Kandidatuppsats
IT-forensik och informationssäkerhet
Har utbildningsbakgrund någon påverkan på
“Phishabilty”?
Digital forensik 15 hp
Halmstad 2021-06-04
Alfred Grönberg och Patrik Folemark
i
Har utbildningsbakgrund någon påverkan på “Phishabilty”?
Kandidatuppsats Maj 2021
Författare: Alfred Grönberg och Patrik Folemark Handledare: Mattias Weckstén
Examinator: Eric Järpe
ii
Förord
Denna kandidatuppsats ingår i programmet IT-forensik och informationssäkerhet vid Högskolan i Halmstad och är skriven våren 2021. Vi vill först och främst passa på att tacka vår handledare Mattias Weckstén för all tid och engagemang under utvecklingen och processen av detta arbete. Vi vill även tacka alla respondenter som ställde upp och tog sin tid så denna kandidatuppsats blev möjlig.
iii
Sammanfattning
Phishing är en metod som används av angripare på nätet för att lura sitt offer att dela med sig av känslig information som bankuppgifter, lösenord eller användaruppgifter. Författarnas syfte med denna studie är att undersöka ifall det är skillnad på utsattheten för phishing beroende på utbildningsbakgrund. Om de med utbildningsbakgrund inom IT eventuellt presterar bättre än de utan den bakgrunden eller om det går att hitta andra samband varför vissa lättare faller offer för phishing. I takt med att system blir allt säkrare blir den mänskliga faktorn den svaga länken.
För är det något som är säkert är det att människor begår misstag och gör fel. Det handlar därför om att minimera dessa risker och ständigt vara i framkant för att bemöta cyberkriminaliteten.
Det är viktigt att hitta svaren varför någon faller för phishing och hur det går att stärka människors förmåga att identifiera en phishing attack innan det är försent eftersom det annars kan få negativa konsekvenser.
Resultaten togs fram genom en enkät där förmågan att identifiera phishing e-mails undersöktes.
Det gjordes med hjälp av ett test där respondenterna fick en verklighetstrogen bild av olika phishing metoder i form av e-mails där det skulle identifiera om e-mailen var phishing eller autentiskt.
Undersökningens resultat visar att de med utbildningsbakgrund inom IT hade lättare att dissekera vilka som var phishing och vilka som var autentiska. Denna undersökning replikerade även tidigare studiers resultat att kvinnor som grupp är något mer mottagliga för phishing.
Keywords: Social Engineering, Phishing, Phishability, e-mail, IT
iv
Innehållsförteckning
1. Introduktion 1
1.1 Bakgrund 2
1.1.1 Vad innebär phishing 2
1.1.2 De olika tillvägagångssätten inom phishing 2
Phishing: 2
Spear-phishing 3
Vishing 4
Smishing 4
1.2 Tidigare Arbeten 5
1.3 Syfte och Frågeställning 7
1.3.1 Problematisering av frågeställning 7
1.4 Avgränsningar 8
2. Metod 9
2.1 Vetenskaplig utgångspunkt 9
2.2 Val av Metod 9
2.2.1 Problematisering av metod 10
2.3 Urvalsmetod 10
2.3.1 Problematisering av urval 11
3. Enkätuppställning 12
3.1 Översikt 12
3.2 Enkätfrågor 12
3.3 Phishing-test 13
3.4 Matematiska metoder 15
4. Resultat 19
4.1 Respondenter 19
4.2 Testresultat 24
5. Diskussion 26
5.1 Allmän diskussion kring arbetet 26
5.2 Diskussion kring resultatet 26
5.3 Etiska ställningstaganden 29
5.4 Framtida studier 29
v
6. Slutsats 30
7. Referenser 31
1
1. Introduktion
Det digitaliserade samhället vi idag lever i har förenklat mycket av vår vardag. Att ständigt vara uppkopplad till internet har fört med sig en mängd fördelar men precis som med allt annat finns det en baksida av myntet. Social engineering kan på svenska översättas till social manipulation. Social engineering innebär att förövaren försöker lura sitt offer att dela med sig av känslig information. I takt med att våra datorsystem blir allt säkrare växer den mänskliga faktorn fram som den svaga länken i kedjan för manipulation och sabotage [1].
En typ av social engineering kallas för phishing. Det kan komma i lite olika skepnader som t.ex. oönskade e-mail som brukar kallas för spam. Dessa e-mails är gjorda för att efterlikna ett autentiskt utseende, där angriparen oftast vill lura personen att klicka på en länk eller lämna ut konfidentiell information. Efter att offret i god tro klickat på en länk i ett falsk e-mail laddas ett program ner utan offrets vetskap som sedan kan börja försöka “fiska’’ efter känsliga uppgifter som bankkontonummer och liknande [2].
Phishing är idag en av de vanligaste metoderna för angripare att komma över känslig information och fortsätter att växa i takt med internettjänsters utveckling. IT-säkerhetsföretaget Sentors gjorde en undersökning 2018 som visar att 66 procent av de tillfrågade hade blivit utsatta för bedrägeriförsök genom phishing. Denna dystra utveckling är något som Krister Hedfors Head of Technical Security på Sentor tror kommer fortsätta öka de kommande åren [3].
Angriparna som använder phishing-metoder har blivit alltmer sofistikerade och lägger allt mer tid på att få deras falska e-mails att se äkta ut. Kvaliteten har ökat mycket de senare åren och det gör att företag och organisationer måste lägga allt mer resurser på att rusta sig mot angrepp.
Cyberkriminella är snabba att anpassa sig till att utnyttja uppkomna situationer som en global pandemi, likt Covid-19. Att spela på människors känslor och oro kan öka risken att angriparna lyckas med sina bedrägerier. I USA började phishing e-mail redan i februari 2020 att dyka upp som var kopplade till pandemin. Dessa e-mails kunde t.ex. låtsas vara från World Health Organization (WHO) där offret skulle luras att klicka på länken i mailet och därmed ge chansen
2
till angripen att stjäla tex inloggningsuppgifter som lösenord och annan känslig information [4].
1.1 Bakgrund
I detta kapitel kommer bakgrunden till phishing tas upp, vad det innebär och de olika metoderna som angripare använder sig av samt de problem som uppstår.
1.1.1 Vad innebär phishing
Nationalencyklopedins definition av phishing lyder som följande:
‘’Phishing på svenska nätfiske, metod för IT-brottslighet där internetanvändaren luras att lämna ut känslig information som sedan kan användas till bedrägerier, t.ex att tömma bankkonto på pengar’’ [2].
De flesta phishing-attacker kommer i form utav e-mail där avsändaren ser ut att vara autentisk.
Angriparen försöker få mailet att se ut som att det kommer från en bank eller myndighet och där offret ska se det som äkta. Målet kan vara att offret ska luras till att dela med sig av känslig information eller att få offret att klicka på en länk. Denna länk kan efterlikna att gå till en legitim sida när den i själva verket är falsk och målet är att infektera offrets dator i hopp om att fiska fram känslig information som går att stjäla.
1.1.2 De olika tillvägagångssätten inom phishing
Phishing:
Phishing har funnits som begrepp sedan mitten av 90-talet. Metoden går ut på att försöka lura sitt offer att dela med sig av känslig information, eller att lura sitt offer att klicka på en länk som öppnar upp för att angriparen kan installera skadlig kod. Metoden går ut på att lura sitt offer att avsändaren är trovärdig och därmed inte väcka misstänksamhet [5].
