Ny metod varnar dig för skumrask online
DigitaliseringKriminalitetMedia och kommunikationVi vet att vi inte ska klicka på konstiga länkar eller uppge våra lösenord. Ändå sker det. Nu behövs nya metoder för att bekämpa digitala attacker, enligt forskning från Högskolan i Skövde.
Många gör idag mycket av sina vardagsbestyr digitalt – delta i jobbsamtal, betala räkningar, göra ärenden hos Försäkringskassan och handla mat och kläder. Samtidigt frodas brottsligheten i den digitala världen och attackerna mot myndigheter, företag, organisationer och privatpersoner ökar.
Bedragare lurar människor att ge information
Majoriteten av alla cybersäkerhetsincidenter beror på, eller börjar med, ett angrepp mot användare. Det säger Joakim Kävrestad, doktorand i informationsteknologi på Högskolan i Skövde. Han har i sitt avhandlingsarbete forskat på metoder för att utbilda användare i cybersäkerhet.
– Man utnyttjar helt enkelt människans grundläggande funktion för att lura till sig information, eller få en användare att genomföra handlingar som leder till en incident. Det inkluderar exempelvis phishing eller att nyttja svaga lösenord, säger Joakim Kävrestad.
Phishing, lösenordsfiske
Nätfiske, lösenordsfiske, eller “phishing” är en olaglig metod att lura människor att dela med sig av kreditkortsnummer, lösenord eller annan känslig information.
Det sker ofta via mejl som ser ut att komma från exempelvis en bank eller ett kreditkortsbolag. Mejlen, som kan vara mycket välgjorda, innehåller en uppmaning att logga in snarast möjligt samt en länk till en falsk webbsida med inloggningsformulär. Budskapet är att det har uppstått ett problem med kundens konto och att användaren behöver uppge lösenord eller liknande så att felet kan åtgärdas.
Källa: Wikipedia
Vi vet vad vi ska göra – och gör ändå fel
Ett problem i kampen mot digitala attacker är att ökad kunskap hos människor inte nödvändigtvis leder till ett bättre beteende.
Många användare vet exempelvis att de inte ska klicka på länkar från okända avsändare. Ändå är phishing, se faktaruta, fortfarande en effektiv attackmetod.
Joakim Kävrestads forskning visar också att det är svårt för människor att agera säkert i många situationer. De krav som ställs på användarna är svåra att uppfylla. Även användare som gör ”allting rätt” har svårt att avgöra om phishingmejl är legitima eller inte.
Detta visar, menar Joakim Kävrestad, att dagens metoder mot bedrägerier och attacker inte är tillräckliga.
Program varnar för riskfyllda situationer
I sin forskning har han tagit fram en metod som kan ge användare stöd när de befinner sig i riskfyllda situationer på internet. I den ingår att nätanvändaren har ett program som upptäcker situationer då han eller hon kan behöva säkerhetsstöd – och då erbjuder stödet.
– Effekten är att användaren får information och samtidigt blir påmind om att vara på sin vakt. Jag har kunnat visa hur den här metoden är effektivare än andra metoder för säkerhetsträning när det kommer till att förbättra beteende, och att metoden uppskattas av användarna. Tillsammans med kollegor har jag också byggt två fungerande programvaror som ger träning på detta sätt.
De programvaror som har utvecklats inom forskningsprojektet är fritt fram för alla att använda som de är, eller modifiera efter eget behov.
Avhandling:
Context-Based Micro-Training – Enhancing cybersecurity training for end-users, Joakim Kävrestad.
Kontakt:
Joakim Kävrestad, doktorand i informationsteknologi
joakim.kavrestad@his.se