External email tags in phishing detection
Laava, Tuukka (2024)
Laava, Tuukka
2024
All rights reserved. This publication is copyrighted. You may download, display and print it for Your own personal use. Commercial use is prohibited.
Julkaisun pysyvä osoite on
https://urn.fi/URN:NBN:fi:amk-2024120833698
https://urn.fi/URN:NBN:fi:amk-2024120833698
Tiivistelmä
Viimeaikaiset tutkimukset ovat osoittaneet, että valtaosa tietoturvaloukkauksista sisältää ihmiselementin, kuten sosiaalisen tiedustelun, inhimillisen virheen tai käyttöoikeuksien väärinkäytön. Edellä olevista sosiaalinen tiedustelu on ollut yksi kolmesta suurimmista hyökkäysvektoreista, jota hyväksikäyttämällä kyberrikolliset ovat joko yrittäneet murtautua tai murtautuneet organisaatioiden tietoverkkoihin ja tietojärjestelmiin, ja anastaneet tietoja. Tyypillisesti hyökkäykset ovat tapahtuneet organisaation ulkopuolisen tahon toimesta motiivinaan kybervakoilu tai taloudellisen hyödyn tavoittelu.
Kyberhyökkäyksissä uhkatoimijat ovat aktiivisesti käyttäneet hyväkseen sähköpostikalastelua uhriensa harhauttamiseksi, mikä ei ole myöskään mennyt täysin huomaamatta ohjelmistovalmistajilta, kun he ovat kehittäneet uusia ominaisuuksia sovelluksiinsa. Esimerkkinä tällaisesta ominaisuudesta on vuoden 2023 päätteeksi kaikissa Microsoftin sähköpostisovelluksissa käyttäjien saataville tullut sisäänrakennettu merkintä ulkoisesta lähettäjästä. Ominaisuuden tarkoituksena on ollut auttaa käyttäjiä paremmin suojautumaan tietojenkalastelu-yrityksiä ja haittapostia vastaan merkitsemällä kaikki organisaation ulkopuolelta tulevat viestit visuaalisella tunnuksella ja varoitustekstillä, yhdessä varoitusmerkinnällä.
Tämän varoitusmerkinnän yhteyttä tietojenkalasteluyritysten torjuntaan on myöhemmin selvitetty kokeellisella tutkimuksella vastaamalla kysymykseen: Vaikuttaako sähköpostin ulkoinen varoitusmerkintä käyttäjien kykyyn tunnistaa tietojenkalasteluyrityksiä ja millä tavoin? Vastausta kysymykseen haettiin tutkimusasetelmalla, jossa tutkimuksen osallistujat jaettiin satunnaisesti kahteen yhtä suureen ryhmään, koe- ja kontrolliryhmään. Koeryhmälle lähetettiin tietojenkalasteluviestejä ulkoisella varoitusmerkinnällä ja kontrolliryhmälle ilman varoitusmerkintää pyrkimyksenä nähdä, mikäli ryhmien välillä on tunnistettavissa tilastollisesti merkitseviä eroja sen suhteen, kuinka hyvin käyttäjät suoriutuvat tietojenkalastelusimulaatioista.
Verrattaessa tuloksia keskenään khiin neliö -testin ja binäärisen logistisen regressioanalyysin kautta, riippumattoman ja riippuvan muuttujan väliltä ei löydetty syy-seuraussuhdetta. Tietojenkalasteluviestien käsittelyn ei havaittu poikkeavan toisistaan riippumatta siitä näytettiinkö käyttäjälle ulkoista varoitusmerkintää vai ei. Varoitusmerkinnällä ei ollut riittävää itsenäistä selvitysvoimaa kiinnittää käyttäjien huomiota paremmin tunnistaa organisaation ulkopuolelta tulevaa käyttäjä- ja verkkotunnushuijausta. Jotta ulkoinen varoitusmerkintä voisi toimia odotetulla tavalla, olisi käyttäjät syvällisemmin perehdytettävä ominaisuuteen. Recent studies have shown that a large proportion of data breaches includes a human element, such as social engineering, human error, or privilege misuse. Of the above social engineering has been one of the three most significant attack vectors, in which threat actors have either tried to break into or have broken into the organisation's computer network and ICT systems, and exfiltrated data. Typically, these attacks have been carried out by an external party with the motive of cyber espionage or financial gain.
In the cyber-attacks, threat actors have actively used email phishing and pretexting to misuse their victims. This has not gone unnoticed by the software manufacturers either when they have presented new features to their solutions. As an example of such a feature, Microsoft made native external email tagging available for all their email clients by the end of 2023. The purpose of this feature was to help users to better protect against phishing attempts and spam messages by marking emails that were sent from outside the organization with a visual identifier and a policy tip, together safety tip.
