Analyzing Email Phishing Trends Through the Creation of an Email Phishing Collection Model

Abstract

Phishing er en av de ledende angrepsvektorene i dagens digitale samfunn, som har medført store mengder monetære tap og skader de siste årene. Grunnet den kontinuerlige digitaliseringen av verden blir større deler av våre hverdagslige oppgaver ført over på digitale medium, noe som skaper fler og fler muligheter for ondsinnede cyber aktører. For å holde følge med, samt fremheve kunnskap nødvendig til å bekjempe phishing, vil denne Masteroppgaven presentere en analyse av phishing e-post fra årene 2016 ut 2022 gjennom utviklingen av en phishing e-post innsamlingsmodell.

Inspirert av tidligere arbeid og relevante rapporter, samtidig som å basere seg på elementer fra phishing e-postene selv, er en phishing e-post innsamlingsmodell utviklet. Modellen introduserer og fokuserer på områdene Content, Target, Method, og Impersonation, hvorav områdene selv er knyttet opp mot strukturen til en e-post og definisjonen av phishing.

Ved å benytte denne utviklede modellen er phishing e-poster fra de definerte årene samlet inn og videre analysert. Analyse av utviklingen av e-post phishing fra 2016 til og med 2022 viser at populære tilnærminger knyttet til målet (Target) og metode benyttet (Method) fra 2016 fortsatt er populære den dag i dag, mens selve essensen av e-posten (Content) og hvem e-posten tilsynelatende er fra (Impersonation) er varierende fra år til år. Hendelser slik som COVID-19 pandemien, statsiverksatte operasjoner, og julesesongen utheves som påvirkende faktorer til trendene observert. I tillegg pekes fremgangen innenfor deteksjonsteknologier som innflytelsesfull for utviklingen av e-post phishing.

Den utviklede modellen åpner opp for en standardisert tilnærming til innsamling av phishing e-post, en tilnærming som gir en universal og replikerbar metode for innsamling og videre analyse. Gjennom bruk av denne modellen med tilhørende analyser, ble det fremhevet informasjon nødvendig for å forstå trendene innenfor phishing, som igjen kan være behjelpelig i å identifisere fremtidig phishing atferd.

Phishing is one of the leading vectors of cyberattacks having led to millions of monetary losses and damages every year. Due to the continued digitization of the world, more of our operations are converted onto digital mediums, creating a larger and larger pool of possibilities for malicious cyber actors. To keep up and provide insight necessary to combat phishing, this thesis presents an analysis of phishing conducted over the email medium from the years 2016 throughout 2022 through the creation of an email phishing collection model.

Influenced by prior work and published reports, as well as being populated by findings from the selected phishing emails themselves, an email phishing collection model is created. The model introduces and focuses on the properties of Content, Target, Method, and Impersonation, drawn from the structure of an email and definition of phishing.

By utilizing this model developed, phishing emails from the scoped years are collected and further analyzed. Analyzing the evolution of phishing from 2016 throughout 2022 shows that approaches tied to the objective (Target) and method of achievement (Method) of a phishing email popular in 2016 have remained consistent, while the essence of the email (Content) and from whom the email appears to be from (Impersonation) have displayed varying results. Events such as the COVID-19 pandemic, governmental operations, and the Christmas season are occurrences having influenced the trends observed, while advances on the side of detection technologies is a notable factor changing the approaches utilized within email phishing.

The model created presents a standardized way of conducting email phishing collection, providing a universal and replicable approach for the collection and subsequent analysis. Through the utilization of this model and additional analyses, insight on the evolution and trends within email phishing could be highlighted, which again can give an indication of any future phishing behavior.