The State of Phishing : An Analysis on The Indicators of Phishing Attacks

Abstract

Tämän Pro Gradu -tutkielman tavoitteena oli analysoida kalasteluviestinnän sisältöä ja määritellä ne viestinnän piirteet, jotka viestinnän vastaanottava käyttäjä pystyy tunnistamaan kalastelun indikaattoreiksi. Tätä työtä ohjasi laajalti hyväksytty ajatus siitä, että käyttäjä on tietoturvallisuuden heikoin lenkki. Tämän vuoksi työ keskittyikin tarkastelemaan viestintää nimenomaan sellaisten tavanomaisten käyttäjien näkökulmasta, jotka eivät ole erityisen perehtyneitä tietoturvallisuuteen. Tämä rajaus johti myös siihen, että työtä varteen kehitettiin kokeellinen viitekehys, jonka avulla viestintää arvioitiin käyttäjän kontekstin näkökulmasta tarkastelemalla viestinnässä ilmeneviä kontekstuaalisia kalastelun indikaattoreita.

Tutkimus toteutettiin keräämällä otos erilaisista kalasteluhyökkäyksistä jotka hyödyntävät erilaisia hyökkäysvektoreita. Näitä hyökkäyksiä analysoitiin työtä varten luodulla viitekehyksellä, jotta eri hyökkäyksien sisältämien sosiaalisten-, teknisten- ja kontekstuaalisten indikaattoreiden määrät saatiin selvitettyä.

Tutkimuksen tulokset osoittavat, että käyttäjäkontekstiin liittyvät tekijät voivat toimia merkittävinä kalasteluindikaattoreina. Tämä on kuitenkin vain alustava löydös, jota pitää tutkia lisää. Tutkimuksessa osoitettiin myös se, että kalastelusivuilla ilmenevä merkittävä trendi on se, että sivut ovat useimmiten täydellisiä tai lähes täydellisiä väärennöksiä aidoista verkkosivuista. Tämä voi johtaa siihen, että käyttäjillä voi olla vaikeuksia tunnistaa sivustot kalastelusivuiksi. Lopuksi, tämän tutkielman tulokset viittaavat siihen, että kalasteluhyökkäyksissä ilmenevät indikaattorit voivat vaihdella merkittävästi riippuen siitä, mitä hyökkäysvektoria hyökkäyksessä käytetään.

The goal of this thesis was to analyze the contents of phishing communications and determine the features within those communications that can be recognized as indicators of phishing by the users that receive the communications. This thesis was heavily influenced by the largely established notion of users being the weak link of information security. It was because of this idea that the approach of this thesis was focused on the common users that are generally not deeply knowledgeable on information security matters. The focus on how common users evaluate the communications also led to the idea of developing an experimental framework for recognizing phishing communications as such by evaluating user context by analyzing contextual phishing indicators.

The research was conducted by collecting a sample of different phishing communications that utilize various attack vectors. These communications were then analyzed by using the developed experimental framework to discover the rate of occurrence of different social, technical, and contextual indicators within each phishing communication.

The results of the research suggest that factors related to user context can be highly significant phishing indicators. This is still merely a preliminary finding that demands more research. It was also shown that a prominent trend within phishing websites is that the websites are most often perfect or nearly perfect fabrications of legitimate websites, which can make it difficult for users to recognize them as phishing sites. Lastly, the results of this thesis indicate that the set of indicators found in each attack can vary depending on which attack vector is utilized in the attack.