UXPaper Note#6－All about phishing: Exploring user research through a systematic literature review

論文名稱：All about phishing: Exploring user research through a systematic literature review

論文作者：S. Das, A. Kim, Z. Tingle, and C. Nippert-Eng

文獻連結： https://arxiv.org/pdf/1908.05897

閱讀扎記：

網路釣魚(Phishing)是最為大家熟知的網路攻擊之一，導致受害者的帳戶被竊取以及個人資料外洩。”網路釣魚”這個名詞最早出現於1996年，因為使用假郵件去引使用者上當，如同釣魚使用魚餌引誘於魚上鉤的關係。

在網路釣魚攻擊中，攻擊者會利用偽造的數位資訊，吸引受害者交出與自己有關的隱私資料。網路釣魚的成功取決於，攻擊者所給予的”釣餌”與真實正式的網站或是其他數位資訊之間的相似程度。相似程度越高，就越能將受害者搞混。同時，受害者本身對於數位資訊的辨識能力也會導致網路釣魚攻擊成功與否。

這篇文獻透過回顧發佈在ACM digital library上，研究網路釣魚的文獻，進行編碼分析，再從分析結果看出目前網路釣魚研究的趨勢。結果指出大部分的文獻還是較常提到資安軟體的易用性，以及數位資訊的真實性，使用者層面還是很少被提及到。

將分析中最常被探討的議題分成四個層面:科技、個人、好處與威脅。科技層面主要談的是”釣餌”設計，從釣餌的文字內容、圖片與版面設計到假網址。個人層面則是攻擊者會針對受害者的哪些個人特質與過去經驗去客製化釣餌，例如性別、年齡、好奇心等等。好處與威脅則是聚焦於最常見也最有效的網路釣魚攻擊-魚叉式網路攻擊。此攻擊透過社交工程，取得受害者相關資訊並套用在攻擊上，並且會提供受害者捏造的好處或威脅，導致受害者做出過於著急的決策和行動。

目前網路釣魚的研究主要還是在為了做出更好的資安工具，提升資安工具的易用性以及辨別網路攻擊的精確度。很少研究會將焦點放在使用者身上。令人擔憂的是，儘管我們有著相當好的資安工具，但只要一旦受害者上當了，依舊是沒辦法救回來的。

不過從少數針對使用者的研究中，我們可以知道，儘管被攻擊者他的專業背景如何，並不會讓他免於成為受害者。就算是有資訊相關背景的人們，依舊可能會被網路釣魚欺騙。另一個發現是，讓人從一堆網站中辨識真假，儘管提前告訴他們某些網站之中有假的，他們還是會辨識錯誤。

這樣的研究結果是相當正常的，畢竟我們常常會犯下一兩次的過失或錯誤。但只要一次掉入網路釣魚的陷阱，造成的傷害不容我們忽視。為此我們仍然需要找到方法幫助我們免於網路釣魚的攻擊。其中一份研究提出，讓擁有資安背景的專業人士訓練人們對抗網路釣魚會是最有效率的方法。加上同儕間分享與詐騙有關的故事，會有更好的效果。也有研究試圖研發能夠訓練人們分辨真假資訊的遊戲，試圖幫助人們提升辨識能力。

我們需要研究更多人們在面對網路釣魚時的心智模型與行為，例如透過眼動儀研究人們在看釣魚文章時他們如何辨認這個網站是否為真，他們最常注意哪裡，是否有注意到網站奇怪的地方…

知己知彼，百戰百勝。光是了解受害者還不夠，我們也需要了解攻擊者的心智模型。他們如何鎖定目標，如何攻擊受害者(Email或是其他形式)，釣餌內容如何決定…

我們需要更多專注在人們身上的研究，不管是可能成為受害者的我們，或是試圖攻擊我們的人。同時我們也需要好好訓練自己，保護自己免於”上鉤”。資安工具仍然能夠相當好的保護我們，但一旦我們自己上當了，資安工具也無用武之地。

論文名稱：All about phishing: Exploring user research through a systematic literature review

論文作者：S. Das, A. Kim, Z. Tingle, and C. Nippert-Eng

文獻連結： https://arxiv.org/pdf/1908.05897