Första gången som phishing användes av angripare var andra januari 1996. På den tiden var America Online (AOL) den största internetleverantören och hade flera miljoner aktiva användare varje dag. Alla dessa användare hade inte goda avsikter och det var här som grunden till phishing lades som vi känner till idag. Genom programmet AOHell kunde angripare fiska upp offrets lösenord och därefter använda algoritmer för att skapa slumpmässiga
3
kreditkortsnummer för att öppna AOL konton. Sedan skickade de ut falska meddelanden som verkade komma från AOL där offret ombads klicka på länkar för att verifiera sitt konto. De lyckade attackerna med denna metod var få men det lade grunden till begreppet phishing som vi känner till det idag [6].
Spear-phishing
Spear-phishing är en riktad attack av phishing, det vill säga angripen har istället för att på måfå skicka ut spam i hopp om att hitta offer redan riktat in sig på ett påtänkt offer. Det gör att dessa attacker kan vara svårare att upptäcka eftersom de är skräddarsydda för ett specifikt företag eller en person. Ett angrepp med spear-phishing kan se ut på följande vis:
Samla in data och information
Innan ett riktigt angrepp äger rum samlas data in om det tänkta offret eller företaget.
Idag är sociala medier ett utmärkt verktyg för denna typ av informationsinhämtning, det kan handla om offrets telefonnummer, e-mails adresser, intressen offret har samt vilka personer offret känner och integrerar med. Allt detta görs för att försöka få sin attack att se så äkta ut som möjligt.
Uppbyggnad
I andra fasen skapas falska sociala medieanvändare i syfte att integrera med offret. Det handlar om att få en tilltro från offret att känna samhörighet, genom att ha delade intressen eller att ha läst på samma universitet.
Kontakt
Nu är det dags att på riktigt ta kontakt med offret, det kan vara genom något så enkelt som en vänförfrågan på facebook eller linkedin. Efter att denna förfrågan blivit accepterad har nu angripen tillgång till information som endast offrets vänner på den sociala plattformen har. Ett annat sätt att angripa kan vara genom ett direkt meddelande med en infekterad länk som offret luras klicka på.
4 Installera
När offrets dator blivit infekterad är det fritt fram för angriparen att stjäla information eller sprida propaganda via offrets kanal. Det kan handla om allt från att komma över konfidentiell information till att sprida riktad propaganda som når ut till offrets alla kontakter via offrets användare.
Smitta
Nu när attacken är fullbordad och offrets dator är infekterad är det dags för att sprida viruset vidare. Det handlar om att få personer i offrets närhet att också luras att klicka på falska länkar och på så vis sprida spear-phishing viruset vidare [7].
Vishing
Vishing som ord är en kombination mellan phishing och voice (röst). I praktiken innebär detta bedrägeri att angriparen ringer upp dig och försöker lura dig att uppge känslig information över telefon [8]. I Sverige har denna metod varit något som växt under några år och kulminerade under hösten 2018. Förövaren har i många fall riktat in sig på äldre människor som blivit lurade på stora besparingar genom denna metod av bedrägeri. Metoden har oftast varit att någon ringer upp och påstår sig företräda din bank och ber dig logga in med Bank-id för att på så vis komma över känslig information [9].
Smishing
I takt med att smartphones blivit alltmer populära har även bedragarna riktat blickarna till denna arena för sina bedrägerier. Smishing innebär att bedragaren kontaktar sina offer via sms. I dessa meddelanden ombeds offret klicka sig vidare på en länk i sms:et som antingen redan innehåller skadlig kod eller som tar dig till en sida där skadlig kod finns redo att installeras på offrets enhet.
Att angripare använder smishing som metod är fördelaktigt eftersom offret har det svårare att få en helhetsbild när den lilla skärmen på mobilen är det enda att tillgå. Detta eftersom URL (Uniform Resource Locator) inte är fullt synlig på en mobilskärm vilket medför att falska adresser är lättare att gömma för en mobilanvändare [10].
5
1.2 Tidigare Arbeten
Precis som att phishing är en välanvänd metod för angripare att ta till är det även ett område med omfattande mängd forskning. Det har innan denna uppsats skrivits många uppsatser som tar upp ämnet. Ett exempel på detta är “Comparing the relative efficacy of phishing emails’’
gjord av Jacob Lingaas från Högskolan i Halmstad. I denna uppsats ville författaren se om det fanns skillnader i hur benägna personer är att klicka på en länk i e-mail beroende på struktur, språk och innehåll. Författarens resultat visade att människor är mer benägna att gå på dessa bluffmail ifall meddelandet var aggressiva och med en auktoritär ton. Autenticiteten spelade också roll, om meddelandet var strukturerat och verkade komma från äkta avsändare. Att spela på offrets känslor som rädsla verkar också öka risken att klicka på länkar [11].
En annan uppsats som tar upp phishing är en kandidatuppsats från Högskolan i Halmstad 2018 av Robin Loggarfve och Johan Rydell - “Social Engineering - En kvalitativ studie om hur organisationer hanterar social engineering’’. Denna studie utfördes med tre organisationer där författarna genom en kvalitativ studie ville undersöka organisationernas medvetenhet, vanligast förekommande social engineering-attacker (phishing) samt förebyggande arbete.
Resultatet av studien visade att IT-avdelningarna presterade bäst när det gäller medvetenhet inom området jämfört med de övriga avdelningarna. Deras slutsats var att utbildning och informationsspridning är de bästa förebyggande åtgärderna för att förhindra attacker och skada [12].
“Phishing happens beyond technology: The effects of human behaviours and demographics on each step of a phishing process’’ är en nyligen publicerad studie där författarna undersökte de olika parametrarna som får någon att inneha hög “Phishabilty” (en person eller grupps benägenhet att bli utsatt för phishing). De parametrar som får någon till att inneha hög phishabilty är risktagningsbeetende, specifikt risktagande domän såsom finansiellt risktagande.
Beslutfattande och demografi som kön, ålder och utbildning ingår också. Dessa parametrar jämfördes i de olika stegen i phishing-processen. De tre stegen i den allmänna processen för generell phishing är: Användaren öppnar ett phishing e-mail, användaren klickar på länken och användaren delar med sig av sin känsliga information. Studien kom fram till att människor med generellt högre risktagande löper större risk att bli utsatta för phishing då de hade en högre sannolikhet att klicka på en phishing länk. Studien kom även fram till att kvinnor i högre grad
6
klickade på en phishing länk. De insåg att detta resultat kan variera beroende på kultur och landstillhörighet [13].
Studien “Baiting the hook: factors impacting susceptibility to phishing attacks’’ från 2016 av Cristian Luga, Jason R. C. Nurse och Arnau Erola undersökte hur bra människor upptäcker phishing-hemsidor och om det fanns någon korrelation mellan individens individuella särskiljande drag som människa och sårbarheten att falla offer för phishing. Författarna i denna studie fokuserar på infekterade hemsidor och försöker undersöka om utformningen på en hemsida kan spela roll när phishing ska upptäckas. De vill också undersöka om tiden en användare spenderar på en hemsida kan ha någon korrelation med chansen att upptäcka phishing. Resultatet av studien visade att 65,63 % upptäckte (phishing-hemsidor). Men endast sex deltagare lyckades upptäcka 100 % av de falska hemsidorna. Resultaten från den här undersökningen visade även att det var skillnader på förmågan att upptäcka phishing mellan könen. Det visade sig att kvinnor var en aning sämre på att identifiera falska länkar och hemsidor jämfört med män [14].
