Social engineering attacks in the light of security economics

Abstract

Sikkerhetsøkonomi er et tverrfaglig forskningsfelt som kombinerer økonomi og sikkerhet for å beskrive mangler ved informasjonssikkerhet fra et økonomisk synspunkt. Forskningsfeltet gir en bedre forståelse av hvorfor sikkerhetsbrudd fortsatt oppstår til tross for robuste tekniske tiltak, og sikkerhetsøkonomi gir et økonomisk rammeverk for å analysere cybersikkerhet. Sosial manipulasjon er kunsten å bruke manipulasjon og psykologisk overtalelse for å få folk til å kompromittere informasjonssystemer.

Denne oppgaven ser på sosial manipulasjon fra en sikkerhetsøkonomisk kontekst, hvor de sikkerhetsøkonomiske konseptene som brukes hovedsakelig er eksternaliteter, feiljusterte insentiver og asymmetrisk informasjon. Disse konseptene brukes til å diskutere angrep som phishing, spoofing og Business Email Compromise (BEC). Denne oppgaven bruker en kvalitativ tilnærming basert på dybdeintervjuer for å innhente informasjon. Fem sikkerhetseksperter og fire ofre for sosiale manipulasjonsangrep er intervjuet. De innsamlede empiriske dataene brukes til å bidra til forståelsen av hvordan man håndterer sosiale manipulasjonsangrep, utfordre etablerte idéer som mennesket er det svakeste leddet, gi forklaringer på hvorfor tiltak mot sosial manipulasjon mislykkes i praksis, og utvide teorien om sikkerhetsøkonomi.

Funnene avdekker nye perspektiver som vi argumenterer for at bør inkluderes i sikkerhetsøkonomi som fagfelt, hovedsakelig begrepene tillit, skam, åpenhet og kultur. Basert på empiriske data gir vi dessuten anbefalinger for å redusere antallet vellykkede angrep der sosial manipulasjon brukes. Disse anbefalingene inkluderer blant annet holdningsendringer i hvordan vi ser på ofre for sosial manipulasjon og mennesker i sikkerhetskjeden, forslag til retningslinjer og et nytt konsept som vi foreslår, kalt Security 2

Security economics is an interdisciplinary field of research that combines economics and security to describe information security shortcomings from an economic point of view. The research field provides a more elaborate understanding of why security breaches still occur despite robust technical measures, and security economics gives an economic framework to analyze cyber security. Social engineering is the art of using manipulation and psychological persuasion to make people compromise information systems.

This thesis looks at social engineering from a security economics context, where the central concepts that are included are externalities, misaligned incentives, and asymmetric information. These concepts are used to discuss phishing, spoofing, and Business Email Compromise (BEC) attacks. The thesis uses a qualitative approach based on in-depth interviews to gather information. Five security experts and four victims of social engineering attacks have participated. The empirical data is used to contribute to the understanding of how to handle social engineering attacks, challenge established ideas like humans being the weakest link, provide explanations to why social engineering protection measures fail in practice, and extend the theory of security economics.

The findings uncover new perspectives we argue should be included and discussed further within security economics, mainly the concepts trust, shame, transparency and culture. Moreover, based on the empirical data, we provide recommendations to reduce the number of successful social engineering attacks. These recommendations include attitude changes in how we view victims of social engineering and humans in the security chain, policy suggestions, and a new concept we propose, named Security 2.