärt sig: ”… att det är exe och zip man ska akta sig för specifikt”
4.1.8 Begärd information
Begärd information var också ett tema som enbart kunde identifieras efter träningen, detta av 3 deltagare. När det kom till lösenord var deltagare misstänksamma från början.
Sofie rad 15: ”… just lösenord är en känslig punkt att ändra”
Gällde mailet något som de inte ansåg vara hemligt så ansåg de inte att det fanns något problem med att svara då det inte fanns något att förlora, det fanns fler sätt att komma åt samma information:
23
Philip rad 19: ”… men jag tänker att man kan ju lätt hitta kontoret på Google maps så även om hon skulle vilja göra något illa så, det kvittar ju eh så jag hade väl svarat”
Sofie rad 18: ”Det är ju inte mycket som kan hända. Det är ju inget kontonummer eller något”
4.1.9 Kontrollerbart
Det sista temat som identifierades, och detta också uteslutande efter träningen, var om det var kontrollerbart. Deltagarna resonerade då kring att det exempelvis går att kolla upp om en person har bokat in en intervju som denne påstår.
Sofie rad 18: ”Kolla om hon verkligen har ett möte bokat” Philip rad 19: ”Jag hade kollat om någon vet vem My Bolund är och om hon faktiskt har ett möte bokat”
Detta hjälpte dem att resonera kring om det är en pålitlig person eller inte. Om personen skulle ha en intervju inbokad så bedöms personen vara pålitlig men om den skulle påstå sig ha en intervju inbokad men inte har det så skulle de inte lita på personen och mailet i fråga.
25
5. Diskussion
I denna studie undersöktes hur den mentala modellen av säkert mail ser ut hos en person utan träning inom informationssäkerhet, och hur den mentala modellen ser ut efter träning. Syftet med detta var att se vad som ändras i den mentala modellen efter träning om phishingattacker. För att förstå detta undersöktes de mentala modellerna före och efter träning och jämfördes sedan för att se vad skillnaden var. För att uppnå detta formulerades två frågeställningar vilka var följande:
1. Hur ser den mentala modellen av ett säkert mail ut hos en användare som saknar träning inom informationssäkerhet ut?
2. Hur ser den mentala modellen av ett säkert mail ut hos en användare efter träning om phishing?
Resultaten, som presenterats i tabell 3 och 4,indikerar 6 teman före träningen och 9 teman efter träningen där 6 av dessa 9 teman även identifierades före träning. Följande diskussion ämnar förklara resultaten och hur de förhåller sig till frågeställningarna samt sätta de i perspektiv till tidigare forskning och teorier.
5.1 Hur ser den mentala modellen ut av ett säkert mail ut hos någon som saknar träning inom informationssäkerhet ut?
De teman som identifierades före träning och som visades i resultatet var mailadress, bekantskap, utseende, relevans, länk och språk.
Bekantskap var ofta vad som framstod som en samlad bedömning av respondenten och vad den bedömningen bestod av kunde variera från mail till mail och från person till person. Vanligast var att deltagarna såg på mailadressen hos avsändaren samt om mailet var personligt skrivet. Detta kan bero på att det är två sätt att sätta en
personlig prägel i ett mail. En vanlig konstruktion av mailadressen som många använder är ofta en variation på ens namn och kan därför vara ett bra sätt att identifiera avsändaren och sättet avsändaren skriver visar ofta på vilken relation avsändaren har till mottagaren.
26
När deltagarna såg på ett mails utseende så jämförde de ofta med hur de tror att den typen av mail de kollade på skulle se ut. Detta gällde främst de mail som skulle replikera ett mail skickat från ett känt företag, Spotify eller Instagram i detta fall, men även det som vissa deltagare kallade “klassiska spammail”. För att kunna göra en snabb bedömning baserat på mailets övergripande utseende så krävs en
referensram sedan tidigare att jämföra med. Detta talar för att deltagarna som gjorde en sådan bedömning har sett liknande mail tidigare och därmed har en viss vana vid mail. En sådan bedömning går inte att göra om deltagaren inte har mottagit mail tidigare.