Real or bogus: Predicting susceptibility to phishing with economic experiments av Yan Chen, Iman YeckehZaare och Ark Fangzhou Zhang som publicerades 2018 gjorde ett experiment för att demonstrera hur olika människors beteendemässiga egenskaper i en labbmiljö skulle förutspå deras förmåga att identifiera phishing-attacker. Författarna för denna studie hittade att respondenter som var mer risktagande, nyfikna och misstroende gjorde betydligt fler fel när de skulle identifiera olika phishing-attacker. Det lyckades även att återupprepa tidigare studiers resultat som skillnader mellan könen, mellan åldersgrupper samt utbildning var något som kan påverkar ens förmåga att upptäcka phishing. Detta gjordes genom en kvantitativ undersökning där respondenterna fick svara på en digital enkät. Författarna drog slutsatsen att utifrån resultaten går det att förutsäga en persons förmåga att identifiera phishing av deras beteendemässiga egenskaper såsom risktagande, nyfikenhet och misstro [15].
En studie från 2010 Who falls for Phish? A demographic analysis of phishing susceptibility and effectiveness of interventions. Författarna för denna studie gjorde en undersökning för att ta reda på vilka olika demografer som skulle vara mer utsatta för phishing. Författarna skulle även undersöka hur effektiva olika utbildningsmaterial om anti-phishing påverkade resultaten på respondenternas förmåga att identifiera phishing. Med en digital enkät fick de fram att kvinnor är mer benägna att falla för phishing jämfört med män. Åldersgruppen 18-25 är mest
7
benägna att falla för phishing. Med det anti-phishing utbildningsmaterialet fick de fram att det minskade med 40 % att skriva in information på phishing hemsidor, men i vissa av fallen visade det sig att respondenterna hade tendenser att inte trycka på de länkar som var äkta [16].
1.3 Syfte och Frågeställning
Studiens syfte är att undersöka om utsattheten för phishing, även kallat phishabilty, är större eller mindre för personer som studerar eller har studerat ett program på högskola eller universitet inom IT (Informationsteknologi) jämfört med personer som inte studerar eller studerat detta ämne på högskola eller universitet. Det huvudsakliga med denna studie är att kartlägga om det finns en större eller mindre skillnad på förmågan att identifiera en phishing attack beroende på vilken utbildning personen studerar eller har studerat. Detta för att se om utsattheten för en phishing attack är större för just personer som inte har studerat inom IT eller det som har det.
Studiens syfte nås genom en granskning av frågorna:
● Har utbildningsbakgrund någon påverkan på hur bra personer identifierar phishing?
● Är det någon skillnad på utsattheten av phishing mellan det som är utbildade inom IT och personer inom andra områden?
1.3.1 Problematisering av frågeställning
Utifrån frågeställningen såg författarna att det fanns brister som måste tas till ytan så att det inte blir missförstånd om frågeställningen. Utbildningsbakgrund är ett begrepp som är svårt att definiera då utbildning inom arbetslivet och gymnasial utbildning är något som påverkar personers utbildningsbakgrund. Ett val gjordes att fokusera på just utbildningsbakgrund inom högskola och universitet. Valet gjordes att fokusera på två grupper, de med utbildningsbakgrund inom IT och ej utbildning inom IT. Mer om urvalet för studien behandlas i kapitel 2.3.
8
1.4 Avgränsningar
Inom phishing finns det olika metoder som tidigare nämnts i rapporten såsom smishing och vishing som sker via sms respektive röstsamtal. Dessa metoder behandlas inte i denna studie.
Ett val gjordes att avgränsa undersökningen till phishing metoder som sker via e-mail. Phishing attacker via e-mail är en av det vanligaste metoderna en förövare använder sig av [3]. Utifrån det bedömer författarna att fokuset bör ligga på att undersöka utsattheten för metoden via e- mail av phishing. Tidigare arbeten inom ämnet phishing tar upp att det finns olika faktorer som kan påverka utsattheten för phishing hos en människa. Om någon är mer benägen att ta risker löper de större risk att bli utsatt för phishing [13]. Dessa faktorer kommer ej författarna ta med som en faktor i denna undersökning men det kan klart vara något som påverkar respondenternas förmåga att identifiera e-mails som phishing eller äkta.
9
2. Metod
I detta kapitel presenteras den vetenskapliga utgångspunkten, metoden som används i studien och en problematisering av den valda metoden. Senare i kapitlet tar författarna upp urvalsmetod samt en problematisering av vald urvalsmetod.
2.1 Vetenskaplig utgångspunkt
Studien kommer att använda sig av en blandning av en primärt kvantitativ metod samt en litteraturstudie för att etablera resultat. Med litteraturen utforma problemområdet och även den kvantitativa datainsamlingen. Tidigare arbeten inom området har använt sig utav kvantitativa metoder för att undersöka skillnaden mellan utsattheten för åldersgrupper [13]. Andra studier har mätt andra faktorer som gör någon till mer utsatt för just phishing [14, 15, 16]. Studierna undersöker vilka personlighetsdrag eller andra parametrar som kan göra någon mer utsatt för phishing. Det alla tidigare arbeten har gemensamt är användningen av en kvantitativ metod för att samla in data. Författarna i denna studie har valt en liknande forskningsstrategi där en kvantitativ undersökningsmetod använts.
2.2 Val av Metod
För att besvara forskningsfrågorna används en kvantitativ metod med hjälp av en komparativ studie där två fall studerades för att identifiera variationer mellan hur sannolikt det är att respondenter från respektive fall råkar ut för phishing. En komparativ studie innebär att forskaren jämför två olika fall med samma metod för att få en bättre förståelse av en viss social företeelse. Genom att studera relationer mellan olika variabler kan sambandsmönster identifieras. Eftersom data samlas in mer eller mindre samtidigt finns det ingen hållbar tidsmässig relation mellan variablerna vilket medför att forskaren inte kan manipulera någon av dem. Detta ger upphov till problem där forskaren upptäcker ett samband mellan två variabler men kan inte med säkerhet avgöra om det handlar om en kausal relation [17]. En studie i denna form går det inte med full säkerhet avgöra exempelvis att en viss grupp löper större risk för ett visst fenomen.
Med tanke på studiens ändamål har en kvantitativ metodansats valts, detta då en kvantitativ metod eftersträvar att mäta fenomen i verkligheten, där forskaren formulerar hypoteser samt
10
frågeställningar från tidigare litteratur och arbeten. Vidare läggs en betoning inom den kvantitativa forskningen på mängd, frekvens och samband mellan variabler som mäts genom statistiska verktyg. I jämförelse innebär en kvalitativ metodansats att forskaren eftersträvar att få en fördjupad förståelse för det problemområde som undersöks genom att tolka och förstå individens upplevelser i den specifika kontexten [17]. För att underlätta jämförelsen mellan de två olika fallen önskas data som är kvantifierbar utan personlig tolkning, därmed ansågs kvantitativ metodansats mer lämpad för studien.
2.2.1 Problematisering av metod
Då undersökningen kommer att använda sig utav en kvantitativ metod med en komparativ studie, är det viktigt att få in ett visst antal respondenter för respektive fall för att ha underlag till att jämföra. En risk med denna metod kan vara ifall inte tillräckligt med data samlas in och underlaget därmed blir för tunt för att få fram ett resultat samt dra slutsatser. För att motarbeta detta har en längre tidsram upprättats för datainsamlingen vilket minskar risken för otillräcklig datainsamling.
