Nätfiske – Ett säkerhetshot mot äldre i Sverige

Bodair, Karim, Fagerström, Felicia

January 2021

Nätfiske har blivit ett allt vanligare tillvägagångssätt för bedragare som vill komma åt individers känsliga information. Särskilt nätfiske riktat mot äldre individer har ökat på senare tid och klassificeras som ett av de vanligaste brotten. Problemet i denna studie belyses utifrån ett användarperspektiv, där äldres medvetenhet gällande nätfiske kommer att centreras. För att uppfylla detta har följande frågeställning konstruerats, ”Vilken medvetenhet har personer som är 60 år och äldre i Sverige gällande nätfiske?”. För att samla in empiri till denna studie valdes surveyundersökning som forskningsstrategi. Datainsamlingsmetoden består av en enkät som skickades ut till äldre individer via olika internetforum. Den insamlade datan har analyserats med hjälp av chi-2 fördelning och Pearsons korrelationskoefficient. Resultatet påvisade att majoriteten av respondenterna inte ansåg sig vara medvetna om nätfiske. Det påvisades inga skillnader mellan kön men det framkom ett statistiskt samband mellan respondenternas noggrannhet att undersöka webbsidor och deras förmåga att identifiera ett förfalskat e-postmeddelande. / Phishing has become an increasingly common approach for fraudsters who want to access individual's sensitive information. Especially phishing aimed at older people has increased in recent times and is classified as one of the most common crimes. The problem in this study illustrates from a user perspective, where the elderly's awareness of phishing will be centered. To fulfill this study the following framing of question have been constructed, “which awareness do people who are 60 years and older have in Sweden regarding phishing?”. To gather empirical data for this study, survey research was chosen as the research strategy. The data collection method consists of a survey that was sent out to older individuals through various internet forums. The collected data were analyzed using chi-2 distribution and Pearson's correlation coefficient. The results showed that the majority of the respondents did not consider themselves aware of phishing. No gender differences were detected, but a statistical relationship was found between respondents' accuracy in examining web pages and their ability to identify a forged e-mail message.

Phishing

Phishingattacks

Phishing awareness

Social engineering

Nätfiske

Nätfiskeattacker

Nätfiske medvetenhet

Social manipulation

Computer Sciences

Datavetenskap (datalogi)

En studie om externa betalningssätt och konsumentens osäkerhet. / A study about Payment Service Provider (PSP) and unsecurity of an consumer.

Gekson, Nathalie, Selcuk, Serkan

January 2011

I takt med att e-handel ökar samt direktbetalning i form av kreditkortsbetalning, ökar även antalet bedrägerier. Fler och fler webbutiker använder sig utav externa betalningslösningar för att stärka förtroendet hos konsumenter som genomför en direktbetalning.Nätfiske och andra bedragare som utnyttjar konsumenters identiteter online har ökat. Anti-Phishing Work Group som är en branschförening och som inriktar sig på att eliminera identitetsstöld och onlinebedrägerier, har uppmärksammat att antalet nätfiskebedrägerier har ökat med ungefär 4000 % sedan november 2003. (verisign.se) Vi vill med denna studie ta reda på om konsumenter påverkas av osäkerheten kring betalning vid shopping via Internet och i så fall på vilket sätt.För att få fram det resultat som vi eftersträvar använder vi oss av en enkät samt användartester där vi ställer en fingerad sida mot den officiella sidan för företag i fråga. Användaren fick därefter välja ut den sida som de anser vara den officiella sidan. Under testerna antecknade vi ner reaktionerna samt vad användaren lägger fokus på.Genom att sammanställa resultat från enkät och användartester samt tillsammans med framtagen teori vill vi få fram konsumenternas kunskap och hur de påverkas av problemet. Vid framtagning av enkäten använde vi oss av en tjänst med en provperiod, http://www.surveygalaxy.com.

nätfiske

e-handel

extern betallösning

kreditkortsbedrägerier

Engineering and Technology

Teknik och teknologier

Nätfiske : Vad är den underliggande orsaken till att personer faller för nätfiske?