De flesta deltagarna hade sedan tidigare en skepticism mot länkar i mail och försökte i stort att undvika att klicka på dem om de inte kände avsändaren. Innan träningen kunde länkar i mailen ratas direkt. Det var inte mycket som fick dem att lita på länkar och de kunde tvivla på dess säkerhet även om de gjorde bedömningen att de kände avsändaren. Detta tyder på att de sedan tidigare visste att det finns någon form av hotbild och att det är klokt att vara säker på vad man gör.
5.2 Hur ser den mentala modellen ut av ett säkert mail hos en användare efter träning? Efter träningen identifierades samtliga sex teman som före träningen men även filformat, kontrollerbart samt begärd information. Av de teman som identifierades före träning så resonerade deltagarna likadant om temana relevans, bekantskap, mailadress och utseende, även om dessa teman kunde identifieras hos fler deltagare än före träningen. Detta kan tala för att träningsmaterialet hjälpte att
uppmärksamma respondenterna på dessa teman, då dessa teman kunde identifieras hos fler respondenter efter träningen. Det talar också för att träningsmaterialet inte innehöll ny kunskap inom ramen för dessa teman då resonemangen kring temana var liknande före och efter träningen. Detta talar i sig för en bra grundkunskap hos respondenterna trots avsaknad av träning om phishing och informationssäkerhet i stort.
Vid temat länk så skedde en attitydförändring hos respondenterna. Före träningen var de misstänksamma mot samtliga länkar och nöjde sig med att vara det. Efter träningen, se tabell 4, så undersökte de länkar som var bifogade för att se var de faktiskt leder och kunde efter det lita på länken, och mailet, eller inte. En viss
27
skepticism var kvar hos ett par deltagare som även om de konstaterade att det såg bra ut skulle söka på länken på egen hand för att vara på den säkra sidan. Detta visar på att deltagarna efter träningen inte bara blev mer uppmärksamma på risker men även blev mer villiga att undersöka mail och på så sätt minska risken att bedöma ett säkert mail som osäkert.
Temat språk skiljde sig en del efter träningen jämfört med innan. Före träningen reagerade ingen på om det utrycktes en tidspress i mailet men det gjordes efter träningen. Just att be om ett snabbt agerande är vanligt förekommande i
phishingattacker (Sawyer et al., 2015). Detta får därför ses som positivt att lägga märke till. Den informationen var även en del av träningsmaterialet vilket visar på att träningen gav respondenterna ny, användbar, kunskap.
Efter träningen såg deltagare efter vad filformatet var på filerna som hade bifogats i mailen. Detta var inget som någon reflekterade över före träningen och det var en tydlig skillnad. Laddas exempelvis en exekverbar fil ner med ett virus så kan det exempelvis vara början på en ransomware attack (Thomas, 2018) eller möjligen att kontrollen över ens dator ges till den som utfört attacken. Det är därför viktigt att vara medveten om vad för filer som laddas ner, vilket majoriteten av deltagarna var efter träningen. Deltagarna var därför efter träningen enbart bekväma med att öppna PDF filer.
Efter träningen så resonerade deltagarna att de kunde kontrollera informationen som angavs i mailet, exempelvis att någon hade ett möte bokat. Mailen var skapade på så vis att detta var möjligt även före träningen men ingen deltagare resonerade kring det då. Det var inget i träningsmaterialet som nämnde något om detta så orsaken bakom förändringen är inte klar. Det kan visa på att mailen, trots den medvetna utformningen, inte var lika före och efter träning och att respondenterna enbart bedömde det som nödvändigt efter träningen att kontrollera informationen i mailet. Det kan även vara en följd av kunskap om phishingattacker och med det en högre grad misstanke mot samtliga mail.