2.3 Urvalsmetod
För att samla in respondenter för den kvantitativa undersökningen måste ett urval göras.
Urvalsmetoden för den här undersökningen är en subjektiv urvalsmetod. Det innebär att forskaren handplockar respondenter som uppfyller det önskade kriteriet [18]. I vårt fall där vi vill undersöka skillnader mellan utbildningsbakgrund och utsattheten för phishing har vi valt att avgränsa urvalet av respondenter till personer som studerar eller har studerat på Högskolan i Halmstad.
Vi väljer även ett kriterium att kandidaten ska ha studerat minst fyra terminer på heltid inom en viss akademi. Då en person som har läst en kurs på högskolan eller universitet räknas som att ha studerat. Den akademi på Högskolan i Halmstad som ska representera kandidater som har en utbildningsbakgrund i IT är från akademin ITE (Akademin för Informationsteknologi).
De som ska representera kandidater med utbildningsbakgrund utanför IT är de respondenter från resterande akademier:
● FIH (Akademin för Företagande, innovation och hållbarhet)
● HOV (Akademin för Hälsa och välfärd)
● LHS (Akademin för Lärande, humaniora och samhälle)
11
Den subjektiva urvalsmetoden kommer utgå från tidigare nämnda kriterier för att få en bred spridning av respondenter för att sedan kunna göra en analys på respondenternas resultat från den kvantitativa undersökningen.
Vald urvalsmetod blir även till viss mån ett bekvämlighetsurval då det var inom en viss tidsram att genomföra studien och att få ett jämt antal av respondenter kommer författarna från det kontaktnät det själva besitter på Högskolan i Halmstad samla in respondenter från det olika akademierna [18].
2.3.1 Problematisering av urval
Urvalsmetoden kommer med sina problem såsom att en rekrytering måste göras för att få respondenter genom det kontaktnät som författarna tillhandahåller på Högskolan i Halmstad.
Detta kan vara ett problem då vi inte kunde garantera ett balanserat underlag av respondenter från det olika akademierna. Om resurser som tid inte var en begränsning för studien, hade en mer utförlig sammanställning av respondenter kunnat utföras och även öka det antal respondenter för att få en bättre bild av det olika fall för jämförelsen.
12
3. Enkätuppställning
I detta kapitel tas enkätens upplägg upp och hur den insamlade data ska analyseras med hjälp av matematiska metoder samt det frågor som förekommer i enkäten. Den experimentella delen av enkäten och hur den är uppbyggd och vilka frågor som förekommer i den.
3.1 Översikt
Det har utförts en kvantitativ enkät som bestod av två delar, där den första var ämnad att samla in den generella data som vilken akademi respondenten tillhör, vilket program inom akademin personen studerar, om de har hört talas om phishing tidigare samt ålder och kön. Insamlingen av data om vilken akademi samt program är relevant då vi vill se till att vi får så bred utsträckning av respondenter som möjligt från de olika programmen inom diverse akademi.
Data om kön och ålder kan vara av betydelse för att visa en sådan bred utsträckning som möjligt på respondenter inom olika åldrar. Den andra delen av enkäten, som utgör den experimentella delen, består av ett test som ska testa respondenternas förmåga att identifiera om ett e-mail är ett phishing e-mail eller ett äkta e-mail. Mer om hur detta test är uppbyggt kommer längre ner i rapporten.
Enkäten kommer att ske som en intervju för att den andra delen av enkäten som är testet kommer att ske med övervakning så resultatet från testet insamlat är korrekt. Detta kommer då göras med hjälp av digital media såsom Zoom, Microsoft Teams eller Discord. Detta val gjordes för att det ska vara lättare att kunna nå ut till respondenter på grund av restriktionerna som satts av myndigheterna på grund av rådande pandemi.
3.2 Enkätfrågor
Som tidigare nämnt kommer enkäten bestå av två delar där den första delen är insamling av data om vilken akademi respondenter tillhör, vilket program den studerar, kön och tillhörande åldersgrupp. Frågorna kommer att vara stängda där det är stängda som innebär att frågorna endast kan besvaras med det alternativ som finns med i enkäten. Som t.ex Vilken akademi studerar du inom på Högskolan i Halmstad?
13
Alternativ 1: ITE (Akademin för Informationsteknologi)
Alternativ 2: FIH (Akademin för Företagande, innovation och hållbarhet) Alternativ 3: HOV (Akademin för Hälsa och välfärd)
Alternativ 4: LHS (Akademin för Lärande, humaniora och samhälle)
Respondenten får ge svar om vilken akademi de tillhör och författarna fyller i vilket svarsalternativ det svarade i Google formulär. Samma struktur kommer att ske för resterande frågor om vilket program det studerar inom, tillhörande åldersgrupp samt kön.
3.3 Phishing-test
Den andra delen av enkäten består av ett test för observera respondenternas förmåga att identifiera phishing e-mail. Detta test är byggt på åtta olika illustrationer av phishing e-mail och av säkra e-mail. Därav sex illustrationer visar ett exemplar på phishing e-mail (se Figur 1 och 2) och två illustrationer visar äkta e-mail (se Figur 3). Alla dessa olika exempel på phishing e-mail är gjorda på olika sätt för att försöka lura mottagaren att gå in på länken i e-mailet [19].
Detta test är uppbyggt så att det simulerar verklighetstrogna e-mail, innan testet sätter i gång får deltagaren skriva in sitt namn och e-mail så ändras e-mailen samt namnet i testet efter det som skrivits in. Deltagarens riktiga namn och e-mail behövs dock inte skrivas in om personen som gör testet inte vill det. Att möjligheten finns gör detta test ytterligare ett steg närmare att göra det mer liknande verkligheten. För att även göra det mer verklighetstroget är illustrationerna av e-mailen interaktiva då personen kan hovra med muspekaren över länken i e-mail illustrationerna för att se till vilken URL det går, likvärdigt med verkligheten. Detta är även en styrka med att använda detta test då om det bara varit bilder av e-mail som inte är interaktiva så blir det mindre autentiska.
14
Figur 1: Ett exempel på illustrationerna av phishing e-mail i Testet [19].
Figur 2: Ett exempel på illustrationerna av phishing e-mail i Testet [19].
Testet i är gjort av en enhet på Google som heter Jigsaw. Denna enhet utforskar hot mot samhället och bygger teknologi för att inspirera skalbara lösningar [20]. Detta test valdes som verktyg att mäta respondenternas förmåga att identifiera phishing e-mails då testet visade en mängd olika sorters phishing e-mails med olika strategier för mottagaren ska se e-mailet som trovärdigt. Vi valde att använda detta test i stället för att göra ett eget test för att kunna illustrera det verklighetstrogna e-mailen i en interaktiv form. Författarna såg det som en stor utmaning att hinna utveckla ett eget test med liknande standard inom den tidsram då arbetet skulle utföras.
15
Figur 3: Ett exempel på illustrationerna av ett äkta e-mail i Testet [19].
Resultaten av detta test kommer att användas för att besvara frågeställningen. Har utbildningsbakgrund någon påverkan på hur bra personer identifierar phishing? och Är det någon skillnad på utsattheten av phishing mellan det som är utbildade inom IT och personer inom andra områden?
Medelvärdet av resultaten från respektive grupp kommer att jämföras för att se om utbildningsbakgrund är en faktor om hur bra personer identifierar phishing via e-mail. Även jämföra det resultatet för att se vilken skillnad det är på respektive grupp som undersöks.
