Vishing: ett ökande hot : Hur Sveriges regioner bemöter vishing inom hälso- och sjukvården / Vishing: an increasing threat : Swedish regions response to vishing in the health care system

Andersson, Tim, Nilsson, Emil

January 2022

Vishing är en phishing-variation som inte är dokumenterad och studerat som den mer traditionella mejl-phishing. Variationen har växt de senaste åren, speciellt under pandemin. Samtidigt har ökade attacker mot hälso- och sjukvården observerats i och med en belastning mot sektorn. I detta grundas studiens syfte att bidra till området genom att karaktärisera vishing-hotet i hälso- och sjukvårds sektorn samt identifiera åtgärder som kan implementeras för att bemöta hotet.Sju av Sveriges 21 regioner deltog i studien och dem semistrukturerade intervjuerna som var datainsamlingsmetoden. Empirin analyserades med ”grounded theory” för att induktivt kategorisera data för att sedan identifiera teman.Resultatet visade mejl-phishing i dagsläget är ett vanligare problem i dem regioner som deltog, däremot var det två regioner som hade utsatts för vishing-attacker. Åtgärder som regioner tagit var utbildningar och andra administrativa åtgärder för att öka medvetenheten. Tekniska åtgärder användes men inget för att specifikt skydda personal mot vishing-attacker.Studiens slutsats landar i att hotet i dagsläget bäst bemöts med medvetehetshöjande åtgärder och tekniska skydd för att proaktivt öka säkerheten mot lyckade anfall. Karaktären av vishing inom hälso- och sjukvården var försök att få tag i narkotikaklassade preparat.Studien har begränsats till Sveriges regioners arbete för att bemöta vishing inom hälso- och sjukvården. / Vishing is a phishing variation that is not as well documented and studied as the more traditional email phishing. Vishing attacks have increased in recent years, especially with the COVID-19 pandemic. At the same time, increased attacks on healthcare have been observed as it has been strained. This is the basis of the study's purpose to contribute to the area by characterizing the vishing threat in the healthcare sector and identifying measures that can be implemented to respond to the threat.7 of Sweden's 21 regions participated in the study and the semi-structured interviews that were the data collection method. The empirics were analyzed with "grounded theory" to inductively categorize data and then to identify themes.The results showed that e-mail phishing is currently a more common problem in the regions that participated, however, there were two regions that had been exposed to vishing attacks. Measures taken by regions were education and other administrative measures to raise awareness. Technical measures were used but nothing to specifically protect personnel from vishing attacks.The study concludes that the threat is currently best addressed with awareness-raising measures and technical protection to proactively increase security against successful attacks. The nature of vishing in healthcare was attempts to obtain drugs.The study has been limited to Sweden’s regions’ efforts to address vishing in the healthcare sector.

Information security

phishing

vishing

social engineering

healthcare

Informationssäkerhet

phishing

vishing

social engineering

hälso- och sjukvården

Information Systems

Det står att jag har ett paket att hämta ut, men jag har ju inte beställt någonting? - En kvalitativ intervjustudie om hur internetanvändare upptäcker och hanterar bedrägeriförsök på internet