Det sista temat som enbart identifierades efter träningen var begärd information. Deltagarna resonerade då kring om att informationen som efterfrågades, i
28
exempelvis mail 10, inte var hemlig på något sätt och att det därför inte kunde skada att ge ut den. Detta kan kopplas tillbaka till träningsmaterialet som säger att
exempelvis lösenord och bankuppgifter ofta efterfrågas vid en phishingattack, uppgifter som är personliga och till stor mån därmed också hemliga.
En intressant aspekt som ingen påpekade var om mailen var skrivna på svenska eller engelska. Endast två mail var skrivna på engelska (ett före och ett efter träningen) men ingen kommentar om detta gjordes av någon respondent. Vad detta beror på undersöktes inte i studien men kan möjligtvis bero på den unga medelåldern på respondenterna och deras vana att kommunicera på engelska eller möjligtvis en vana vid att ta emot mail skrivna på engelska.
Det övergripande resultatet tyder på att den mentala modellen blir större efter träning vilket ligger i linje med teorin som finns kring hur mentala modeller
utvecklas med erfarenhet och träning. Teorin säger att en mental modell bildas och utvecklas när man bland annat interagerar med systemet och när man tränas i systemet (Rook & Donnel, 1993). I detta fall skedde båda av dessa då deltagarna tränades i systemet, phishing i mail i detta fall, och tog del av träningsmaterialet. Resultatet med en utökad mental modell efter träning är därför i linje med teorin. Vidare bidrar denna studie till forskningen om mentala modeller med sitt
tillvägagångssätt och applicering. I studiens utformning så har tidigare forskning om mentala modeller och om phishing använts som underlag för hur studien kan
genomföras. I denna efterforskning stöttes ingen studie på som har extraherat mentala modeller om phishing eller mail generellt genom semistrukturerade intervjuer. Denna studie kombinerar sättet att extrahera en mental modell som exempelvis Prior (2016) använder med tidigare forskning likt Sawyers (2015) om phishing. Denna studie är därmed, med viss reservation för att tidigare studier kan ha missats i litteraturgenomgången, den första att använda semistrukturerade intervjuer för att undersöka mentala modeller om phishing och mail generellt.
5.3 Metoddiskussion
Studien genomfördes med ett begränsat antal deltagare till följd av studiens omfång och resurser. Detta gör att resultatet är svårt att generalisera till hela populationen
29
som använder mail, vilket den är relevant för, men även för den population som deltog, studenter utan tidigare träning inom informationssäkerhet. Med det sagt så visar resultatet på en intressant skillnad före och efter träning som ligger i linje med befintlig teori.
Ett rollspel användes för att öka studiens validitet (Sawyer et al., 2015; Sheng et al., 2010). Detta må hjälpa men studiens genomförande, när 16 mail i rad visas med träning i mitten, efterliknar troligen inte en vanlig vardagssituation för
respondenten. För att fördela ut mailen på ett naturligt sätt skulle det kräva att mail skickas ut ett i taget till deltagaren under en längre tidsperiod. Detta skulle troligen förbättra validiteten i hanteringen av mailet men det var inte genomförbart med studiens tidsåtgång, resurser samt bedömdes olämpligt för studiens intervjuformat. Intervjun grundades på respondentens hantering av mailen och till följd av att de såg mailen under samma intervju så gav det respondenten bättre förutsättningar att komma ihåg hur de motiverade sina handlingar i stunden.
I en studie av Sheng med fler (2010) genomförde de ett liknande rollspel och
resonerade då kring att deltagaren kan vara villigare att ta risker då de var medvetna om att de själva, personligen, inte kunde drabbas på något sätt. Detta är ett möjligt problem för denna studie med men argumenterbart i en mindre skala. Denna studie gick ut på att deltagarna skulle berätta hur de skulle ha agerat om de hade mottagit ett sådant mail, inte på att se hur deltagarna faktiskt agerar. Denna studie
genomförde kvalitativa intervjuer medan Shengs studie var kvantitativ.