3.4 Matematiska metoder
Data som insamlats måste analyseras, varpå olika metoder kan användas beroende på om data är kvantitativ eller kvalitativ. Kvantitativa data analyseras med olika statistiska tekniker för att utföra räkneoperationer [17]. Denna undersökning använder författarna en kvantitativ metod i sin datainsamling, därav kommer data analyseras statistiskt.
Den variabel vars väntevärde ska jämföras mellan två grupper som relaterar till frågeställningen är graden av phishability och grupperna är om man har IT-bakgrund eller ej. I enkäten fick respondenterna svara på frågor om vilken akademi de tillhör och även annan data såsom kön, ålder och utbildningsprogram på Högskolan i Halmstad. Den insamlade data från
16
formuläret extraheras därefter för analys, sedan med hjälp av statistiska verktyg bearbetas data för att räkna ut det resultat från respektive variabel för sedan göra en jämförelse mellan det medelresultat respektive grupp fick.
Insamlade data av resultatet från testet har bearbetats för att få fram medelvärdet av resultatet för respektive grupp som sedan använts för jämförelsen. För att räkna ut medelvärdet utfördes en beräkning som utgår ifrån att man adderar alla summor och sedan dividerar det med antalet värden så är resultatet medelvärdet, se Formel 1.
𝑀𝑒𝑑𝑒𝑙𝑣ä𝑟𝑑𝑒 = ∑ 𝑥
𝑛
Formel 1: Formel för beräkning av medelvärde.
För att kunna säkerställa att medelvärdet har en statistisk signifikans innebär det framtagna värdet inte har kommit fram utav en slump. För att undersöka detta utförs en hypotesprövning för att testa de hypoteser som är satta. Den ena är nollhypotesen, det innebär att det inte är någon skillnad på det två olika medelvärden, att det är mycket troligt är framtaget av en slump.
Den andra hypotesen är den alternativa hypotesen, den innebär att det finns en skillnad mellan det två olika medelvärden och att det finns en statistisk signifikans.
För att testa dessa två hypoteser ska ett hypotestest genomföras, det vi genomför är ett så kallat t-test. Ett t-test är en samling beräkningar för att kunna se om det finns en statistisk signifikans i resultatet utifrån det hypoteser som är satta.
Ett t-test kan göras i olika former, det finns ensidigt t-test där ett medelvärde från en population har ett värde som specificeras i en nollhypotes. Samt det t-test författarna kommer att genomföra som är ett tvåsidigt test, det är när man testar om medelvärdet hos två olika populationer är lika eller om det är en skillnad [21].
17
Det beräkningarna som genomförs i ett t-test tar fram ett så kallat p-värde, detta p-värde är det som säkerställer om det finns en statistisk signifikans utifrån det hypoteser som tidigare nämnda stämmer. I den uträkningen som författarna ska genomföra är det önskade p-värdet p < 0.05. Om p-värdet är mindre än 0.05 är det mindre än 5 % sannolikhet att resultatet i det olika medelvärderna är framtagna av en slump och med det går det att säkerställa att det finns en statistisk signifikans. I detta fall om p-värdet kommer ut som mindre än 0.05 innebär det att den alternativa hypotesen stämmer. Se formel för tvåsidigt t-test i Formel 2.
𝑠
𝑥1𝑥2= √ (𝑛
1− 1)𝑠
𝑥12+ (𝑛
2− 1)𝑠
𝑥22𝑛1 + 𝑛2 − 2
𝑡 = 𝑋
1− 𝑋
2𝑠
𝑥1𝑥2∗ √ 1
𝑛1 + 1 𝑛2
Formel 2: Formel för ett tvåsidigt T-test.
Om p-värdet hade framkommit som större än 0.05 som till exempel p= 0.44, är det nollhypotesen som stämmer vilket innebär att det inte finns någon statistisk signifikans.
Resultatet utifrån de två medelvärden är mycket troligt framtaget av en slump och det är ingen skillnad mellan de två medelvärdena. Se exempel på uträkning av tvåsidigt t-test i Formel 3.
𝑠
𝑥1𝑥2= √ (20 − 1) ∗ 12.48
2+ (23 − 1) ∗ 10.51
223 + 23 − 2 = 11.47
𝑡 =
9 − 1211.47∗√20 1 + 231
= -0.86
Formel 3: Exempel på uträkning av ett tvåsidigt T-test.
18
Resultaten från beräkningarna som ska göras utifrån den data insamlad har författarna valt att visualisera dem i diagram för att göra det lättare att se och få förståelse för resultaten.
Stapeldiagram kommer att användas för att bäst visualisera det medelvärden som ska jämföras med varandra. Vid användningen av stapeldiagram vid en jämförelse av medelvärden ska felstaplar användas för att visualisera standardfelet i medelvärdena. Nu följer formeln för beräkning av standardfelet där n är antalet observationer och 𝜎standardavvikelsen.
𝑆𝐸 =
𝜎√𝑛
Formel 4. Formel för beräkning av standardfelet (Standard error).
19
4. Resultat
I detta kapitel går författarna igenom det resultat från den genomförda enkäten. Vilka respondenter författarna rekryterade, tillhörande akademi, program, kön samt tillhörande åldersgrupp. Det resultat från phishing-testet som ska sedan användas för att jämföra respektive grupp tas även fram i detta kapitel.
4.1 Respondenter
Under enkätens gång lyckades författarna samla ihop totalt 41 respondenter. Under enkätens gång var målet för författarna att få en bred spridning av olika respondenter från respektive akademi och program från Högskolan i Halmstad. Även en jämn fördelning av kön var något författarna strävade efter. Då en jämförelse mellan två grupper med olika utbildningsbakgrund var det huvudsakliga målet var det viktigt att samla ihop så jämnt som möjligt mellan det två grupperna.
I Figur 5 visualiseras fördelningen av de 41 respondenter var 20 (48,8 %) stycken med utbildningsbakgrund inom IT och 21 stycken (51,2 %) med utbildningsbakgrund inom annat än IT. Av de 41 respondenter var 22 stycken män (53,7 %) och 19 kvinnor (46,3 %) se Figur 6.
20
Figur 5: Fördelningen mellan de två grupperna för jämförelsen. 21 (51,2%) respondenter med utbildningsbakgrund inom annat än IT och 20 (48,2%) respondenter med utbildningsbakgrund inom IT.
Figur 6: Könsfördelning bland respondenterna 22 (53,7 %) män och 19 (46,3 %) kvinnor.
21
Inom de två grupper som respondenterna tilldelas av utbildningsbakgrund var könsfördelningen för gruppen med utbildningsbakgrund inom IT var det 11 män och nio kvinnor, se Figur 7. Könsfördelningen för gruppen med utbildningsbakgrund utanför IT var 10 kvinnor och 11 män se figur åtta.
Figur 7: Könsfördelning för utbildningsbakgrund inom IT 11 (55 %) män och 9 (45 %) kvinnor.
Figur 8: Könsfördelning för utbildningsbakgrund utanför IT 11 (52,4 %) män och 10 (47,6 %) kvinnor.
22
Av respondenternas ålder är majoriteten mellan 24–29 år (22 st.). 18 respondenter är mellan 18–23 år samt en i åldern 30–39. Se Figur 9 nedan.
Figur 9: Respondenternas ålder i tre åldersspann. Ålder 18–23 är det 18 respondenter, ålder 24-29 är det 22 respondenter, ålder 30-39 är den en respondent.
