Risk perception of identity theft in social media

Abstract

Risiko er noe vi alle opptatt av, risiko er et kombinert mål på sannsynligheten og konsekvensen av at noe skjer. Hvordan folk oppfatter risiko kobles til deres personlige mening om hvor risikabelt å gjøre noe er. Det er flere mulige risikofylte oppførsler på sosiale medier, og noen av tingene vi legger ut der kan hjelpe en angriper med å utføre identitetstyveri. I og med at sosiale medier er et nytt medium, er det forskjell på hvordan folk bruker, og oppfatter risiko. En kompromittert konto på sosiale medier gir en angriper tilliten til kontoeier ovenfor følgere/venner. I denne oppgaven viser jeg hvordan angripere vanligvis prøver å utnytte kontoer, å bruke dem til spam phishing eller for å bruke lagrede kredittkort tilknyttet kontoen for å kjøpe annonser. Jeg viser også hva folk tror at kontoene deres kan brukes av en angriper. Oppgaven viser at folk er veldig forskjellige i hvordan de oppfatter risiko, det er noen trender angående alder og kjønn, med den eldre generasjonen som opplever høyere risiko og kvinner oppfatter debattdeltakelse som mer risikabelt enn menn. Resultatene mine viser at vi ikke har en enhetlig oppfatning av risiko på sosiale medier, og at offentlig diskurs kan kvele grupper som oppfatter risiko som høyere enn andre. Det viser også at en angriper vanligvis ønsker å utnytte tillit med kontoer, dette kan brukes til å påvirke opinionen.

Risk is something that we all concern ourselves with, risk is a combined measure of the probability and the consequence of something happening. How people perceive risk connects to their personal opinion on how risky doing something is. There are multiple possible risky behaviours on social media, and some of the things we post there might assist an attacker in performing identity theft. With social media being a new medium, there is a difference between how people use, and perceive risk. A compromised social media account gives an attacker the trust of the accounts of followers/friends. In this thesis, I show that attackers usually try to exploit accounts to use them for spam or phishing or to use saved credit cards associated with the account to buy ads. I also show what people believe that their accounts can be used for by an attacker. The thesis shows that people are very different in how they perceive risk, there are some trends regarding age and gender, with the older generation perceiving higher risks and women perceiving debate participation as riskier than males. My results demonstrate that we do not have a unified perception of risk on social media and that public discourse can stifle groups who perceive risk as higher than others. It also shows that an attacker usually wants to exploit trust with accounts; one can use this to manipulate public opinion.