Global ETD Search

61	Psychologie phishingových útoků během krizí: Případ pandemie COVID-19 / Psychology of Phishing Attacks During Crises: The Case of Covid-19 Pandemic Kaliňák, Viliam January 2021 (has links) Events and circumstances that accompany crises such as losses of loved ones, losses of material resources, dislocation, or physical harm, have an overall negative impact on people's mental health. It is this impaired state of man which makes him vulnerable to manipulation of social engineers who wants to take advantage of him in order to enrich themselves. This was also the case of the COVID-19 pandemic, the unprecedented crisis in modern history, during which phishing and fraud campaigns rapidly increased as people have been forced to stay safe at home and spent most of a day online. This work analyzes the psychological strategies of cybercriminals on a sample of more than 200 phishing e-mails in order to understand how the situation was abused and what can be learnt to prevent it in the future. It also provides theoretical and research frameworks for researchers who can apply it also on other types of crises. The results contribute to the fields of psychology, cybercrime as well as crisis management. Keywords COVID-19, phishing, social engineering, psychology, persuasion, crises, pandemic, impersonation, pretexting
62	Deepfakes inom social engineering och brottsutredningar Björklund, Christoffer January 2020 (has links) ”Deepfake” är en förkortning av ”deep learning” och ”fake”. Deepfakes är syntetisk audiovisuell media som använder sig av maskininlärning för att generera falska videoklipp, bilder och/eller ljudklipp. Detta projekt fokuserar på deepfakes inom förfalskat videomaterial, där en persons ansikte i en video är utbytt mot en annan persons ansikte. Fokuset för den här rapporten är att undersöka hur enkelt det är att göra en egen deepfake med grundläggande kunskap. Detta är gjort med ett experiment som avser att mäta kvantitativa och kvalitativa resultat från intervjuer. Intervjuobjekten har tittat på två videor där de försökt identifiera författarens egna förfalskade videoklipp blandade med legitima videoklipp. Experimentet visar på att det är möjligt och relativt enkelt att skapa övertygande högkvalitativa deepfakes gjorda för social engineering. Det är däremot svårare, men fortfarande möjligt, att förfalska audiovisuellt material i bildbevis. Vidare undersöks vad det finns för typer av preventiva forensiska verktyg och metoder som utvecklas till att upptäcka deepfakes inom förfalskat videomaterial. I nuläget finns det många tekniker som föreslagits som metoder för att identifiera deepfakes. Denna rapport granskar även deepfakes gjorda för social engineering. Deepfakes anses bli ett av de större hoten i framtiden där de kan användas till att effektivt sprida propaganda och desinformation. Nyhetsmedia står inför stora utmaningar framöver på grund av misstro från konsumenter av audiovisuellt nyhetsmaterial. Utifrån de kvantitativa och kvalitativa resultaten, föreslår författaren att nyhetsmedia och social media kan informera om vad deepfakes är och hur sådana förfalskade videoklipp typiskt ser ut. / ’Deepfake’ is an abbreviation of ’deep learning’ and ’fake’. Deepfakes are synthetical audiovisual media that uses machine learning to create fake videos, images and/or audio clips. This project is focused on deepfakes within forged videos, where one person’s face is swapped with another person’s face. This technique is usually referred to as ’face swapping’. However, deepfakes goes beyond what usual face swaps can achieve. The focus for this project is to investigate how easy it is to forge your own deepfakes with basic technical knowledge. This is achieved through an experiment that measures result from fourteen interviews. The interviewees watched two different videos, where each person tried to identify the writers’ own deepfaked video clips, that were mixed with legitimate video clips. The experiment shows that it is possible and relatively easy to create convincing deepfakes aimed at social engineering. It is also possible, but harder, to create deepfakes to forge videos within criminal investigations. This report examines the potential forensic techniques and tools that exists and are developed to identify deepfakes. Furthermore, this report also examines deepfakes made for social engineering. Deepfakes are considered being one of the more significant threats in the future and could be used to effectively spread propaganda and misinformation. The results generated from the experiment in this report, lead to a proposition from the writer that news outlets and social media platforms could aim at an informative approach towards deepfakes. This approach means informing their consumers on what deepfakes are, how they typically look and what consumers can do themselves to identify them. deepfakes social engineering brottsutredningar social manipulering IT-forensik digital forensik Övrig annan teknik