I Figur 10 visualiseras det hur respondenterna var spridda mellan akademierna på Högskolan i Halmstad. 20 från ITE (Akademin för Informationsteknologi), 7 från HOV (Akademin för Hälsa och välfärd), 9 från FIH (Akademin för Företagande, innovation och hållbarhet) och 5 från LHS (Akademin för Lärande, humaniora och samhälle).
Figur 10: Respondenternas tillhörande akademi 20 ITE, 7 HOV, 9 FIH och 5 LHS.
23
I Figur 11 presenteras ett cirkeldiagram som visualiserar de olika utbildningsinriktningarna för alla respondenter. Det program som var det mest representerade var Civilingenjör inom datateknik 12,2 % av respondenterna och Digital design och innovation även de 12,2 % av respondenterna.
Figur 11: Fördelningen av utbildningsinriktning hos respondenterna.
24
4.2 Testresultat
Respondenterna fick göra ett test där deras förmåga att upptäcka phishing e-mails skulle mätas.
De svarade är uppdelade i två grupper, de som har utbildningsbakgrund inom IT samt de som ej har utbildning inom IT. Författarna ville se om det var någon skillnad i förmåga att upptäcka phishing beroende på utbildningsbakgrund hos respondenterna. När alla svarat räknades ett medelvärde ut för vardera grupp för att kunna göra en jämförelse. Medelvärdet för de med IT- bakgrund var 5,7 och 4,8 för de som ej har bakgrund inom IT (se Figur 12). Utifrån det två hypoteser som var satta sen innan, den alternativa hypotesen att det finns en skillnad och nollhypotesen att det inte finns en skillnad på resultaten. För undersöka dessa hypoteser genomfördes det ett tvåsidigt t-test tidigare nämnt i matematiska metoder. Det p-värde framtaget efter detta t-test kom ut som p = 0.0150, det resultat visat att p är mindre än 0.05 och med det ser vi att det är den alternativa hypotesen som stämmer, då det är mindre än 5 % sannolikhet att detta resultat är framtaget av en slump. Med det kan vi konstatera att det finns en statistisk signifikans i detta resultat och att det finns en skillnad mellan det två olika medelvärdena.
Figur 12: Medelvärdet av resultatet för respektive grupp. Utbildningsbakgrund inom IT har ett medelvärde av resultatet på 5,7 och den grupp med utbildningsbakgrund utanför IT har medelvärdet av resultatet på 4,80952381.
Felstaplar är SE (Standard error) för inom IT på 0.2 och utanför IT 0.3
25
I undersökningens början var det inte i fokus att undersöka skillnader på resultatet utifrån kön.
Det viktigaste i insamlingen av respondenter var att få ett så jämnt antal från de olika akademierna och programmen som möjligt. Då vi fick ett jämnt antal mellan män och kvinnor beslutade författarna att undersöka skillnaderna mellan könen då tidigare studier har tagit fram att kvinnor besitter högre phishabilty [13, 14, 15, 16]. Författarna gjorde ett val att undersöka om det finns en skillnad på resultaten mellan det män och kvinnor som deltog i denna undersökning.
Figur 13: Medelvärdet av resultatet för grupperna män och kvinnor. Kvinnor fick ett medelresultat på 5,052631579 och män ett medelresultat på 5,409090909. Felstaplar är SE (Standard Error) för män 0.2 och kvinnor 0.3
Medelvärdet av resultatet för kvinnor är 5,05 och medelvärdet av resultatet för män 5,4. Se figur 13. Det t-test som utfördes på jämförelsen på mellan utbildningsbakgrund gjordes även på detta resultat med samma hypoteser. Nollhypotesen, att det inte är någon skillnad och den alternativa hypotesen som innebar att det är en skillnad. Resultatet från t-testet kom ut med p=
0.3587, för att alternativa hypotesen skulle stämma var det så att p-värdet skulle vara mindre än 0.05. Eftersom p > 0,05 stämmer nollhypotesen och det finns således ingen statistisk signifikans mellan dessa medelvärden.
26
5. Diskussion
I detta kapitel kommer en diskussion föras om arbetets resultat samt de metoder som använts för att uppnå det resultat som togs fram. Kopplingar till tidigare studier och deras resultat kommer också tas upp och jämförelser samt korrelationer med denna skrivna studie. Etiska aspekter gällande resultatet samt lyfter författarna fram möjligheter för framtida forskning inom ämnet.
5.1 Allmän diskussion kring arbetet
Under arbetets gång som har varit under en pandemi har rekryteringen av respondenter till studien varit lite annorlunda än vid normala tider. Författarna fick använda en subjektiv urvalsmetod med vissa bekvämlighetsurval för att nå det respondenter som behövdes för undersökningen. Författarna använde sig även av sina personliga kontaktnät för att försöka nå så många respondenter som möjligt från olika akademier och program på Högskolan i Halmstad. Om pandemin inte hade varit den verklighet som vi lever i med det restriktioner som har satts av myndigheterna hade insamlingen inte behövt på distans över kommunikationsplattformarna Zoom, Microsoft Teams eller Discord. Insamlingen av respondenter kunde då ha gjorts på skolans campus. Detta hade underlättat insamlingen för att nå en bredare utsträckning av programmen och på så vis öka antalet respondenter.
5.2 Diskussion kring resultatet
I och med rådande pandemin blev insamlingen av respondenter till studien lite annorlunda än under normala tider. Författarna fick använda en subjektiv urvalsmetod som innebar att genom sina egna kontaktnät nå ut till respondenter. Målet var att få ett så brett urval av respondenter som möjligt, vilket lyckades bra. Författarna fick ihop totalt 41 respondenter, där av dessa var 20 s studenter inom IT och 21 som studerar en annan akademi än IT. Av de som ej studerar IT var fördelningen mellan programmen också välspridd (se Figur 11).
Det blev en bra spridning av respondenter, en aning tunt antal men tillräckligt bra underlag för att kunna göra jämförelser mellan grupperna samt dra slutsatser.
27
Fördelningen av könen bland respondenterna var även välbalanserad, 22 män och 19 kvinnor (se Figur 6). Till en början var det ingen tanke på att undersöka skillnaderna på testresultaten mellan könen då det viktigaste under datainsamlingen var för författarna att få ett jämnt antal respondenter från det med utbildningsbakgrund inom IT och det inom annat än IT. Då könen var jämnt representerade gjordes ett val att undersöka skillnaderna i resultaten mellan könen.
Tidigare arbeten inom området har dragit slutsatser att kvinnor är mer benägna att falla offer för phishing jämfört med män [13, 14, 15, 16]. Detta gjorde att vi även beslutade att jämföra phishing mellan könen för att se om vår undersökning låg i linje med tidigare forskning.
Utspridningen mellan åldersgrupper var väldigt ojämn då majoriteten av respondenterna var 18–29. Det var 18 respondenter i åldersgruppen 18–23, 22 respondenter i åldersgruppen 24–29 och en i 30–39 (se Figur 9). Att fördelningen ser ut så här kan bero på att de som studerar på högskolan generellt sett är 18-29 år gamla. Det kan även bero på att författarna själva är precis i mitten av det mest representerade åldersgrupperna och att respondenterna var rekryterade från författarnas egna kontaktnät. Tidigare studier där forskare undersökt vilka åldersgrupper som är mer benägna att bli utsatt för phishing, är resultat framtaget att yngre är den gruppen som faller mer för phishing jämfört med äldre åldersgrupper [16]. Författarna beslutade att inte göra en jämförelse av resultaten på testet mellan åldersgrupperna då vi bara i stort sett fått respondenter från åldrarna 18–29.
