Vis enkel innførsel

dc.contributor.advisorSnekkenes, Einar Arthur
dc.contributor.authorBilet, Bjørn Boris
dc.date.accessioned2021-09-23T19:12:31Z
dc.date.available2021-09-23T19:12:31Z
dc.date.issued2020
dc.identifierno.ntnu:inspera:67241288:38046645
dc.identifier.urihttps://hdl.handle.net/11250/2781176
dc.description.abstractDenne oppgaven har til hensikt å undersøke effekten av opplæring som ett forsvar mot phishing-angrep via e-post. En av de vanligste formene for angrep i dag er phishing, og dette er ofte angriperens første steg inn i virksomhetens datanettverk. Ofte bes mottaker om å utføre en handling for å motta en belønning, eller for å hindre en negativ konsekvens. De kriminelle spiller ofte på menneskelige egenskaper som frykt, opprømthet, nysgjerrighet, pliktoppfyllenhet eller empati for å få mottaker til å utføre handlingene det bes om. Målet er som regel å få tak i informasjon, enten for å en fordel i markedet, for spionasje eller for økonomisk vinning. Det siste oppnås enten i form av at ansatte lures til å overføre penger direkte, eller ved å bruke personlig eller bedriftssensitiv informasjon som pressmiddel. Det finnes i dag mange tekniske løsninger for å beskytte seg mot phishing-angrep, men denne oppgaven setter søkelys på opplæring og sikkerhetsbevissthet hos mennesker som forsvar. I en arbeidssituasjon vil alle kunne forvente å måtte motta og besvare e-post. Det vil være helt umulig for en teknisk løsning å luke ut alle phishing e-postene som kommer, uansett hvor sofistikerte de er. Det er brukeren som leser e-posten og som til syvende og sist er den største sikkerhetsrisikoen. For å undersøke dette har jeg utført uannonserte phishing-angrep på alle ansatte i Gjøvik kommune, for å finne ut hvor sårbare de er for phishing. Deretter har jeg gitt alle ansatte en kort opplæring i hvordan behandle e-post og kjenne igjen phishing-angrep. Til slutt har jeg fortsatt med jevnlige phishing-angrep på månedlig basis, for å se om effekten av opplæring forsvinner over tid, eller om de gjentatte angrepene gjør brukerne mer motstandsdyktige og på vakt. Målet med dette er å finne ut hvor ofte opplæring bør gis for å opprettholde ett akseptabelt nivå på sikkerhetsbevisstheten til de ansatte. Et sekundært mål er å kartlegge om det er brukere fra en gitt sektor i kommunen som er mer mottagelige for phishing-angrep, slik at disse kan få målrettet opplæring.
dc.description.abstractThis research project will investigate the effect of education and training to combat phishing attacks. The prevalence and sophistication of cyberattacks continue to increase, affecting private users, businesses, organizations, and government networks. One of the greatest cyberthreats and reason for security breaches comes from phishing; a cyberattack disguised as a harmless email. The email asks the recipient to perform an action, such as clicking on a malicious link, typically to get a reward or to handle a problem. There are several techniques criminals use to deceive people. All of them, however, tends to fool the victim by exploiting human traits like panic, excitement, curiosity, obligation, or empathy so they perform the wanted act. The main goal is usually to steal data, either to get a competitional advantage, for espionage or for economic gain. The latter they do by tricking the victim to do a direct wire transaction, freezing the system as part of a ransom attack, or by using stolen personal, or corporate information at a later stage. There are many technical measures a company may use to protect themselves from phishing attacks. This project, however, will focus on security awareness and training of individuals. At some point all of us will most likely receive a phishing email of some sort. In the end, it is the user clicking on the fraudulent links, giving away information or performing an unwanted action, that is the biggest security risk. My research consists of unannounced phishing attacks against Gjøvik municipality’s employees, mapping their resilience against such attacks. I tried to educate the users about phishing-emails with online information, hoping that would raise their awareness. When the training was completed, more phishing emails were sent out, at a monthly interval. As such, I could track how well the users retained knowledge gained from training over time, and hopefully get enough data to see at what intervals training is needed to maintain an acceptable security information awareness against these kinds of attacks. This project also mapped users from different departments within the municipality, to see if any one group of workers are more susceptible to this kind of attack than others. This information may be valuable to the municipality to see who are the most vulnerable and where resources should be used, such as training and education.
dc.language
dc.publisherNTNU
dc.titleSecurity awareness training as a countermeasure to phishing attacks
dc.typeMaster thesis


Tilhørende fil(er)

Thumbnail

Denne innførselen finnes i følgende samling(er)

Vis enkel innførsel