Sonnesjö, Amanda, Blomstedt, Olle

January 2023

Dagens samhälle har blivit alltmer digitaliserat och en följd av detta är att de digitala bedrägerierna har ökat. Digitala bedrägerier kan ta olika former, men i denna studie begränsades de till phishing och dess underkategorier: spear phishing, vishing och smishing. Dessa är varianter på digitala bedrägerier där syftet är att lura användaren att lämna ut känslig information digitalt. Problemet som denna studie behandlade var att det fanns en kunskapsbrist hos människor gällande digitala bedrägerier, eftersom många fortfarande blev lurade. Syftet med studien blev därmed att bidra med ökad kunskap om hur digitala bedrägerier kan upptäckas av de som blivit utsatta och vad man som individ bör vara uppmärksam på. I studien löd därför forskningsfrågan: På vilka sätt försöker individer hantera de digitala hot som finns på internet? Samt med dess följande underfrågor: Vad gör individer för att identifiera digitala bedrägerier? Hur bedömer individer trovärdigheten i digitala interaktioner? För att besvara forskningsfrågan användes forskningsstrategin kartläggning. Kartläggningen genomfördes i form av semistrukturerade intervjuer och data samlades in om hur deltagarna försökte identifiera digitala bedrägerier. Datan analyserades med hjälp av tematisk analys. Studiens resultat visade att trots begränsad formell utbildning inom ämnet, verkade de flesta ha utvecklat liknande strategier för att upptäcka digitala bedrägerier. Många var dock osäkra om vilket skydd de hade mot dessa hot. Resultatet pekade på ett behov av mer information om digitala bedrägerier, särskilt för äldre. Studiens slutsatser framhåller behovet av att åtgärda den identifierade kunskapsluckan och understryker vikten av att individer är vaksamma och kritiska när det kommer till digitala interaktioner. Framtida åtgärder bör inriktas på att höja medvetenheten om digitala bedrägerier, utbilda individer om säkra metoder för digitala interaktioner och särskilt stödja dem som kan vara mer utsatta för dessa hot. Slutligen betonar studien vikten av att företag, myndigheter och organisationer tar ansvar för att hålla sig uppdaterade och ge information om potentiella digitala bedrägerier. Studien tillhör området informationssäkerhet inom data- och systemvetenskap. / Today's society has become increasingly digitized, and as a result, digital fraud has increased. Digital fraud can take various forms, but in this study, it was limited to phishing and its subcategories: spear phishing, vishing, and smishing. These are variations of digital fraud where the purpose is to deceive users into disclosing sensitive information digitally. The problem addressed in this study was the lack of knowledge among people regarding digital fraud, as many were still being deceived. The purpose of the study was therefore to contribute to increased awareness of how digital fraud can be detected by those who have been targeted and what individuals should be mindful of. Thus, the research question of the study was: In what ways do individuals attempt to manage the digital threats present on the internet? With the following sub-questions: What do individuals do to identify digital scams? How do individuals assess the credibility of digital interactions? To answer the research question, we used the research strategy survey. The survey was conducted in the form of semi-structured interviews, and data was collected on how the selected participants try to identify digital fraud and the collected material was analyzed using thematic analysis. The data was analyzed using thematic analysis. The study's findings indicated that despite limited formal education on the subject, most participants seemed to have developed similar strategies to detect digital fraud. However, many were unsure about the level of protection they had against these threats. The results highlighted the need for more information about digital fraud, especially for older individuals. The study's conclusions emphasize the necessity of addressing the identified knowledge gap and underscore the importance of individuals being vigilant and critical in their digital interactions. Future actions should focus on raising awareness about digital fraud, educating individuals on secure methods of digital interactions, and providing support to those who may be more vulnerable to these threats. Lastly, the study emphasizes the significance of companies, authorities, and organizations taking responsibility for staying updated and providing information about potential digital fraud. The study falls within the field of information security in data and systems science.

Digital fraud

phishing

spear phishing

vishing

smishing

and social engineering

Digitala bedrägerier

phishing

spear phishing

vishing

smishing

social engineering

Computer Sciences

Datavetenskap (datalogi)

IT-säkerhetshotet phishing : Svenska små och medelstora företags utbildningsinsatser inom problemområdet / Phishing, a cybersecurity threat : Swedish SMEs education efforts within the problem area

Metso, Joanna, Gunnarsson, Rasmus

January 2021

Informationssäkerhetsutbildning om phishing krävs för att kunna bekämpa det hot som phishing utgör, då människan alltid är den svagaste länken inom en organisation. Även om förslag och krav kopplade till hur informationssäkerhetsutbildning bör genomföras finns beskrivet i litteratur, standarder och ramverk är det svårt för SMF:er att anpassa och implementera dessa rent praktiskt. Syftet med denna studie är därför att undersöka svenska SMF:ers implementation av utbildningsinsatser för att bemöta phishing-hotet. Empirin har samlats in genom semistrukturerade intervjuer samt tematisk analys. Resultaten från studien visade att utbildningsinsatserna främst är grundade på egna erfarenheter och exempel från tidigare phishing-attacker som drabbat andra organisationer. Ett par organisationer har inte utvecklat sina utbildningsinsatser själva, utan använder verktyg och andra organisationers erfarenheter som hjälpmedel. Resultaten visade också att åsikterna om den valda utbildningsinsatsen inte alltid var lika mellan ledningen och användare. Slutsatsen av studien är att SMF:er kan implementera utbildning kring det hot som phishing utgör utan att förlita sig på specifika ramverk eller standarder, men att organisationen måste vara noga med att anpassa den efter sin egen organisations storlek. För att dra mer långtgående slutsatser än de som beskrivs i rapporten hade det varit av vikt att kunna förlita sig på ett större antal organisationer än de 4 organisationer och 10 intervjudeltagare som deltog i studien. Dessutom behövs mer forskning inom området gällande smishing och vishing. / Information security training about phishing is required to be able to combat the threat that phishing determine, as humans are always the weakest link within an organization. Although proposals and requirements linked to how information security training should be implemented in the literature, standards, and frameworks, it is difficult for SMEs to adapt and implement these in practice. The purpose of this study is therefore to investigate Swedish SMEs' implementation of forms of education to address the phishing threat. The empirical data has been collected through semi-structured interviews and thematic analysis. The results from the study showed that the forms of education are mainly based on own experiences and examples from previous phishing attacks that have affected other organizations. A couple of organizations have not developed their forms of education themselves, instead they use tools and other companies experiences as aids. The results also showed that the opinions about the chosen form of education were not always the same between management and users. The conclusion of the study is that SMEs can implement education around the threat that phishing constitutes without specific frameworks or standards to rely on, but if the organization want to use it, they must be careful to adapt the education to their own organization's size. In order to draw more far-reaching conclusions than those described in the report, it would have been important to be able to rely on a larger number of organizations than the 4 organizations and the 10 interviewees that participated in the study. In addition, more research is needed in the field of smishing and vishing.