Jäverbo, Niklas, Hörnfalk, David

January 2018

Nätfiske inom cybervärlden är ett stort och återkommande problem. Detta är det störst växande viset att sprida malware genom internet. Att utforma en nätfiskeattack kan generera många olika typer av resultat. Få ut känslig information, få den utsatta att ladda ned bifogad fil, för att sprida malware till den utsattas dator eller exempelvis låsa personens system genom ett ransomware. I detta arbete undersöks problematiken med nätfiske, vad det är för något, hur det går till när en nätfiskekampanj utförs samt vad som går att göra för att motverka detta på en mänsklig nivå. Det finns mycket forskning om olika typer av anti- nätfiskesystem och metoder. Detta arbete baserar sig på vad som går att göra för att öka säkerhetsmedvetenhet hos personer. Genom att utföra en enkätundersökning och ett penetrationstest om nätfiske hos en organisation undersöks kunskapen och säkerhetsmedvetenheten hos personalen för denna organisation. Undersökningen genomfördes för att kartlägga vad orsaken är att personer faller för dessa typer av attacker.

Social engineering

Nätfiske

Other Computer and Information Science

Annan data- och informationsvetenskap

KOPPLING MELLAN IDENTIFIERING AV NÄTFISKE-ATTACKER OCH PERSONLIGHETSTYP: METODFÖRSÖK

Fransson, Jacob

January 2012

En vanlig risk för organisationer är att användare inte har tillräcklig kunskap omdatasäkerhet vilket kan medföra att känslig information når obehöriga via internet.Administratörer i organisationer har fått ökade problem på grund av att användarna ärden svagaste länken i systemet. En vanlig orsak till detta är att användare i allt störreutsträckning utsätts för nätfiske-attacker. Arbetets syfte är att är att undersöka möjligheten att utforma ett test som undersökerkopplingar mellan personlighetstyper enligt Myers-Briggs Type Indicators ochanvändares förmåga att identifiera nätfiske-attacker. Testet som tagits fram består avtre delar. Första delen är ett MBTI-test, andra delen syftar till att se användarnaskunskap om nätfiske-attacker och tredje delen visar användarnas attityd till nätfiskeoche-postsäkerhet. Resultatet visar att det existerar skillnader mellan personlighetstyper vilket är enindikation på att metoden och testet kan användas för att se en koppling mellanpersonlighetstyper och förmåga att identifiera nätfiske-attacker. Skillnaderna kundeses i användarnas kunskap och attityd till nätfiske.

Nätfiske

Användarsäkerhet

Säkerhet

MBTI

Säkerhetsmedvetenhet

Computer Sciences

Datavetenskap (datalogi)

Att förhindra nätfiske på Internet

Thunström, Karl

January 2020

Enligt BRÅ så har antalet bedrägerier över Internet ökat de senaste åren, och enligt Google så har deras system blockerat 18 miljoner Malware och nätfiskemail som är relaterade till COVID-19 varje dag. Detta arbete har med hjälp av en enkätundersökning och en intervju undersökt hur goda kunskaper olika personer har kring bedrägerier via Internet samt undersökt om en hemsida med information och ett självtest kan förbättra kunskaperna. Intervjun och enkätundersökningen visade att en del inte visste vad nätfiske innebar. Hemsidan och självtestet fokuserade därför på just nätfiske. Resultatet visar att fyra av fem personer lärde sig någonting nytt, och att de skulle vara mer försiktig i framtiden. Vissa upplevde att det fräschade upp deras kunskaper. Verktyg som kan hjälpa mot nätfiske har testats, två olika webbläsartillägg och ett nätfiskeramverk. Testerna visar att båda webbläsartilläggen kan förhindra och skydda mot nätfiske, men de går inte att lita på till hundra procent då de inte alltid varnar om hemsidor som är nätfiske. Nätfiskeramverk kan vara effektiva för att testa personalen mot nätfiske på t.ex. ett företag, det är ett enkelt sätt för att se vilka som bör vara mer försiktiga i framtiden. Det är svårt att stoppa nätfiske med endast verktyg, därför är kunskap samt medvetenhet hos individen viktigt.