63	Phishing inom organisationer : En studie om hur skydd mot phishing kopplat till mänskliga faktorer kan stärkas / Phishing within organizations : A study on how defenses against phishing linked to human factors can be strengthened Grönlund, Nicole January 2020 (has links) Med hjälp av informationsteknologi (IT) kan företag hålla sig konkurrenskraftiga, samtidigt som det öppnar upp för säkerhetshot som informationsstöld. Phishing är ett exempel på säkerhetshot, vilket innefattar att angripare tillämpar digitala enheter för att konstruera manipulativa meddelanden i syftet att få tillgång till konfidentiell information genom individer (Xiong, Proctor, Yang & Lin, 2019). Många företag investerar i teknologiska lösningar för att skydda mot säkerhetshot, varpå mänskliga faktorer ofta ignoreras (Ghafir et al., 2018). Denna studie har därmed undersökt hur skydd mot phishing kopplat till mänskliga faktorer kan stärkas, det vill säga säkerhetsmedvetenhet, säkerhetsutbildningar, säkerhetspolicies, informationssäkerhetskultur, ledning samt säkerhetsbeteende. Med hjälp av kvalitativa metodansatser har respondenter från ett samarbetsföretag intervjuats, för att besvara hur skydd mot phishing kopplat till mänskliga faktorer kan stärkas genom två delfrågor: ”Vilka brister finns avseende skydd mot phishing kopplat till mänskliga faktorer inom organisationer”? samt ”Vilka åtgärder kan organisationer ta för att förbereda anställda mot phishing-angrepp”?Studiens resultat visar att det kan förekomma brister avseende skydd mot phishing kopplat till mänskliga faktorer som ökar risken med att anställda faller för phishing-angrepp, exempelvis att det saknas information i säkerhetsutbildningar för att förbereda anställda mot phishing-angrepp, att anställda inte tar del av säkerhetspolicyn kontinuerligt, avsaknad av uppföljningsutbildningar samt att kunskap från säkerhetsutbildningar och säkerhetspolicyn glömts bort vilket öppnar upp för riskfyllda säkerhetsbeteenden. Åtgärder mot brister som identifierats i studien innefattar bland annat att anställda bör få genomgå specifik säkerhetsutbildning om phishing som exemplifierar olika typer av phishing-angrepp, en ökad kunskapsdelning bland ledning och anställda i form av att anställda rapporterar in phishing-mejl som ledningen kan informera övriga anställda om, belysa allvaret med phishing genom information om konsekvenser vilket kan leda till en attitydförändring avseende säkerhet, regelbundna uppföljningsutbildningar samt motivering och övervakning att anställda tar del och efterföljer säkerhetspolicies. Phishing inom organisationer Social engineering Säkerhetsutbildning Säkerhetspolicies Informationssäkerhetskultur Säkerhetsmedvetenhet Ledning Säkerhetsbeteende Media and Communication Technology Medieteknik
64	The human in information security : an analysis of social engineering attacks in the greater Tshwane area of Gauteng, South Africa Jansen van Rensburg, Shandre Kim 06 1900 (has links) Criminology and Security Science Criminological theories Hacking Information security Multi inter-transdisciplinary (MIT) Personal Information Privacy Risk Social engineering Social networks Threat Vulnerability Impersonation
65	Security Strategies for Hosting Sensitive Information in the Commercial Cloud Forde, Edward Steven 01 January 2017 (has links) IT experts often struggle to find strategies to secure data on the cloud. Although current security standards might provide cloud compliance, they fail to offer guarantees of security assurance. The purpose of this qualitative case study was to explore the strategies used by IT security managers to host sensitive information in the commercial cloud. The study's population consisted of information security managers from a government agency in the eastern region of the United States. The routine active theory, developed by Cohen and Felson, was used as the conceptual framework for the study. The data collection process included IT security manager interviews (n = 7), organizational documents and procedures (n = 14), and direct observation of a training meeting (n = 35). Data collection from organizational data and observational data were summarized. Coding from the interviews and member checking were triangulated with organizational documents and observational data/field notes to produce major and minor themes. Through methodological triangulation, 5 major themes emerged from the data analysis: avoiding social engineering vulnerabilities, avoiding weak encryption, maintaining customer trust, training to create a cloud security culture, and developing sufficient policies. The findings of this study may benefit information security managers by enhancing their information security practices to better protect their organization's information that is stored in the commercial cloud. Improved information security practices may contribute to social change by providing by proving customers a lesser amount of risk of having their identity or data stolen from internal and external thieves cloud cloud attacks security strategy Social Engineering stolen data Weak Encryption Computer Sciences Criminology Criminology and Criminal Justice Databases and Information Systems