Medelvärdet av resultatet för det med utbildningsbakgrund inom IT är på 5,7 och det med utbildningsbakgrund utanför IT är 4,8 (Figur 12). Utifrån detta resultat ser vi att de som har utbildningsbakgrund inom IT har en bättre förmåga att identifiera e-mails som phishing eller äkta. Vi kan även säga att det finns en statistisk signifikans i detta resultat då p = 0.015 värdet som togs fram efter ett t-test hade genomförts var mindre än 0.05.
Varför de med utbildningsbakgrund inom IT presterar så pass mycket bättre att identifiera phishing e-mails Anser vi vara på grund av att dessa studenter oftast har högre datalogisk kompetens och troligtvis ett privat intresse för IT och teknik. Med det sagt är det även större chans att de blivit utsatta för phishing tidigare eller hört talas om tekniker som kan användas i phishing e-mails med mer timmar spenderade framför en dator. Om intresset för IT och teknik är högre privat har även fler timmar spenderats framför en dator. Artikeln Baiting the hook:
factors impacting susceptibility to phishing attacks tar fram att de som har mer datorvana är mindre benägna att trycka på en phishing länk [14]. Utbildning inom området phishing och IT-
28
säkerhet kan vara en faktor som minskar risken för att någon skulle falla för phishing. Då alla som studerar inom IT inte har någon utbildning inom just IT-säkerhet och phishing generellt.
Det enda programmet inom akademin ITE som haft någon form av utbildning inom cybersäkerhet eller phishing är programmet IT-forensik och informationssäkerhet. Då det är bara ett av programmen inom akademin ITE som är utbildade inom cybersäkerhet så bör inte resultatet påverkas i stor grad då en liten del av respondenterna är just från programmet IT- forensik och informationssäkerhet.
Resultat mellan könen var att män fick ett medelvärde på resultatet på 5,4 och kvinnor på 5,05.
Detta speglar liknande resultat från tidigare studier som säger att kvinnor är mer mottaglig för phishing och därmed mer utsatta [13, 14, 15, 16]. Tidigare studier som fick fram dessa resultat undersökte andra former av phishing såsom phishing-hemsidor i jämförelse med denna studie där endast phishing via e-mail undersöktes.
Hypotestestet gjordes för att undersöka om det var nollhypotesen som var om det är ingen skillnad på resultaten och den alternativa hypotesen som var att det är skillnad. Det t-test som genomfördes på medelvärden hos resultaten från män och kvinnor kom p-värdet fram som p=0.035, med det resultatet ser vi att det är mycket större än 0.05 som var värdet p ska vara mindre än för att den alternativa hypotesen skulle stämma. Så i detta fall när det är högre än 0.05 så är det nollhypotesen som är den stämmer och det finns ingen skillnad på det två medelvärden som jämförs. Med andra ord finns det ingen statistisk signifikans och detta resultat är till stor sannolikhet framtaget av en slump. Tidigare undersökningar har visat att det finns en skillnad mellan könen där kvinnor besitter högre phishability [13, 14, 15, 16].
Av alla respondenter som deltog i undersökningen var det ingen som lyckades få alla rätt på phishing-testet. Det var några respondenter som var nära och fick sju av åtta möjliga poäng men ingen fick alla rätt. Vad detta kan visa är att hur mycket erfarenhet man har inom IT eller kunskap inom området så kan phishing fortfarande vara ett hot.
29
5.3 Etiska ställningstaganden
Det framtagna resultatet i denna studie kan komma att användas av människor med skadliga intentioner, då den som ligger bakom en attack får information om vem som är mer mottaglig för att bli offer för phishing. Dock går det att se denna information som ett mynt med två sidor, precis som att angripare kan använda denna information för dåliga avsikter finns också den andra sidan av myntet, som innebär att företag och andra får information om vilka grupper som är mer utsatta än andra och kan därför skydda just dessa grupper. Vi anser att det framtagna resultatet inom studier liknande denna kan underlätta bekämpningen för phishing mer än vad det skadar. För om en organisation vet vilka som kan vara mer utsatta kan även utbildningen anpassas för att bekämpa phishing. Med det sagt så är det etisk hållbart att göra en undersökning som denna där vi utforskar svagheter hos vissa grupper inom ett område som phishing.
5.4 Framtida studier
Resultaten av denna studie ger upphov till framtida studier, ett exempel är att gå in mer på skillnader mellan programinriktningar istället för de olika akademierna. Mer specifikt om utbildning inom IT-säkerhet är den största faktorn för att vara bättre på att identifiera phishing- attacker. Testet som användes i denna studie hade kunnat prövats på en grupp respondenter med bredare åldersspann för att på så vis se ifall det går att se några större mönster som tidigare studier visat nämligen att personer i åldern 18–25 är mer benägna att falla offer för phishing [16]. Något som även uppmärksammats i denna studie och som följer samma mönster som tidigare forskning indikerat är att kvinnor har högre phishability. Detta är även något som hade varit intressant att vidare undersöka för att hitta bakomliggande faktorer [13, 14, 15]. Gå in mer på djupet vad det är som gör att det skiljer sig, om det är att män kanske mer generellt sätt tillbringar mer timmar framför en dator och därav finns det en skillnad.
30
6. Slutsats
Då phishing i stort sätt alltid kommer att vara ett problem inom IT-säkerhet då det utnyttjar den mänskliga faktorn att samla känslig information eller ta sig in i slutna system med malware.
Att ta reda på varför någon faller för phishing och vilka grupper av människor som kan vara mer utsatta än andra kan vara ett av motstånden mot just social engineering och phishing.
Undersökningen som gjorts i denna studie var fokuset på att undersöka om utbildningsbakgrund är en faktor ifall någon är mer eller mindre benägen att bli utsatt för phishing. En av frågeställningarna är- Har utbildningsbakgrund någon påverkan på hur bra personer identifierar phishing?
Resultatet utifrån den undersökningen som gjordes blev att de med utbildningsbakgrund inom IT har en bättre förmåga att identifiera phishing via e-mail jämfört med de som ej har utbildningsbakgrund inom IT. Då medelvärdet av resultatet från det med IT var 5,7 och det utanför IT 4,8. Det var även med en statistisk signifikans så vi kan vi med säkerhet säga att utbildningsbakgrund har en påverkan på hur bra en identifierar phishing. Tidigare forskning inom samma område har undersökt hur människors datorvana kan påverka deras phishability.
Med det sagt så kan det finnas en stor korrelation med de som studerar inom IT och sitt privata intresse av datorer och teknik överlag. Det kan bidra till mer datorvana och därmed bättre förmåga att upptäcka phishing. Utbildningsbakgrund kan vara en av det faktorerna som påverkar men det går även in i sitt intresse och antal timmar framför en dator.
Den andra frågeställningen är- Är det någon skillnad på utsattheten av phishing mellan det som är utbildade inom IT och personer inom andra områden?
Resultatet av testet i denna kandidatuppsats visade att de med utbildningsbakgrund inom IT var bättre på att identifiera phishing jämfört med personer som har sin bakgrund inom annat område. Vi drar därmed slutsatsen att personer som ej studerar IT är mer utsatta för phishing och har därför en högre phishability.
