Phishing prevention: a multi-layered approach

Drury, Vincent Jakob; Meyer, Ulrike Michaela (Thesis advisor); Fahl, Sascha (Thesis advisor)

Aachen : RWTH Aachen University (2023)
Doktorarbeit

Dissertation, RWTH Aachen University, 2023

Kurzfassung

Phishing Angriffe stellen schon seit langer Zeit ein Risiko für NutzerInnen und Unternehmen dar, da sie zu finanziellen Verlusten führen und als erster Schritt in komplexen Angriffen dienen können. Trotz jahrzehntelanger Forschung in den Bereichen der automatisierten Erkennung, Bildung, und Design Interventionen um Phishing zu verhindern, existieren derzeit noch keine adäquaten und generellen Lösungen um NutzerInnen und Unternehmen vor der sich kontinuierlich entwickelnden Bedrohung zu schützen. Diese Doktorarbeit identifiziert Forschungslücken im Bereich von Anti-Phishing Lernspielen, welche derzeit keine Personalisierung anbieten und größtenteils auf relativ einfachen Spielmechanismen basieren, den Bedienoberflächen (UIs) von Email Client Anwendungen, in denen keine für Phishing relevanten Informationen hervorgehoben werden, und der automatisierten Klassifizierung von Phishing Webseiten, welche sich derzeit auf die Erkennung von Angriffen fokussieren nachdem diese bereits gestartet wurden, statt Angriffe zu verhindern bevor sie ein potentielles Opfer erreichen können. Diese Arbeit befasst sich mit den Forschungslücken und präsentiert die Effektivität von didaktischen und automatischen Präventionsmaßnahmen basierend auf einer Kategorisierung von Phishing URLs sowie eines Killchain Models, und steuert so zu einer mehrschichtigen Verteidigungsstrategie bei in der jede Schicht gegen verschiedene Angriffe vorgeht. Der Hauptbeitrag im Forschungsbereich der Anti-Phishing Bildung sind die Evaluation von Referenzwerten der Erkennungsfähigkeit von NutzerInnen für eine neue Kategorisierung von Phishing URLs, sowie eine vergleichende Evaluation von vier neuen Anti-Phishing Lernspielen, welche in zwei Studien erhoben werden. Die Ergebnisse der Studien können angewandt werden um zu bestimmen, welche URL Kategorien in neuen Interventionen fokussiert werden sollten um deren Effizienz zu maximieren, und schaffen neue Erkenntnisse bezüglich der Auswirkung von Personalisierung und verschiedenen Spielmechanismen auf die Klassifizierungsfähigkeit von NutzerInnen in Lernspielen. Außerdem demonstrieren sie, dass das Einbinden von diversen Angriffen und des Bekanntheitsgrades von Diensten in Studien notwendig ist um representative Ergebnisse zu liefern. Im Bereich der Design Interventionen werden die Auswirkung von Reverse Domain Name (RDN) Notation für URLs und von Änderungen im UI für Email Client Anwendungen auf die Klassifizierungsfähigkeit von untrainierten NutzerInnen getestet. Beide Studien offenbaren Vorteile der vorgeschlagenen Änderungen über die Ausgangssituation, und motivieren weitere Studien um die Effektivität der Interventionen in realistischeren Szenarien zu ermitteln. Für automatisierte Phishing Erkennung wird die Erkennung auf Certificate Transparency (CT) Aufzeichnungen evaluiert, bei denen es sich um öffentlich zugänglichen Quellen von Zertifikaten handelt. Diese Arbeit evaluiert die Auswirkung von verschiedenen Filterungstechniken und Class Imbalance für Trainingsdaten, sowie der Einbindung von zusätzlichen Informationen aus Zertifikaten im Klassifizierungsschritt, was insgesamt zu Klassifikatoren führt, welche in der echten Welt Einsatz finden können. Insgesamt veranschaulicht die Doktorarbeit, wie die Vor- und Nachteile von verschiedenen allgemeineren Ansätzen zur Phishingprävention zusammenspielen, und demonstriert wie die Kombination dieser Ansätze einen umfassenderen Schutz bieten kann als jegliches Einzelteil für sich.

Einrichtungen

• Fachgruppe Informatik [120000]
• Lehr- und Forschungsgebiet IT-Sicherheit [123520]