66	Recognizing and Defending Against Phishing Attacks in Large Organizations Mayrany, Matay January 2023 (has links) As technology keeps integrating further into our personal and professional lives, digital security is a growing concern for our individual and public safety. Email phishing is the most common attack vector, often utilized by malicious actors to trick victims into taking irresponsible actions that benefit the attackers. Phishing attacks targeting large organizations have demonstrated the ability to incur costs that reach great magnitudes. Justifiably, many organizations invest in defense solutions against such attacks. This research investigates the different attack and defense strategies that can affect the success rates for phishing attacks. A retrospective data analysis is performed, on the interaction data of employees with simulated training campaigns, at an organization running a security training program for the last three years, and survey and interview studies with the employees are conducted. The results show that personal qualities such as attachment to the organization, and technological ability have an effect on the employees’ susceptibility to phishing attacks. Attack strategies which exploit human emotions, such as fear through the use of authority, and curiosity through the use of current events, are effective at inducing higher interaction rates. Educational training programs are deemed successful at reducing the employees’ susceptibility to phishing attacks. However, such programs should be implemented carefully to avoid resource waste and produce the sought after results. We determine that a holistic defense strategy should combine multiple security layers, by utilizing technical solutions such as email filters to reduce the number of attempts that are viewed by the employees, with well designed educational solutions, such as the training programs, to reduce the number of interactions with phishing emails, and reporting features to mitigate the potential losses incurred from successful attacks. / Allteftersom teknik upptar en större plats i våra liv blir digital säkerhet en växande fråga för samhällets säkerhet. Nätfiske via e-post är den vanligaste attackvektorn i cyberattacker. Nätfiskekampanjer riktade mot större organisationer har visat sig kunna åstadkomma stora kostnader. Detta orsakar många organisationer att investera pengar ämnade till försvar mot nätfiskeattacker. Den här forskningen undersöker möjliga attackstrategier som används för nätfiskeattacker samt deras framgång, och de olika försvarsåtgärderna som organisationer kan ta. Data från ett IT företag över hur dess anställda påverkas och interagerar med ett säkerhetsutbildningsprogram över 3 års tid, samt enkät och intervjustudier analyseras. Resultaten visar att personliga egenskaper som engagemang för företaget och teknisk förmåga påverkar de anställdas mottaglighet för nätfiskeattacker. Attackstrategier som spelar på känslor, såsom rädsla genom användning av auktoritet, eller nyfikenhet genom användning av aktuella händelser, är effektiva. Säkerhetsutbildningar påvisas vara ett framgångsrikt sätt att minska de anställdas mottaglighet för nätfiskeattacker. Utbildningarna bör dock implementeras noggrant för att undvika resursslöseri och för att försäkra deras effektivitet. Forskningen fastställer att en holistisk försvarsstrategi bör kombinera flera säkerhetslager, genom att använda tekniska lösningar som e-postfilter för att minska antalet försök som de anställda utsätts för, med väldesignade utbildningslösningar för att minska mottagligheten till nätfiske-e-postmeddelanden, och rapporteringsfunktioner för att minska effektiviteten av framgångsrika attacker. Security Email Phishing Social Engineering Educational Training Programs Säkerhet e-post nätfiske social teknik utbildningsprogram Computer and Information Sciences Data- och informationsvetenskap
67	Social manipulation och phishing : Vilka brister finns i dagens skydd och hur kan de förbättras? Barrios, Karolina, Tudose Fuentes, Amanda January 2019 (has links) Företag och privatpersoner i dagens samhälle måste skydda sig mot olika typer av cyberattacker. Attackerna finns i olika former där phishingattacker är ett av de vanligaste säkerhetsproblemen som både privatpersoner och företag står inför för att hålla sin information säker. Hackare använder e-post, sociala medier, telefonsamtal, SMS och andra former av kommunikation de kan för att stjäla värdefull information som lösenord, kreditkortsnummer eller annan känslig information. Företag är särskilt en måltavla och det uppskattas att cyberattacker kostar den globala ekonomin 500 miljarder dollar per år, där phishing står för 90 % av det. Idag läggs nästan allt ut på nätet och säkerheten för personlig information är ständigt i riskzonen. Phishing kan ses som ett av de äldsta och enklaste sätten att stjäla information från människor. Det har också ett enkelt tillvägagångssätt eftersom angriparen skickar ett e-postmeddelande till ett offer, och offret går in på en falsk webbplats och ger angriparen personlig information. Allt utan att inse vad man har gjort. Denna rapport försöker hitta de brister som finns i de skydd som används mot phishing och hur de kan förbättras för att förhindra en phishingattack. Man försöker också titta på om det finns något skydd eller kombination av skydd som ger bättre skydd. Rapporten delar resultatet i olika kategorier – maskininlärning, nätverkslösningar, utbildning, heuristiska lösningar samt toolbars och plugins. Slutsatsen i detta arbete är att det inte finns något enkelt svar för hur man bäst skyddar sig men att kombinationen av utbildning och tekniska