The relationship between the safety tip and the detection of a phishing message was later investigated with an experimental study by seeking answer to the following question: Does external email tagging affect end users’ ability to detect phishing attempts and in what ways? The answer to the question was sought through a research design where the participants were randomly assigned into two sample groups, the treatment group, and the control group. The treatment group was then sent phishing messages with an external email tag and the control group without the tag to see if there were remarkable differences between the groups in how well they performed in phishing attack simulation trainings.
When comparing the results to each other through chi square test and simple logistic regression, no significant causal relationship was found between the independent and dependent variables of external email tagging and phishing susceptibility. The processing of phishing messages was not seen to differ in terms of whether the email recipient was shown the tag or not. The external email tagging did not have sufficient explanatory power to attract end users’ attention to better detect user and domain spoofing attempts coming from outside the organisation. For external email tagging to work as expected, it would at least require users to familiarize them-selves with the feature in more depth.
Kyberhyökkäyksissä uhkatoimijat ovat aktiivisesti käyttäneet hyväkseen sähköpostikalastelua uhriensa harhauttamiseksi, mikä ei ole myöskään mennyt täysin huomaamatta ohjelmistovalmistajilta, kun he ovat kehittäneet uusia ominaisuuksia sovelluksiinsa. Esimerkkinä tällaisesta ominaisuudesta on vuoden 2023 päätteeksi kaikissa Microsoftin sähköpostisovelluksissa käyttäjien saataville tullut sisäänrakennettu merkintä ulkoisesta lähettäjästä. Ominaisuuden tarkoituksena on ollut auttaa käyttäjiä paremmin suojautumaan tietojenkalastelu-yrityksiä ja haittapostia vastaan merkitsemällä kaikki organisaation ulkopuolelta tulevat viestit visuaalisella tunnuksella ja varoitustekstillä, yhdessä varoitusmerkinnällä.
Tämän varoitusmerkinnän yhteyttä tietojenkalasteluyritysten torjuntaan on myöhemmin selvitetty kokeellisella tutkimuksella vastaamalla kysymykseen: Vaikuttaako sähköpostin ulkoinen varoitusmerkintä käyttäjien kykyyn tunnistaa tietojenkalasteluyrityksiä ja millä tavoin? Vastausta kysymykseen haettiin tutkimusasetelmalla, jossa tutkimuksen osallistujat jaettiin satunnaisesti kahteen yhtä suureen ryhmään, koe- ja kontrolliryhmään. Koeryhmälle lähetettiin tietojenkalasteluviestejä ulkoisella varoitusmerkinnällä ja kontrolliryhmälle ilman varoitusmerkintää pyrkimyksenä nähdä, mikäli ryhmien välillä on tunnistettavissa tilastollisesti merkitseviä eroja sen suhteen, kuinka hyvin käyttäjät suoriutuvat tietojenkalastelusimulaatioista.
Verrattaessa tuloksia keskenään khiin neliö -testin ja binäärisen logistisen regressioanalyysin kautta, riippumattoman ja riippuvan muuttujan väliltä ei löydetty syy-seuraussuhdetta. Tietojenkalasteluviestien käsittelyn ei havaittu poikkeavan toisistaan riippumatta siitä näytettiinkö käyttäjälle ulkoista varoitusmerkintää vai ei. Varoitusmerkinnällä ei ollut riittävää itsenäistä selvitysvoimaa kiinnittää käyttäjien huomiota paremmin tunnistaa organisaation ulkopuolelta tulevaa käyttäjä- ja verkkotunnushuijausta. Jotta ulkoinen varoitusmerkintä voisi toimia odotetulla tavalla, olisi käyttäjät syvällisemmin perehdytettävä ominaisuuteen.
In the cyber-attacks, threat actors have actively used email phishing and pretexting to misuse their victims. This has not gone unnoticed by the software manufacturers either when they have presented new features to their solutions. As an example of such a feature, Microsoft made native external email tagging available for all their email clients by the end of 2023. The purpose of this feature was to help users to better protect against phishing attempts and spam messages by marking emails that were sent from outside the organization with a visual identifier and a policy tip, together safety tip.
The relationship between the safety tip and the detection of a phishing message was later investigated with an experimental study by seeking answer to the following question: Does external email tagging affect end users’ ability to detect phishing attempts and in what ways? The answer to the question was sought through a research design where the participants were randomly assigned into two sample groups, the treatment group, and the control group. The treatment group was then sent phishing messages with an external email tag and the control group without the tag to see if there were remarkable differences between the groups in how well they performed in phishing attack simulation trainings.
When comparing the results to each other through chi square test and simple logistic regression, no significant causal relationship was found between the independent and dependent variables of external email tagging and phishing susceptibility. The processing of phishing messages was not seen to differ in terms of whether the email recipient was shown the tag or not. The external email tagging did not have sufficient explanatory power to attract end users’ attention to better detect user and domain spoofing attempts coming from outside the organisation. For external email tagging to work as expected, it would at least require users to familiarize them-selves with the feature in more depth.