Nätfiske

Internet

självtest

förhindra

bedrägeri

Computer Engineering

Datorteknik

Medvetenhet om lösenordshantering och nätfiske : Finns det skillnader mellan kvinnor och män?

Lavén, Hannah, Dalman, Mathilda

January 2019

Det sker ständigt bedrägerier när det gäller lösenordshantering och e-postnätfiske, som det ser ut i nuläget kommer det att fortsätta. Uppsatsen grundar sig i en enkätundersökning som tar upp viktiga frågor inom dessa två områden. Arbetet syftar till att beskriva säkerhetsmedvetenheten bland studenter och att jämföra om det finns skillnader mellan kvinnor och män. Det insamlade materialet från enkätundersökningen har analyserats med datorprogrammet SPSS. Vidare presenteras och analyseras svaren från studenterna med tidigare forskning för att se om de differentierar. Därefter diskuteras frågorna ytterligare i förhållande till den teoretiska ramen, C.I.A - triangeln. Exempelvis resultatet av frågan om starkt lösenord visade på att kvinnorna i undersökningen hade bättre säkerhetsmedvetenhet än kvinnorna i en av källorna från den tidigare forskningen. Avslutningsvis visade resultaten att studenterna i enkätundersökningen hade en hög säkerhetsmedvetenhet. Det fanns inga större skillnader mellan kvinnor och män.

Informationssäkerhet

lösenordshantering

nätfiske

e-postnätfiske

C.I.A - triangeln

kvinna

man

Information Systems

Vad gör att människor faller för Spear-Phishing? / Why do people fall for Spear-Phishing?

Danesten, Jacob

January 2016

Det är inte många som känner till begreppet spear-phishing. Spear-phishing är ett sätt att attackera en person via mejl. De som utför den här typen av attacker använder sig av sociala aspekter för att lura dig. De kan säga att det är från ett företag som du som person har kontakt med. Det kan t.ex. vara från en bank eller skatteverket. Studien har som syfte att försöka förstå varför människor faller för de här attackerna och hur de kan hindra att sprida andra attacker. De virus som den här typen av attack sprider kan vara t.ex. trojaner och ransomware.

Spear-Phishing

Nätfiske

APT

Säkerhet

Ransomware

Computer and Information Sciences

Data- och informationsvetenskap

VD-bedrägeri : Hur arbetar svenska kommuner för att minska risken för VD- bedrägeri? / CEO-fraud : How do swedish municipalities work to reduce the risk of CEO-fraud?

Osman Ali, Abdiasis

January 2020

The use of digital equipment and services is increasing both in organizations and private individuals. This means that more and more people are connecting to the Internet to communicate and share data that may include sensitive information. Due to security developments, unauthorized access to data has become increasingly sophisticated and therefore it has become difficult for cybercriminals to access it. Therefore, cybercriminals have begun to exploit human psychology. There are several different ways cybercriminals use to exploit the social aspect of people. One of these is CEO-fraud which targets specific individuals, often high-profile individuals such as executives and financial controllers. This study has investigated how Swedish municipalities work to reduce the risk of CEO-frauds. Also, the study has mapped out the methods and guidelines used by municipalities to ensure that their employees are not exposed to that type of attack. The study was conducted using a qualitative and quantitative survey that was sent to all 290 municipalities, which resulted in 71 responses. The results show that these municipalities use various technical defences and educate employees. Also, the study shows that these municipalities have policies and guidelines on how phishing and CEO fraud e-mails should be handled. / Användningen av digital utrustning och tjänster ökar både hos organisationer och privatpersoner. Detta innebär att det blir alltfler som kopplar upp sig mot Internet för att kommunicera och dela data som kan innehålla känslig information. Obehörigas åtkomst av data har på grund av säkerhetsutvecklingen blivit allt mer sofistikerad och därför har det blivit svårare för cyberbrottslingar att komma åt den. Därför började cyberbrottslingar utnyttja den mänskliga psykologin. Det finns ett antal olika sätt som cyberbrottslingar använder för att utnyttja den sociala aspekten hos människor. En av dessa är VD-bedrägerier som riktar sig mot bestämda individer, ofta högprofilerade individer såsom chefer och ekonomiansvariga. Denna studie har undersökt hur svenska kommuner arbetar för att minska risken för VD- bedrägeri. Dessutom har studien kartlagt vilka metoder och riktlinjer som kommunerna använder för att säkerställa att deras anställda inte utsätts för den typen av attack. Studien har utförts med hjälp av en kvalitativ och kvantitativ enkätundersökning som skickades ut till samtliga 290 kommuner vilket resulterade i 71 svar. Resultaten visar att de 71 kommuner använder ett antal tekniska skydd samt utbildar anställda. Dessutom visar studien att kommunerna har policy och riktlinjer om hur nätfiske och VD-bedrägerimail skall hanteras.

