kth.sePublications
Change search
CiteExportLink to record
Permanent link

Direct link
Cite
Citation style
  • apa
  • ieee
  • modern-language-association-8th-edition
  • vancouver
  • Other style
More styles
Language
  • de-DE
  • en-GB
  • en-US
  • fi-FI
  • nn-NO
  • nn-NB
  • sv-SE
  • Other locale
More languages
Output format
  • html
  • text
  • asciidoc
  • rtf
Why Phishing Works on Smartphones
KTH, School of Electrical Engineering and Computer Science (EECS).
KTH, School of Electrical Engineering and Computer Science (EECS).
2020 (English)Independent thesis Basic level (degree of Bachelor), 10 credits / 15 HE creditsStudent thesisAlternative title
Varför smartphone-phishing fungerar (Swedish)
Abstract [en]

Phishing is a form of internet fraud where an attacker attempts to acquire sensitive information from a target by posing as a trustworthy entity. One strategy to fool the target is to create a spoofed (illegitimate copy) of a legitimate website. But why do people fall for spoofed sites in smartphone browsers, and what security indicators are utilized or not when a user decides the legitimacy of a website? Can smartphone browsers make it easier for users to identify phishing sites? In this study, 20 participants were observed when they analyzed and classified websites as legitimate or spoofed on their own smartphones. 17 websites (8 spoofed and 9 legitimate) were presented to the participants in random order and classified by the participants.

The best phishing site fooled 50%, and on average participants classified 69% of the websites correctly, similar to previous studies results. The URL was used as an indicator by a majority of the participants (80%), a result that also matches previous similar studies. This indicates that user behaviour and ease of identifying spoofed and legitimate websites is not very different in a smartphone browser compared to a desktop computer browser. Those not evaluating the URL performed the worst. Almost all of the participants (>90%) used the content of the website (design, information, functionality) at least once when deciding if a website was spoofed or legitimate. Just one participant used Google to find the legitimate websites and compare to the one he was presented with in the study. He was the only participant with a success rate of 100%.

We suggest that browsers put more emphasis on the domain name, and that browser developers should even consider hiding sub domains in the smartphone address bar.

Abstract [sv]

Phishing är en typ av internetbedrägeri där en bedragare försöker komma åt känslig information från ett offer genom att utge sig för att vara någon annan. En strategi som är vanlig är att bedragaren skapar en falsk kopia av en verklig hemsida. Men varför faller användare för phishing i smartphone-webbläsare, och vilka säkerhetsindikatorer används för att avgöra om en sida är äkta eller falsk? Kan smartphone-webbläsare göra det enklare att identifiera phishing-sidor? I denna studie observerades 20 deltagare när de analyserade och klassificerade hemsidor som legitima eller falska. 17 hemsidor (8 falska och 9 äkta) presenterades för deltagarna i slumpad ordning och klassificerades.

Den bästa phishing-sidan lurade 50%, men i genomsnitt gissade deltagarna rätt i 69% av fallen, ett resultat som överensstämmer med tidigare liknande studier. En majoritet av deltagarna (80%) använde URL:en som en indikator, något som också överensstämmer med tidigare studier. Detta indikerar att användares beteende och förmåga att identifiera äkta och falska hemsidor i en webbläsare inte skiljer sig särskilt mycket mellan smartphone och dator. De som inte tittade på URL:en hade lägst antal rätt. Nästan alla deltagare (>90%) använde sig av sidans innehåll (design, information, funktionalitet) åtminstone en gång när de skulle avgöra om en sida var äkta eller falsk. En enda deltagare använde Google för att hitta de legitima sidorna och jämföra med de han fick presenterade framför sig i studien. Han var den enda deltagaren som identifierade alla sidor i studien korrekt.

Vi föreslår att webbläsare tydliggör domännamnet i större utsträckning och att utvecklare av webbläsare till och med bör överväga att helt dölja subdomäner i adressfältet på smartphones.

Place, publisher, year, edition, pages
2020. , p. 39
Series
TRITA-EECS-EX ; 2020:351
National Category
Computer Sciences
Identifiers
URN: urn:nbn:se:kth:diva-280092OAI: oai:DiVA.org:kth-280092DiVA, id: diva2:1463776
Subject / course
Computer and Systems Sciences
Educational program
Master of Science in Engineering - Computer Science and Technology
Supervisors
Examiners
Available from: 2020-09-03 Created: 2020-09-03 Last updated: 2022-06-25Bibliographically approved

Open Access in DiVA

fulltext(3287 kB)436 downloads
File information
File name FULLTEXT01.pdfFile size 3287 kBChecksum SHA-512
e2dddd4d602fb6d59ac229e41e88b9b5f0eeffbddeac3199e7e5132cfade3b377cc24d8532851f18cf24cf0b133ccc1d629adeb8402d7e50aeb2a89e40c73b35
Type fulltextMimetype application/pdf

By organisation
School of Electrical Engineering and Computer Science (EECS)
Computer Sciences

Search outside of DiVA

GoogleGoogle Scholar
Total: 436 downloads
The number of downloads is the sum of all downloads of full texts. It may include eg previous versions that are now no longer available

urn-nbn

Altmetric score

urn-nbn
Total: 1116 hits
CiteExportLink to record
Permanent link

Direct link
Cite
Citation style
  • apa
  • ieee
  • modern-language-association-8th-edition
  • vancouver
  • Other style
More styles
Language
  • de-DE
  • en-GB
  • en-US
  • fi-FI
  • nn-NO
  • nn-NB
  • sv-SE
  • Other locale
More languages
Output format
  • html
  • text
  • asciidoc
  • rtf