lösningar är att föredra. Ett teknisk skydd i sig själv kan minska risken för att få ett phishingmeddelande, men om meddelandet kommer fram måste det finnas kunskap i att se skillnad på ett legitimt e-postmeddelande och ett falskt. Denna studie visar också att alla skydden har brister i sig och att det på så sätt finns förbättringar som kan göras. / Companies in todays society must protect themselves against different types of cyber attacks. Since the attacks come in different forms, phishing attacks are one of the most common security issues that both individuals and companies face in keeping their information secure. Hackers are using email, social media, phone calls, SMS and any form of communication they can to steal valuable data like passwords, credit card numbers, or other sensitive information. Companies are particularly a target and it is estimated that cyberattacks cost the global economy 500 billion dollars per year, where phishing stands for 90% of that number. Today, everything is put online and the safety of personal credentials is at risk. Phishing can be seen as one of the oldest and easiest ways of stealing information from people. It also has a simple approach as the attacker sends an email to a victim, and the victim enters a fake website and gives the attacker personal information. All without realizing it. This report attempts to identify the deficiencies found in the protections used against phishing and how they can be improved to prevent a phishing attack. They also try to look for any protection or combination of protection that provides better protection. The reports divides the solution in different categories - machine learning, network solutions, education, heuristic solutions and toolbars and plugins. The thesis shows the flaws and improvements in the different solutions. The conclusion in this thesis is that there is no simple answer but that the combination of education and technical solution may be the best one. Technical protection itself can reduce the risk of getting a phishing email, but if the email arrives, there must be awareness and knowledge in how to see the difference between a legitimate email and a phishing email. Computer and Information Sciences Data- och informationsvetenskap
68	Implementing a Nudge to Prevent Email Phishing Vitek, Viktor, Syed Shah, Taqui January 2019 (has links) Phishing is a reoccurring issue, which uses social engineering as an attack strategy. The prevention of these attacks is often content-based filters. These solutions are however not always perfect, and phishing emails can still be able to get through the filters. We suggest a new strategy to combat phishing. The strategy is a technical platform which uses the psychology concept nudge. Nudge is a concept that can be used to change a certain behaviour, in this case to make people more cautious when reading their emails.The objective of this thesis is to suggest a nudge using a technical platform regarding possible desensitization. The nudge aims to change email related behaviours to more healthy ones. To get indications if the nudge has benefits, a qualitative survey was made. When using a psychology-based solution, one must address the possibility of desensitization. To minimize possible desensitization, a quantitative analysis was made where different ways to minimize desensitization were assessed. Data for this analysis was gathered by a simulation modeling, where the simulation aimed to replicate a user performing email related events.The conclusion of the simulation results showed that a whitelist approach was the most appropriate for our nudge. The approach minimized the chance of possible desensitization while having a low risk of not performing a nudge when needed. The conclusion of the survey results was that there was an indication of behavioural change and that there existed a risk of possible desensitization. / Nätfiske är ett återkommande problem, som använder sig av social manipulation som attackstrategi. Försvar mot dessa attacker är ofta innehållsbaserade filter. Dessa lösningar är inte alltid perfekta, då nätfiske kan ibland gå förbi filterna. Vi föreslår en ny strategi för att bekämpa nätfiske. Strategin är en teknisk plattform som använder det psykologiska konceptet nudge. Nudge är ett koncept som kan användas för att ändra ett visst beteende, i detta fall för att göra människor mer försiktiga när de läser sina emails.Syftet med detta arbete är att föreslå en nudge i en teknisk plattform där man tar hänsyn till eventuell desensibilisering. Nudgens mål är att ändra emailrelaterade beteenden så att beteendena blir säkrare. En kvalitativ undersökning gjordes för att få indikationer om nudgen har möjliga fördelar. När man använder en psykologibaserad lösning så måste man ta itu med möjligheten av desensibilisering. En kvantitativ analys gjordes där olika sätt att minimera desensibilisering bedömdes, för att sedan kunna minimera desensibiliseringen. Data för denna analys samlades in genom en simuleringsmodellering, där simuleringens syfte var att replikera en användare som utför email-relaterade händelser.Slutsatsen av simuleringsresultaten visade att en whitelist-metod var den mest lämpliga för vår nudge. Metoden minimerade risken för möjlig desensibilisering, samtidigt som den hade en låg risk att inte utföra en nudge när det behövdes. Slutsatsen av undersökningsresultatet från enkäten var att det fanns en indikation för beteendeförändringar och att det fanns en risk för eventuell desensibilisering av nudgen. Computer and Information Sciences Data- och informationsvetenskap
