Kalasteluviestintä ilmiönä ja kiireellisyyden kokemuksen vaikutus huijauksen onnistumiseen

Abstract

Tässä tutkielmassa halutaan lisätä ymmärrystä kalasteluviestinnästä ilmiönä, sekä tarkastella kalasteluviesteissä käytettyjen, kiireellisyyden kokemusta lisäävien elementtien vaikutusta vastaanottajan toimintaan. Kiireellisyyden kokemusta lisäävät elementit kalasteluviestinnässä vaikuttavat olevan hyökkääjien yleinen tehokeino, jolla pyritään vaikuttamaan huijauksen onnistumiseen. Samalla se on hyvin vähän tutkittu aihe kalasteluviestinnän näkökulmasta.

Tutkielman aineistona käytetään kolmea eri kalastelukampanjaa, jotka olivat osa kohdeorganisaatiolle tuotettua kyberhyökkäyssimulaatiota vuonna 2017. Aineisto perustuu käytännön toimintaan työelämässä silloin, kun organisaatio on kyberhyökkäyksen kohteena. Aineisto poikkeaa aiemmasta alan tutkimuksesta siten, että tulokset perustuvat oikeassa työelämässä toteu-tettuihin kampanjoihin ja vastaanottajat ovat olleet henkilöitä, jotka eivät tienneet, että kyseessä on tilattu kyberhyökkäyssimulaatio. Aineistossa kuvattu vastaanottajien toiminta on siis verrattavissa siihen, miten henkilöt todellisuudessa oikeasti toimivat kalastelutilanteissa.

Kirjallisuuskatsauksella pyritään selittämään kalasteluviestintää ilmiönä ja tarkastelemaan syitä, miksi kalasteluviestit toimivat, perustuen aiempaan tieteelliseen tutkimukseen ja ammattikirjallisuuteen. Tutkielma pyrkii löytämään kirjallisuuskatsauksesta selityksen sille, miksi aineistossa tapahtui muutoksia eri kalastelukertojen välillä. Tavoitteena on ymmärtää paremmin, miksi kalasteluviestit toimivat ja miten kiireellisyyden kokemusta luovat elementit vaikuttavat vastaanottajan toimintaan.

Tutkielman tulosten mukaan kiireellisyyden kokemusta lisäävät elementit näyttävät vaikuttavan positiivisesti siihen, että henkilö tulee huijatuksi. Koettu uhka ja kiireellisyys vaikuttavat toimivan yhdessä hyvinä motivaattoreina kalasteluviestin avaamiselle ja viestin ohjeiden mukaan toimimi-selle. Myös kiireellisyys ja niukkuus sekä potentiaalinen hyöty vaikuttavat olevan hyvä suostuttelutekniikoiden yhdistelmä.

Tutkielma toimii tiedeyhteisöissä ponnistuslautana uusille tutkimuksille. Tämä tutkielma osoittaa, että kalastelu kaipaa lisätutkimusta monista eri näkökulmista ja lähtökohdista. Tutkielmaa voidaan hyödyntää myös työyhteisöissä, joissa kalasteluviestinnältä halutaan oppia suojautumaan paremmin.

The purpose of this thesis is to increase understanding of the phishing phenomenon and to study the impacts of urgency cues used in phishing emails on the activity of the recipient. Attackers seem to use urgency cues as a common technique to influence the recipients and to increase the likelihood of a successful phishing attack. Nonetheless, there are only a few studies which evaluate the impacts of urgency cues in a phishing context.

The research material consists of three different phishing camapings which was part of a wide cyber attack simulation produced in 2017 for a target organization. The material differs from previous research in that the results are based on real life actions in an organization when it is under attack. The phishing email recipients did not know that the organization had bought a cyber attack simulation nor that the organization was under an attack. The recipients' activities described in the material are thus comparable to how the individuals act in real life phishing situations.

The literature review aims to explain phishing as a phenomenon and to examine the reasons why phishing emails work, based on previous scientific research and professional literature. The thesis attends to find an explanation from the literature review for the changes in recipients’ behavior that occurred in the material between different phishing campaigns. The objective is to better understand why phishing messages work and how the elements that create the urgency experience affect the recipient's actions.

According to the results, the elements that increase the experience of urgency seem to have a positive effect on the recipient being scammed. Perceived threat and urgency cues seem to work together as a good motivator for the recipient to open the phishing email and follow the attacker’s requests. Emergency and scarcity as well as potential benefits also seem to be a good combination of persuasion techniques.

This thesis can be used to develop further knowledge on under-standing phishing phenomenon and why some phishing emails are more successful than others. The results indicate that there is a need for further phishing research on different perspectives. Thesis could also be useful for organizations that want to learn to protect themselves against phishing.