CEO-fraud

phishing

cybercriminals

E-mail

VD-bedrägeri

nätfiske

cyberbrottslingar

E-post

Information Systems

What are Users Willing to Comply With to Avoid Phishing? : An Interview-based Case Study

Bårman, Jennifer

January 2023

Phishing (nätfiske) fortsätter att vara ett av de vanligaste hoten för användare på Internet. På grund av detta så har mycket forskning gjorts på säkerhetsåtgärder för att identifiera och stoppa nätfiske. Mycket av detta arbete går till maskininlärning, medans ett välkänt behov av utbildning av användarsäkerhet på Internet finns. Användare är den största sårbarheten inom IT, och de borde därför bli utbildade och uppmuntrade att agera säkert på Internet. Denna studie fokuserade på ett mellanstort företag som jobbar med IT i Sverige, på dess användares förmåga och vilja att hantera sin epost säkert för att undvika att gå på nätfiske. Detta har studerats genom intervjuer med anställda på företaget. För möjlighet för transparens och replikering av studiens resultat så startades intervjuerna med att etablera respondenternas bakgrund och erfarenhet med nätfiske. Detta följdes av en demonstration av de vanligaste tecknen på nätfiske som hölls för varje intervjuade individ, för att försäkra att de hade kunskap om dem. Demonstrationen följdes sedan av ytterligare frågor som uppmuntrade deltagarna att först reflektera på ämnet, och sedan möjligheter för dem att utöka sin kunskap.Det som kom fram under intervjuerna var att användarna på företaget alla hade erfarenhet av nätfiske och visste i teorin hur man identifierar nätfiske. Detta trots att majoriteten av medverkande inte hade någon officiell utbildning inom ämnet. Alla användare som medverkade var villiga att göra det som förväntas av dem ifrån företaget. Alla respondenter i denna studie var villiga att göra det de kan för att undvika nätfiske, och några var villiga att gå längre än så på deras arbetsplats genom att utöka deras kompetens. Ingen medverkande i studien uttryckte ovilja att utbilda sig själv ytterligare i ämnet. Två av de åtta respondenterna tog emellertid upp ett starkt argument, att tiden för kontrollen av eposten inte borde överskrida användbarheten av processen. Sammanfattningsvis så har vissa användare behov av incentiv för att förbättra sin säkerhet, någon form av förklaring för varför vissa åtgärder behövs. Om sådant rättfärdigande kunde göras så fanns inga klagomål eller motvilja till att agera mer säkert. / Phishing continues to be one of the most common threats for users of the Internet. As such, a lot of research is made into security measures to identify and stop phishing. A lot of this work goes into machine learning, while it is known that user education on Internet security is needed. Users are the biggest vulnerability within IT, and should therefore be educated and encouraged to act securely on the Internet. This study's focus is on a medium-sized company working with IT in Sweden, on their users’ ability and willingness to handle their emails securely to avoid falling for phishing scams.This was studied through interviews with employees of the company. For the sake of transparency and replication, the interviews were started by establishing the respondents’ background and experiences with phishing. Following this a demonstration of some of the most common tells of phishing was held for each interviewee, to ensure that they know about them. The demonstration was then followed by further questions encouraging the interviewees to reflect upon first the subject, then possible opportunities for them to further their knowledge.What was found is that the users of the company all had experience with phishing and were knowledgeable in theory about how to identify phishing. This is despite the majority of the participants having no official education on the subject. It was found that all users who participated were willing to do what they are expected to do from the company. All respondents in this study were willing to do what they could to avoid phishing, and some were willing to go beyond that at their workplace by expanding their skills. No participant in the study expressed unwillingness to educate themselves further on the subject. However, an important opinion raised by two of the eight respondents was the aspect of time consumed to control all emails should not overshadow the usefulness of the practice. It was concluded that some users needed incentives to improve their security, justifications of why certain measures were needed. If such justifications could be made, there were no complaints or reluctance to act more securely.

