Phishing prevention: a multi-layered approach

Drury, Vincent Jakob^RWTH*

2023

Verantwortlichkeitsangabevorgelegt von Vincent Jakob Drury, M.Sc. RWTH

ImpressumAachen : RWTH Aachen University 2023

Umfang1 Online-Ressource : Illustrationen, Diagramme

Dissertation, RWTH Aachen University, 2023

Veröffentlicht auf dem Publikationsserver der RWTH Aachen University

Genehmigende Fakultät
Fak01

Hauptberichter/Gutachter
Meyer, Ulrike Michaela (Thesis advisor)^RWTH* ; Fahl, Sascha (Thesis advisor)

Tag der mündlichen Prüfung/Habilitation
2023-06-16

Online
DOI: 10.18154/RWTH-2023-06794
URL: https://publications.rwth-aachen.de/record/961355/files/961355.pdf

Einrichtungen

Inhaltliche Beschreibung (Schlagwörter)
Hochschulschrift (Genormte SW) ; certificates (frei) ; education (frei) ; machine learning (frei) ; phishing (frei) ; security (frei) ; urls (frei)

Thematische Einordnung (Klassifikation)
DDC: 004

Kurzfassung
Phishing Angriffe stellen schon seit langer Zeit ein Risiko für NutzerInnen und Unternehmen dar, da sie zu finanziellen Verlusten führen und als erster Schritt in komplexen Angriffen dienen können. Trotz jahrzehntelanger Forschung in den Bereichen der automatisierten Erkennung, Bildung, und Design Interventionen um Phishing zu verhindern, existieren derzeit noch keine adäquaten und generellen Lösungen um NutzerInnen und Unternehmen vor der sich kontinuierlich entwickelnden Bedrohung zu schützen. Diese Doktorarbeit identifiziert Forschungslücken im Bereich von Anti-Phishing Lernspielen, welche derzeit keine Personalisierung anbieten und größtenteils auf relativ einfachen Spielmechanismen basieren, den Bedienoberflächen (UIs) von Email Client Anwendungen, in denen keine für Phishing relevanten Informationen hervorgehoben werden, und der automatisierten Klassifizierung von Phishing Webseiten, welche sich derzeit auf die Erkennung von Angriffen fokussieren nachdem diese bereits gestartet wurden, statt Angriffe zu verhindern bevor sie ein potentielles Opfer erreichen können. Diese Arbeit befasst sich mit den Forschungslücken und präsentiert die Effektivität von didaktischen und automatischen Präventionsmaßnahmen basierend auf einer Kategorisierung von Phishing URLs sowie eines Killchain Models, und steuert so zu einer mehrschichtigen Verteidigungsstrategie bei in der jede Schicht gegen verschiedene Angriffe vorgeht. Der Hauptbeitrag im Forschungsbereich der Anti-Phishing Bildung sind die Evaluation von Referenzwerten der Erkennungsfähigkeit von NutzerInnen für eine neue Kategorisierung von Phishing URLs, sowie eine vergleichende Evaluation von vier neuen Anti-Phishing Lernspielen, welche in zwei Studien erhoben werden. Die Ergebnisse der Studien können angewandt werden um zu bestimmen, welche URL Kategorien in neuen Interventionen fokussiert werden sollten um deren Effizienz zu maximieren, und schaffen neue Erkenntnisse bezüglich der Auswirkung von Personalisierung und verschiedenen Spielmechanismen auf die Klassifizierungsfähigkeit von NutzerInnen in Lernspielen. Außerdem demonstrieren sie, dass das Einbinden von diversen Angriffen und des Bekanntheitsgrades von Diensten in Studien notwendig ist um representative Ergebnisse zu liefern. Im Bereich der Design Interventionen werden die Auswirkung von Reverse Domain Name (RDN) Notation für URLs und von Änderungen im UI für Email Client Anwendungen auf die Klassifizierungsfähigkeit von untrainierten NutzerInnen getestet. Beide Studien offenbaren Vorteile der vorgeschlagenen Änderungen über die Ausgangssituation, und motivieren weitere Studien um die Effektivität der Interventionen in realistischeren Szenarien zu ermitteln. Für automatisierte Phishing Erkennung wird die Erkennung auf Certificate Transparency (CT) Aufzeichnungen evaluiert, bei denen es sich um öffentlich zugänglichen Quellen von Zertifikaten handelt. Diese Arbeit evaluiert die Auswirkung von verschiedenen Filterungstechniken und Class Imbalance für Trainingsdaten, sowie der Einbindung von zusätzlichen Informationen aus Zertifikaten im Klassifizierungsschritt, was insgesamt zu Klassifikatoren führt, welche in der echten Welt Einsatz finden können. Insgesamt veranschaulicht die Doktorarbeit, wie die Vor- und Nachteile von verschiedenen allgemeineren Ansätzen zur Phishingprävention zusammenspielen, und demonstriert wie die Kombination dieser Ansätze einen umfassenderen Schutz bieten kann als jegliches Einzelteil für sich.

Phishing attacks have been a relevant and ongoing threat for several decades, resulting in monetary loss for private users and serving as a first step in attacks on larger organizations. Despite decades of research into automated detection, education, and design interventions to prevent phishing attacks, current solutions fall short of providing adequate and general protection to users and businesses against the evolving threat. In particular, we identify research gaps for anti-phishing learning games, which currently lack personalization and mainly offer rather simple game mechanics, the user interface (UI) design of email clients, which do not highlight information that is relevant to phishing email detection, and automated phishing website classification, where the focus is on detection after the attack was executed, instead of aiming to disrupt attacks before they reach potential victims. This thesis addresses these gaps and showcases the effectiveness of human-centered and technical phishing-prevention techniques based on a categorization of phishing URLs and a kill chain model, thus contributing to a multi-layered defense strategy where each layer addresses different attacks. Our main contributions in the research area of anti-phishing education are the evaluation of baseline detection capabilities for a new categorization of phishing URLs, as well as the comparative evaluation of four new learning games in two user studies. The result of these user studies motivate, which categories of URLs to focus on to optimize future educational interventions, and give insights into the effect of different game mechanics and personalization on the classification capabilities of users who played the learning games. We further demonstrate, that accurately reflecting the diversity of phishing attacks and measuring service familiarity in user studies is essential to ensure representative results. In the area of design interventions, we evaluate the effect of using Reverse Domain Name (RDN) notation for URLs and changing the UI of email clients on the classification performance of untrained users. Both studies reveal advantages of the proposed changes over the baseline and motivate further studies of the interventions' effect on awareness outside of a lab setting. For automated phishing detection, we evaluate the detection of phishing websites on certificate transparency (CT) logs, which are publicly available stores of certificates. We show, how data cleaning and class imbalance during training, and the inclusion of additional certificate information in the classification task can have an effect on classification performance, resulting in classifiers that approach acceptable levels of false positives to be practical in the real world. In all, our results exemplify the advantages and disadvantages of several broader approaches to phishing prevention, and demonstrate how combining these approaches can provide a more comprehensive defense than each of its parts taken by itself.

OpenAccess:
Download fulltext PDF
(additional files)