Studien genomfördes på distans över Zoom till följd av coronapandemin och de rådande restriktionerna år 2021. Detta kan ha en påverkan på respondenternas svar då de möjligen inte är lika bekväma att prata på ett videomöte som ansikte till ansikte. Det kan även ha lett till vissa instruktioner inte framgick lika tydligt som önskat till respondenterna då möjligheten att peka och se till att de ser vad man menar är svårare i ett videomöte.
Träningsmaterialet kan även anses som grundläggande och respondenterna kan redan ha besuttit den kunskapen sedan tidigare, något som skulle minska effekten av träningen. De teman som respondenterna resonerade liknande inom både före och
30
efter träningen tyder på att detta delvis var fallet. Resultatet av en utökad mental modell efter träningen och till viss del ändrade resonemang talar för att träningen gav respondenten ny kunskap alternativt att träningen gav effekt ändå till följd av påminnelsen om riskerna som finns.
31
6. Slutsats
Denna studie ämnade att undersöka hur den mentala modellen av ett säkert mail ser ut hos en person utan träning inom informationssäkerhet och hur den mentala modellen ser ut efter träning om phishing, vilket är en del av informationssäkerhet. Studien uppnådde detta genom att besvara frågeställningarna; Hur ser de den mentala modellen av ett säkert mail ut hos en användare som saknar träning inom informationssäkerhet ut? och Hur ser den mentala modellen av ett säkert mail ut hos en användare efter träning om phishing?
Sammanfattningsvis så visade resultatet att deltagarna före träning såg på mailadressen hos avsändaren, bekantskap med avsändaren, mailets utseende, mailets relevans för mottagaren, bifogade länkar i mailet och språket som används. Efter träning visade resultatet att respondenterna såg på, utöver tidigare nämnda aspekter, bifogade filformat, den begärda informationen samt om informationen i mailet är kontrollerbar. De bytte även tankesätt kring länkar och tog fler aspekter i åtanke när de skulle bedöma språkbruket.
Resultatet visade i stort att träningen hjälpte deltagarna att se faran som kan finnas i att inte vara varsam när man hantera mail. Det visade också att deltagarna efter träningen kunde se på fler aspekter i ett mail för att bedöma dess trovärdighet och att de kände sig mer säkra i vad de kunde lita på och inte. Studiens begränsade urval gör det däremot svårt att dra stora slutsatser men visar på lovande resultat för vidare forskning i ämnet. Resultatet är i linje med teorier kring hur mentala modeller utvecklas och även tidigare forskning inom ämnet vilket stärker dess validitet. Till vidare forskning inom ämnet så skulle det dels vara intressant att se studien genomföras med ett större deltagarunderlag för att se om det ger samma resultat. Det skulle även vara intressant att se vad som skiljer olika mellan olika målgrupper och se om det finns delar som går att generalisera till hela populationen som
använder mail. Det kan även vara av intresse att genomföra en liknande studie med ett annat träningsmaterial för att se vad det specifika träningsmaterialet ger för effekt. I detta kan man även undersöka vad skillnaden på omfattning av träningen ger.
33
7. Referenser
Bengtsson, M. (2016). How to plan and perform a qualitative study using content analysis. NursingPlus Open, 2, 8–14. https://doi.org/10.1016/j.npls.2016.01.001 Craigen, D., Diakun-Thibault, N., & Purse, R. (2014). Defining Cybersecurity. Technology Innovation Management Review, 4(10), 13–21.
Craik, K. (1943). The Nature of Explanation. Cambridge University Press.
Denscombe, M. (2014). The Good Research Guide: For Small-scale Social Research Projects. McGraw-Hill Education.
Dewan, P., Kashyap, A., & Kumaraguru, P. (2014). Analyzing social and stylometric features to identify spear phishing emails. 2014 APWG Symposium on Electronic Crime Research (ECrime), 1–13. IEEE.
https://doi.org/10.1109/ECRIME.2014.6963160
Downs, J., Holbrook, M., & Faith Cranor, L. (2006). Decision Strategies and
Susceptibility to Phishing. Proceedings of the Second Symposium on Usable Privacy and Security, 79-90. Association for Computing Machinery.
https://doi.org/10.1145/1143120.1143131
Goel, S., Williams, K., & Dincelli, E. (2017). Got Phished? Internet Security and Human Vulnerability. Journal of the Association for Information Systems, 18(1). https://doi.org/10.17705/1jais.00447
Howitt, D. (2016). Introduction to Qualitative Research Methods in Psychology (3 uppl.). Pearson Education.
