Go Phish! - Educating Users Not to Bite on Phishing

Abstract

I dagens samfunn hvor vi hele tiden blir bombardert med informasjon fra alle kanter, finnes det noen som prøver å utnytte dette, og sniker harmløst utseende eposter som kan lage kaos inn sammen med den normale strømmen av epost. Noen av disse prøver å lure personlig informasjon fra intetanende brukere. Disse epostene kalles phish, eller fiskeepost, og har vært med oss ganske lenge.

Tekniske innretninger for å luke ut disse fiskeepostene er ofte ikke nok, og brukerne selv må kunne identifisere disse skadelige epostene for ikke å "bite på kroken". Mange har derfor prøvd å finne gode treningsmetoder for brukerne, slik at de kan beskytte seg selv.

Dette prosjektet skal prøve å identifisere forskjeller i måten forskjellige treningsteknikker påvirker forskjellige typer brukere, slik at de som setter sammen slik trening kan velge den mest effektive teknikken, basert på hvilken type bruker som skal motta den. Ved også å sammenligne brukergrupper det ikke har vært fokusert på tidligere, kan vi kanskje finne forskjeller i hvor mottakelige grupper som bruker epost forskjellig er for denne type svindel. Treningsmetodene som har blitt valgt, er basert på at andre studier har funnet dem effektive i å oppdra brukere - Videobasert trening (I mangel av klasseromsundervisning i forbindelse med CoVid-19), umiddelbar tilbakemelding med forklaring på hva brukeren gjorde feil, webbasert trening, og trening i form av spill eller konkurranse. Denne studien prøver å sammenligne disse metodene, i tillegg til å sammenligne med enkel tekstbasert informasjon med samme basisinnhold.

In a world where we are constantly being bombarded with information from every angle, some people try to take advantage of that, and sneaks harmless-looking email that can wreak havoc along with the legitimate flow of emails. Some of these tries to lure personal information from an unsuspecting user. These emails are called phishing emails, and have been around for quite some time.

Technical countermeasures for weeding out these phishing emails are often not enough, and it comes down to the users themselves to identify these harmful messages in order not to "bite". Many have therefore tried to find good training methods for the users, so that they can protect themselves.

This project will try to identify any differences in the way different training techniques affect different kinds of users, so that people that arrange training can choose the most effective technique based on the type of user they are educating. By also comparing user groups that have not been focused on before, we may find differences in susceptibility between user groups who interact with emails in different ways. The training methods chosen have been selected based on other studies finding them effective in educating users - Video based instructions, immediate feedback with explanations, web based instructions and gamification. This study tries to compare these methods against each other and against simple textual information with the same basic content.