User perspective

Phishing

Spear-phishing

Security

Cyber-security

Information security

Learning

Education

Usable security

User awareness

Användarperspektiv

Nätfiske

Riktat nätfiske

Säkerhet

Cybersäkerhet

Informationssäkerhet

Lärande

Utbildning

Användarsäkerhet

Användarmedvetenhet

Information Systems

Recognizing and Defending Against Phishing Attacks in Large Organizations

Mayrany, Matay

January 2023

As technology keeps integrating further into our personal and professional lives, digital security is a growing concern for our individual and public safety. Email phishing is the most common attack vector, often utilized by malicious actors to trick victims into taking irresponsible actions that benefit the attackers. Phishing attacks targeting large organizations have demonstrated the ability to incur costs that reach great magnitudes. Justifiably, many organizations invest in defense solutions against such attacks. This research investigates the different attack and defense strategies that can affect the success rates for phishing attacks. A retrospective data analysis is performed, on the interaction data of employees with simulated training campaigns, at an organization running a security training program for the last three years, and survey and interview studies with the employees are conducted. The results show that personal qualities such as attachment to the organization, and technological ability have an effect on the employees’ susceptibility to phishing attacks. Attack strategies which exploit human emotions, such as fear through the use of authority, and curiosity through the use of current events, are effective at inducing higher interaction rates. Educational training programs are deemed successful at reducing the employees’ susceptibility to phishing attacks. However, such programs should be implemented carefully to avoid resource waste and produce the sought after results. We determine that a holistic defense strategy should combine multiple security layers, by utilizing technical solutions such as email filters to reduce the number of attempts that are viewed by the employees, with well designed educational solutions, such as the training programs, to reduce the number of interactions with phishing emails, and reporting features to mitigate the potential losses incurred from successful attacks. / Allteftersom teknik upptar en större plats i våra liv blir digital säkerhet en växande fråga för samhällets säkerhet. Nätfiske via e-post är den vanligaste attackvektorn i cyberattacker. Nätfiskekampanjer riktade mot större organisationer har visat sig kunna åstadkomma stora kostnader. Detta orsakar många organisationer att investera pengar ämnade till försvar mot nätfiskeattacker. Den här forskningen undersöker möjliga attackstrategier som används för nätfiskeattacker samt deras framgång, och de olika försvarsåtgärderna som organisationer kan ta. Data från ett IT företag över hur dess anställda påverkas och interagerar med ett säkerhetsutbildningsprogram över 3 års tid, samt enkät och intervjustudier analyseras. Resultaten visar att personliga egenskaper som engagemang för företaget och teknisk förmåga påverkar de anställdas mottaglighet för nätfiskeattacker. Attackstrategier som spelar på känslor, såsom rädsla genom användning av auktoritet, eller nyfikenhet genom användning av aktuella händelser, är effektiva. Säkerhetsutbildningar påvisas vara ett framgångsrikt sätt att minska de anställdas mottaglighet för nätfiskeattacker. Utbildningarna bör dock implementeras noggrant för att undvika resursslöseri och för att försäkra deras effektivitet. Forskningen fastställer att en holistisk försvarsstrategi bör kombinera flera säkerhetslager, genom att använda tekniska lösningar som e-postfilter för att minska antalet försök som de anställda utsätts för, med väldesignade utbildningslösningar för att minska mottagligheten till nätfiske-e-postmeddelanden, och rapporteringsfunktioner för att minska effektiviteten av framgångsrika attacker.

Security

Email

Phishing

Social Engineering

Educational Training Programs

Säkerhet

e-post

nätfiske

social teknik

utbildningsprogram

Computer and Information Sciences

Data- och informationsvetenskap