69	Constructing the Ideal Parent in Post-Genocide Rwanda : Social Engineering and Informality in Kigali Settlements after Genocide Palacios, Amanda January 2022 (has links) Previous studies of post-genocide Rwanda illutrates how nation-building and the government’s urgency to break with the past results in aims to rearrange society in order to prevent further violence and hostility. Developmental aims are also embedded in the broader project of post-genocide nation-building, adapted to promote a new and improved way of life after the genocide. This thesis examines the local experiences of parents in post-genocide Rwanda, with the specific geographical focus on the capital city of Kigali. Based on an ethnographic data collection from spring 2022, this thesis deals with the local experience of top-down rearrangements among parents in “informal” settlements in Kigali. Governmental perceptions of informality highlight the issue of risk in the urban context of post-genocide Kigali. Characterized by lack of order and formality the neighborhoods are deemed as excluded from the new societal modes and norms in the post-genocide aims of social engineering. This thesis uses the theory social engineering by James Scott (1998) to highlight the top-down measures intended to rearrange the lives of parents in “informal” settlements in Kigali. Additionally, the theoretical perspective of parenting culture is applied in order to explore the targeted regulations of parenting, as a result of government’s special interest in children as “future members of the nation” in a post-genocide context. This thesis shows that parenting culture is especially targeted by top-down regulations as a risk preventing strategy to shape the future of the nation. Working with a bottom-up perspective on top- down measures of social engineering the thesis includes the theoretical perspective of governmentality described by Mitchell Dean (2010) and Tania Murray Li (2007). Through mechanisms of self-regulation and accountability the thesis shows how regulations of parents in “informal” settlements are contested by their lack of ability and willingness to integrate top-down social engineering as meaningful rearrangements in everyday life. Post-Genocide Rwanda Informal Settlements Social Engineering Governmentality Parenting Culture Genocide Studies Anthropology of Post-Genocide Social Anthropology Socialantropologi History Historia
70	Shaping information security behaviors related to social engineering attacks Rocha Flores, Waldo January 2016 (has links) Today, few companies would manage to continuously stay competitive without the proper utilization of information technology (IT). This has increased companies’ dependency of IT and created new threats that need to be addressed to mitigate risks to daily business operations. A large extent of these IT-related threats includes hackers attempting to gain unauthorized access to internal computer networks by exploiting vulnerabilities in the behaviors of employees. A common way to exploit human vulnerabilities is to deceive and manipulate employees through the use of social engineering. Although researchers have attempted to understand social engineering, there is a lack of empirical research capturing multilevel factors explaining what drives employees’ existing behaviors and how these behaviors can be improved. This is addressed in this thesis. The contribution of this thesis includes (i) an instrument to measure security behaviors and its multilevel determinants, (ii) identification of multilevel variables that significantly influence employees’ intent for behavior change, (iii) identification of what behavioral governance factors that lay the foundation for behavior change, (iv) identification that national culture has a significant effect on how organizations cope with behavioral information security threats, and (v) a strategy to ensure adequate information security behaviors throughout an organization. This thesis is a composite thesis of eight papers. Paper 1 describes the instrument measuring multilevel determinants. Paper 2 and 3 describes how security knowledge is established in organizations, and the effect on employee information security awareness. In Paper 4 the root cause of employees’ intention to change their behaviors and resist social engineering is described. Paper 5 and 8 describes how the instrument to measure social engineering security behaviors was developed and validated through scenario-based surveys and phishing experiments. Paper 6 and 7 describes experiments performed to understand reason to why employees fall for social engineering. Finally, paper 2, 5 and 6 examines the moderating effect of national culture. / <p>QC 20160503</p> Information security Behavioral information security Social engineering Phishing Measuring information security behaviors Information security governance Experiments National culture Mixed method research design Quantitative methods

Search results