Informationssäkerhet

SMF

Phishing

Smishing

Vishing

Medvetenhet

ISO 27001

Computer and Information Sciences

Data- och informationsvetenskap

Tillfället gör bedragaren : En kvalitativ studie om faktorer som begränsar, utvecklar och förändrar coopetitiva samarbeten inom den svenska bankbranschen

Fejes, Mathias, Persson, Fabian

January 2019

Denna studie undersöker hur konkurrenter inom den svenska bankbranschen har samarbetat kring en akut och växande säkerhetsrisk kopplad till gemensamt ägda produkter. Med utgång i en sammankoppling av ​coopetition,​ ett begrepp för att beskriva simultan konkurrens och samarbete, och Strong Structuration Theory, en växelverkan mellan struktur och handling, visar studien hur och varför samarbetet har förändrats över tid, vilka motsättningar som existerar och hur aktörerna samarbetar med bedrägerifrågor. Studiens tydliga implikationer är att coopetition utvecklas över tid som respons på den kontextuella omgivningen och strukturella förändringar inom den, att motsättningar inom coopetition inte bara är ett relationellt fenomen mellan två konkurrenter, och att bankbranschen gynnas av tydliga och externa samarbetsformer.

Coopetition

Strong Structuration Theory

Bedrägerier

Bankbranschen

Swish

BankID

Vishing

Sociala manipulation

Digitalisering

Nationellt Bedrägericentrum

Business Administration

Företagsekonomi

Investigation of kites for auxiliary ship propulsion : experimental set-up, trials, data analysis and kite specs novel identification approach / Les kites comme propulsion axillaire pour les navires : système expérimental, campagnes de mesures, analyse des données et identification des performances des kites

Behrel, Morgan

15 December 2017

Cette thèse s’inscrit dans le programme de recherche beyond the sea® visant à développer la traction de navire de commerce par des kites géants. Le but est d’utiliser l’énergie du vent, et ainsi de réduire la consommation de carburant des navires et réduire les émissions polluantes. Un tel projet demande de nombreux développements et actions scientifiques, en particulier pour prédire le comportement des cerfs-volants géants et des navires associés. Pour cela des modèles sont développés, mais ces modèles doivent être confrontés à des mesures pour en estimer la validité. Cette thèse a donc pour objectif de mesurer les interactions entre le kite et le navire, à une échelle limitée par rapports aux navires visés par le programme global. Des mesures ont donc été réalisées sur un navire de pêche de 13 m, puis sur un bateau expérimental de 6 m spécialement conçu à cet effet. De plus, des mesures ont aussi été menées à terre pour évaluer uniquement les performances du kite. Chacune de ces campagnes expérimentales mettait en oeuvre un dispositif de mesure complexe, ainsi qu’un système automatique de contrôle du vol du kite. En plus de fournir des données de qualité à destination de la science, les outils développés au cours de cette étude peuvent être utilisés directement par les partenaires industriels du projet beyond the sea®. / This study is part of the research program beyond the sea® aiming to develop kites as auxiliary propulsion devices for ships. The goal is to use the energy of the wind to save fuel and reduce harmful emissions. Such a project needs numerous developments and scientific actions, particularly to model the behavior of giant kites and associated ships. However these models must be compared to measurements to assess their validity. This study is then focus on the measurements of the interaction between kites and ships, at a limited scale in comparison to the real scope of the project. Thus measurement campaigns were carried out on a 13-meter long trawler, and on a 6-meter long experimental platform specifically designed. Another experimental campaign was also carried out onshore to assess the aerodynamic specs of the kite. Each of these three campaigns was based on a complex experimental set-up, including an automatic kite control system. In addition to provide a valuable data set for further scientific analyses, this study provided also tools which can be used by the industrial partners of the beyond the sea project®.

Kite

Kiteboat

Navire de pêche

Système expérimental

Mesures embarquées

Analyse de données

Moyenne de phase

Kite

Kiteboat

Vishing Vessel

Experimental Set-up

Onboard Measurements

Data Analysis

Phase Averaging

629.132