Research

SoK: Human-Centered Phishing Susceptibility

2 min. czytania

Pobierz PDF

SoK: Human-Centered Phishing Susceptibility

Metadane

  • Autorzy: Sijie Zhuo, Robert Biddle, Yun Sing Koh, Danielle Lottridge, Giovanni Russello (University of Auckland)
  • Rok: 2022
  • Źródło: arXiv:2202.07905
  • DOI: arxiv:2202.07905
  • Status: #read
  • Kategoria: Security / Human Factors
  • Tagi: #phishing #human-factors #susceptibility #sok #security-awareness #cognitive-psychology

Streszczenie

Systematization of Knowledge (SoK) paper przeglądający literaturę dotyczącą ludzkiej podatności na ataki phishingowe. Autorzy proponują trójetapowy Phishing Susceptibility Model (PSM) wyjaśniający jak ludzie są zaangażowani w detekcję i prewencję phishingu. Model systematycznie taksonomizuje zmienne podatności badane w literaturze.

SoK identyfikuje luki badawcze uniemożliwiające pełne zrozumienie podatności: brak standardowych metodik eksperymentalnych, niska jakość dowodów w wielu badaniach, brak generalizacji wyników między kontekstami. Proponuje practical impact assessment wartości badania poszczególnych zmiennych podatności oraz kryteria jakości dowodów jako wytyczne dla przyszłych badań.

Kluczowe Wnioski

  • Ludzie pozostają ostatnią linią obrony po tym jak phishing emails dotrą do klienta pocztowego
  • Trzyetapowy PSM: (1) ocena prawdziwości emaila, (2) ocena ryzyka kliknięcia, (3) podjęcie decyzji
  • Zmienne podatności można taksonomizować: demograficzne, kognitywne, behawioralne, sytuacyjne
  • Wiele badań ma niską jakość dowodów: małe próby, brak kontroli zmiennych, ograniczona replikowalność
  • Spear-phishing i whaling mają wyższy success rate ze względu na targeting

Metodologia

Systematyczny przegląd literatury + taksonomia zmiennych. Propozycja modelu PSM jako framework do organizacji wiedzy. Practical impact assessment dla priorytetyzacji badań.

Główne Koncepcje

  • Phishing Susceptibility Model (PSM): trójetapowy model kognitywny decyzji phishingowej
  • Susceptibility variables: demograficzne (wiek, płeć, doświadczenie), kognitywne (impulsywność, Big-5), sytuacyjne (kontekst, czas, obciążenie)
  • Quality of evidence criteria: framework oceny jakości dowodów empirycznych w badaniach podatności
  • Practical impact assessment: priorytetyzacja zmiennych wg wartości naukowej i praktycznej

Wyniki

Taksonomia zmiennych podatności, PSM model, identyfikacja luk badawczych. Brak własnych danych empirycznych (SoK/review paper).

Przydatne Cytaty

  • “People remain the last line of defence after phishing emails reach their email client”
  • “The factors that cause humans to be susceptible to phishing attacks are still not well-understood”

Datasety

Brak własnych (metaanaliza istniejącej literatury).

Powiązane Tematy

  • RCT design dla phishing simulation (#PSE-1)
  • Self-reported Surprise Score jako mediator (#PSE-2)
  • Demographic moderators w symulacjach (#PSE-5)
  • Human factors w spear phishingu (#SP-4)

Notatki

Elementów w folderze: 0.