31
7. Referenser
[1] Salahdine, F., & Kaabouch, N. (2019). Social engineering attacks: a survey. Future Internet. 2019; 11(4), 89.
[2] Nationalencyklopedin, phishing.
http://www.ne.se/uppslagsverk/encyklopedi/lång/phishing (hämtad 2021-02-05)
[3] Sentor. Bedragare utnyttjar coronaepidemin för phishing-attacker. Sentor Nyheter; 2020- 03-04 (Hämtad 2021-02-05) Tillgänglig från https://www.sentor.se/nyheter/bedragare- utnyttjar-coronaepidemin-phishing-attacker/
[4] World Health Organization. Beware of criminals pretending to be WHO (Citerad 2021- 02-25)
Hämtad från: https://www.who.int/about/communications/cyber-security
[5] Gupta, S., Singhal, A., & Kapoor, A. (2016, April). A literature survey on social engineering attacks: Phishing attack. In 2016 international conference on computing, communication and automation (ICCCA) (pp. 537-540). IEEE.
[6] Phishing.org. History of Phishing
(Hämtad 2021-02-21) Tillgänglig från https://www.phishing.org/history-of-phishing [7] Agazzi, A. E. (2020). Phishing and Spear Phishing: examples in Cyber Espionage and techniques to protect against them. arXiv preprint arXiv:2006.00577.
[8] Mangut, P. N., & Datukun, K. A. The Current Phishing Techniques–Perspective of the Nigerian Environment.
[9] Polisen. Telefonbedrägerier mot äldre ökar igen. Polisen 2020 (hämtad 2021-02-20) Tillgänglig från:
https://polisen.se/aktuellt/nyheter/2020/december/telefonbedragerier-mot-aldre-okar-igen/
[10] Mishra, S., & Soni, D. (2020). Smishing Detector: A security model to detect smishing through SMS content analysis and URL behavior analysis. Future Generation Computer Systems, 108, 803-815.
[11]Lingas J. Comparing the relative efficacy of phishing emails [examensarbete på internet].
Halmstad: Högskolan i Halmstad; 2020. [citerad 2021-01-23] Hämtad från:
https://hh.diva-portal.org/smash/get/diva2:1440340/FULLTEXT02.pdf
32
[12] Loggarfve R, Rydell J. Social engineering - en kvalitativ studie om hur organisationer hanterar social engineering [examensarbete på internet]. Halmstad: Högskolan i Halmstad;
2018. [citerad 2021-01-23] Hämtad från:
https://www.diva-portal.org/smash/get/diva2:1242157/FULLTEXT01.pdf
[13] H. Abroshan, J. Devos, G. Poels and E. Laermans, "Phishing happens beyond
technology: The effects of human behaviours and demographics on each step of a phishing process," in IEEE Access, doi: 10.1109/ACCESS.2021.3066383
[14] Iuga, C., Nurse, J. R., & Erola, A. (2016). Baiting the hook: factors impacting
susceptibility to phishing attacks. Human-centric Computing and Information Sciences, 6(1), 1-20.
[15] Chen, Y., YeckehZaare, I., & Zhan, A. F. (2018). Real or bogus: Predicting susceptibility to phishing with economic experiments. PLoS ONE
[16]Sheng, S., Holbrook, M., Kumaraguru, P., Cranor, L. F., & Downs, J. (2010, April).
Who falls for phish? A demographic analysis of phishing susceptibility and effectiveness of interventions. In Proceedings of the SIGCHI conference on human factors in computing systems (pp. 373-382).
[17] Bryman, A. (2018). Samhällsvetenskapliga metoder (Vol. 3). Stockholm: Liber AB [18] Denscombe, M. (2018). Forskningshandboken. För småskaliga forskningsprojekt inom samhällsvetenskaperna (4 uppl.). Studentlitteratur.
[19] Google. Phishing Quiz (Citerad 2021-02-14)
Hämtad från:https://phishingquiz.withgoogle.com/?hl=sv [20] Jigsaw. Google. (Citerad 2021-02-14)
Hämtad från: https://jigsaw.google.com/
[21] SurveyMonkey. T-tester: deras betydelse for enkätanalys (Citerad 2021-05-19) Hämtad från: https://sv.surveymonkey.com/mp/t-tests-explained/
I
8. Bilagor
I detta kapitel finns det bilagor som använts i studien.
8.1 Enkät
Fråga 1: “Inom vilken akademi studerar du på Högskolan i Halmstad?”
Svarsalternativ: “ITE (Akademin för informations teknologi);
FIH (Akademin för Företagande, innovation och hållbarhet);
HOV (Akademin för Hälsa och välfärd);
LHS (Akademin för Lärande, humaniora och samhälle)”
Fråga 2: “Studier inom IT (ITE)”
Svarsalternativ: “Ja; Nej”
Fråga 3: “I vilket program studerar du i eller har studerat?”
Svarsalternativ: “Affärssystemprogrammet, 180 hp; Civilingenjör i datateknik, 300 hp;
Civilingenjör i intelligenta system, 300 hp; Dataingenjör, 180 hp; Digital design och
innovation, 180 hp; Elektroingenjör, 180 hp; IT-forensik och informationssäkerhet, 180 hp;
Mekatronikingenjör, 180 hp; Nätverksdesign och datordrift, 60 hp; Bygg- och fastighetsekonomprogrammet; Civilekonomprogrammet; Ekonomprogrammet;
Internationella marknadsföringsprogrammet; Civilingenjör i maskinteknik, hållbar design och innovation; Ingenjör i hållbar energi; Utvecklingsingenjörsprogrammet; Biomedicin –
inriktning träningsfysiologi; Naturvård och artmångfald; Miljö, innovation och hållbarhet;
Hälsopedagogiskt program; Medie- och kommunikationsvetenskap – inriktning hälsa;
Organisering och ledning av arbete och välfärd – inriktning arbetsvetenskap; Professionell idrottskarriär och arbetsliv; Psykologi – inriktning idrott och motion; Samhällsförändring och social hållbarhet; Sjuksköterskeprogrammet; Socionomprogrammet;
Förskollärarutbildningen; Grundlärarutbildning, åk f–3; Grundlärarutbildning, åk 4–6;
Ämneslärare i gymnasieskolan – svenska och engelska; KPU, kompletterande pedagogisk utbildning, ämneslärare, åk 7–9 (start HT); KPU, kompletterande pedagogisk utbildning, ämneslärare, gymnasieskolan (start HT); KPU, kompletterande pedagogisk utbildning, ämneslärare, åk 7–9 (start i juni); KPU, kompletterande pedagogisk utbildning, ämneslärare, gymnasieskolan (start i juni); Språk, textbearbetning och digital kommunikation; Kultur och samhällsutveckling; Statsvetenskap – samhällsanalys och kommunikation”
Fråga 4: “Kön?”
Svarsalternativ: “Man; Kvinna; Annat”
II Fråga 5: “Ålder?”
Svarsalternativ: “Från 18 till 60+”
Fråga 6: “Har du hört talas om Phishing?”
Svarsalternativ: “Ja, Nej”
Fråga 7: “Resultatet på testet”
Svarsalternativ: “0-8”
8.1.1 Testfrågor
III
IV
V
VI
VII
VIII
IX
8.2 Resultat
Besöksadress: Kristian IV:s väg 3 Postadress: Box 823, 301 18 Halmstad Telefon: 035-16 71 00
E-mail: registrator@hh.se www.hh.se
Alfred Grönberg Patrik Folemark