Johnson-Laird, P. N. (2001). Mental models and deduction. Trends in Cognitive Sciences, 5(10), 434–442. https://doi.org/10.1016/S1364-6613(00)01751-4 Khonji, M., Iraqi, Y., & Jones, A. (2013). Phishing Detection: A Literature Survey. IEEE Communications Surveys & Tutorials, 15(4), 2091–2121. IEEE.
https://doi.org/10.1109/SURV.2013.032213.00009
Komatsu, A., Takagi, D., & Takemura, T. (2012). Human Aspects of Information Security: An Empirical Study of Intentional versus Actual Behavior. Information Management & Computer Security, 21(1), 5-15. Emerald Publishing Limited. https://doi.org/10.1108/09685221311314383
34
Linell, P. (1994). Transkription av tal och samtal: Teori och praktik (Arbetsrapporter från Tema K 1994: 9). Tema Kommunikation, Linköpings universitet.
Oxford University Press. 2021. Oxford Online Dictionary. Oxford: Oxford University Press. 15 maj, 2021: http://www.oxforddictionaries.com/definition/english/Security Prior, D. D. (2016). Boundary spanning and customer service styles in business solutions implementation. Industrial Marketing Management, 56, 120–129. https://doi.org/10.1016/j.indmarman.2015.11.001
Radicati (2020). Email Statistics Report, 2020-2024 – Executive Summary. Radicati. https://www.radicati.com/wp/wp-content/uploads/2020/04/Email-Market-2020-2024-Executive-Summary.pdf
Rook, F. W., & Donnell, M. L. (1993). Human cognition and the expert system interface: Mental models and inference explanations. IEEE Transactions on Systems, Man, and Cybernetics, 23(6), 1649–1661. IEEE.
https://doi.org/10.1109/21.257760
Sawyer, B., Finomore, V., Funke, G., Mancuso, V., Miller, B., Warm, J., & Hancock, P. (2015). Evaluating Cybersecurity Vulnerabilities with the Email Testbed: Effects of Training. Proceedings of the 19th Triennial Congress of the International
Ergonomics Association, 9, 14.
Sheng, S., Holbrook, M., Kumaraguru, P., Cranor, L. F., & Downs, J. (2010). Who falls for phish?: A demographic analysis of phishing susceptibility and effectiveness of interventions. Proceedings of the 28th International Conference on Human
Factors in Computing Systems - CHI ’10, 373. Association for Computing Machinery. https://doi.org/10.1145/1753326.1753383
Thatcher, A., & Greyling, M. (1998). Mental models of the Internet. International Journal of Industrial Ergonomics, 22(4), 299–305. https://doi.org/10.1016/S0169-8141(97)00081-4
Thomas, J. (2018). Individual Cyber Security: Empowering Employees to Resist Spear Phishing to Prevent Identity Theft and Ransomware Attacks. International Journal of Business and Management, 12(3), 1-23. SSRN.
35
Vetenskapsrådet. (2017). God forskningssed. Vetenskapsrådet.
https://www.vr.se/analys/rapporter/vara-rapporter/2017-08-29-god-forskningssed.html
von Solms, R., & van Niekerk, J. (2013). From information security to cyber security. Computers & Security, 38, 97–102. Elsevier.
https://doi.org/10.1016/j.cose.2013.04.004
Zielinska, O. A., Welk, A. K., Mayhorn, C. B., & Murphy-Hill, E. (2015). Exploring Expert and Novice Mental Models of Phishing. Proceedings of the Human Factors and Ergonomics Society Annual Meeting, 59(1), 1132–1136.
37
8. Bilagor
Bilaga 1 – Översiktliga tabeller av samtliga mail
38
