Why Phishing Works on Smartphones
2020 (English)Independent thesis Basic level (degree of Bachelor), 10 credits / 15 HE credits
Student thesisAlternative title
Varför smartphone-phishing fungerar (Swedish)
Abstract [en]
Phishing is a form of internet fraud where an attacker attempts to acquire sensitive information from a target by posing as a trustworthy entity. One strategy to fool the target is to create a spoofed (illegitimate copy) of a legitimate website. But why do people fall for spoofed sites in smartphone browsers, and what security indicators are utilized or not when a user decides the legitimacy of a website? Can smartphone browsers make it easier for users to identify phishing sites? In this study, 20 participants were observed when they analyzed and classified websites as legitimate or spoofed on their own smartphones. 17 websites (8 spoofed and 9 legitimate) were presented to the participants in random order and classified by the participants.
The best phishing site fooled 50%, and on average participants classified 69% of the websites correctly, similar to previous studies results. The URL was used as an indicator by a majority of the participants (80%), a result that also matches previous similar studies. This indicates that user behaviour and ease of identifying spoofed and legitimate websites is not very different in a smartphone browser compared to a desktop computer browser. Those not evaluating the URL performed the worst. Almost all of the participants (>90%) used the content of the website (design, information, functionality) at least once when deciding if a website was spoofed or legitimate. Just one participant used Google to find the legitimate websites and compare to the one he was presented with in the study. He was the only participant with a success rate of 100%.
We suggest that browsers put more emphasis on the domain name, and that browser developers should even consider hiding sub domains in the smartphone address bar.
Abstract [sv]
Phishing är en typ av internetbedrägeri där en bedragare försöker komma åt känslig information från ett offer genom att utge sig för att vara någon annan. En strategi som är vanlig är att bedragaren skapar en falsk kopia av en verklig hemsida. Men varför faller användare för phishing i smartphone-webbläsare, och vilka säkerhetsindikatorer används för att avgöra om en sida är äkta eller falsk? Kan smartphone-webbläsare göra det enklare att identifiera phishing-sidor? I denna studie observerades 20 deltagare när de analyserade och klassificerade hemsidor som legitima eller falska. 17 hemsidor (8 falska och 9 äkta) presenterades för deltagarna i slumpad ordning och klassificerades.
Den bästa phishing-sidan lurade 50%, men i genomsnitt gissade deltagarna rätt i 69% av fallen, ett resultat som överensstämmer med tidigare liknande studier. En majoritet av deltagarna (80%) använde URL:en som en indikator, något som också överensstämmer med tidigare studier. Detta indikerar att användares beteende och förmåga att identifiera äkta och falska hemsidor i en webbläsare inte skiljer sig särskilt mycket mellan smartphone och dator. De som inte tittade på URL:en hade lägst antal rätt. Nästan alla deltagare (>90%) använde sig av sidans innehåll (design, information, funktionalitet) åtminstone en gång när de skulle avgöra om en sida var äkta eller falsk. En enda deltagare använde Google för att hitta de legitima sidorna och jämföra med de han fick presenterade framför sig i studien. Han var den enda deltagaren som identifierade alla sidor i studien korrekt.
Vi föreslår att webbläsare tydliggör domännamnet i större utsträckning och att utvecklare av webbläsare till och med bör överväga att helt dölja subdomäner i adressfältet på smartphones.
Place, publisher, year, edition, pages
2020. , p. 39
Series
TRITA-EECS-EX ; 2020:351
National Category
Computer Sciences
Identifiers
URN: urn:nbn:se:kth:diva-280092OAI: oai:DiVA.org:kth-280092DiVA, id: diva2:1463776
Subject / course
Computer and Systems Sciences
Educational program
Master of Science in Engineering - Computer Science and Technology
Supervisors
Examiners
2020-09-032020-09-032022-06-25Bibliographically approved