Advertisement

Kommunikation als Gefahr

Nutzerreaktion auf Nachrichten mit verdächtigen Links per E‑Mail und Facebook
  • Freya GassmannEmail author
  • Zinaida Benenson
  • Robert Landwirth
Hauptbeiträge
  • 87 Downloads

Zusammenfassung

Links in Nachrichten können ein erhebliches Sicherheitsrisiko darstellen, da sich dahinter Schadsoftware oder Phishing-Versuche verbergen können. In der Soziologie wurde Phishing, im Gegensatz zur Informatik, bislang kaum untersucht. Mithilfe eines Feldexperiments (n = 1255) sowie einer standardisierten Online-Befragung (n = 716) werden zum einen die Reaktionen von Personen, die eine Nachricht einer nichtexistierenden Person mit einem Link über Facebook oder E‑Mail erhalten haben, empirisch durch multiple logistische Regressionsverfahren verglichen. Zum anderen wird der Versuch einer ersten theoretischen soziologischen Betrachtung mittels des Modells der Frame-Selektion unternommen.

Es zeigt sich, dass 20 % der Empfänger auf E‑Mail-Phishing-Nachrichten reagierten; bei Nachrichten über Facebook liegt dieser Anteil mit 42 % fast doppelt so hoch. Generell reagieren neugierige Probanden eher auf die Nachrichten. Entgegen den Annahmen des theoretischen Modells klicken Personen, die der Nachricht mehr Aufmerksamkeit schenken, eher auf den Link. Das Wissen um mögliche Gefahren durch Anhänge von E‑Mails gepaart mit einer hohen Aufmerksamkeit führt in Übereinstimmung mit den theoretischen Überlegungen dazu, dass eher nicht angeklickt wird.

Schlüsselwörter

Spear-Phishing Facebook Experiment Links in Nachrichten Modell der Frame-Selektion 

Communication as a threat

Users’ reactions to email and Facebook messages with suspicious links

Abstract

Links in messages can imply a significant security risk because they may contain malware or phishing attempts. In contrast to computer science, phishing has rarely been studied in sociology. Using a field experiment (n = 1255) and a standardized online survey (n = 716), reactions of people who received a Facebook or email message with a link from a non-existing person were empirically compared using multiple logistic regressions. Further, the frame selection model was used to propose a first theoretical sociological approach.

The results showed that, for emails, 20% of recipients responded to phishing messages while, for Facebook, the percentage more than doubled, with 42%. In general, curious readers clicked on the link more often. Contrary to the assumptions of the theoretical model, people who pay more attention to the message are more likely to click on the link. In accordance with the theoretical model, knowledge about possible dangers via email attachments paired with high attention lead to non-clicking.

Keywords

Spear phishing Facebook experiment links in messages Model of Frame Selection 

Notes

Danksagung

Die Autoren danken den Gutachtern sowie dem Herausgeberkreis – im Besonderen Christoph Musik – für konstruktive Hinweise.

Literatur

  1. Alsharnouby, Mohamed. Furkan Alaca und Sonia Chiasson. 2015. Why phishing still works: user strategies for combating phishing attacks. International Journal of Human-Computer Studies 82:69–82.Google Scholar
  2. Badke-Schaub, Petra, Gesine Hofinger, und Kristina Lauche. 2012. Human Factors. In Human Factors. Psychologie sicheren Handelns in Risikobranchen, Hrsg. Petra Badke-Schaub, Gesine Hofinger, und Kristina Lauche, 4–20. Berlin: Springer.Google Scholar
  3. Benenson, Zinaida, Freya Gassmann, und Robert Landwirth. 2017. Unpacking spear phishing susceptibility. In Financial cryptography and data security. FC 2017 Lecture Notes in Computer Science, Bd. 10323, Hrsg. Michael Brenner, Kurt Rohloff, Joseph Bonneau, Andrew Miller, Peter Y.A. Ryan, und Vanessa Teague, 610–627. Cham: Springer.CrossRefGoogle Scholar
  4. Benenson, Zinaida, Anna Girard, Nadina Hintz, und Andreas Luder. 2014. Susceptibility to URL-based Internet attacks: Facebook vs. email. 6th IEEE International Workshop on SEcurity and SOCial Networking (SESOC), Bd. 2014, 604–609.Google Scholar
  5. Blythe, Mark, Helen Petrie, und John A. Clark. 2011. F for fake: four studies on how we fall for Phish. Proceedings of the SIGCHI Conference on Human Factors in Computing Systems, CHI, Bd. 2011, 3469–3478.Google Scholar
  6. Caputo, Deana D., Shari Lawrence Pfleeger, Jesse D. Freeman, und M. Eric Johnson. 2014. Going spear phishing: exploring embedded training and awareness. IEEE Security & Privacy 12:28–38.CrossRefGoogle Scholar
  7. Cortina, Jose M. 1993. What is coefficient Alpha? An examination of theory and applications. Journal of Applied Psychology 78:98–104.CrossRefGoogle Scholar
  8. Downs, Julie S., Mandy B. Holbrook, und Lorie Faith Cranor. 2006. Decision strategies and susceptibility to phishing. Proceedings of the Second Symposium on Usable Privacy and Security, SOUPS, Bd. 2006, 79–90.Google Scholar
  9. Esser, Hartmut. 2000. Soziales Handeln. Soziologie. Spezielle Grundlagen, Bd. 3. Frankfurt am Main: Campus.Google Scholar
  10. Esser, Hartmut. 2001. Sinn und Kultur. Soziologie. Spezielle Grundlagen, Bd. 6. Frankfurt am Main: Campus.Google Scholar
  11. Esser, Hartmut. 2006. Eines für alle(s)? Das Weber-Paradigma, das Konzept des moderaten methodologischen Holismus und das Modell der soziologischen Erklärung. Kölner Zeitschrift für Soziologie und Sozialpsychologie 58:352–364.CrossRefGoogle Scholar
  12. Goucher, Wendy. 2010. Being a cybercrime victim. Computer Fraud & Security 10:16–18.Google Scholar
  13. Graumann, Carl F. 1972. Interaktion und Kommunikation. In Sozialpsychologie Handbuch der Psychologie, Bd. 7, Hrsg. Carl F. Graumann, 1117–1123. Göttingen: Hogrefe.Google Scholar
  14. Greene, William H. 2003. Econometric analysis, 5. Aufl., Upper Saddle River: Prentice Hall.Google Scholar
  15. Hintz, Nadina, Markus Engelberth, Zina Benenson, und Felix Freiling. 2014. Phishing still works: Erfahrungen und Lehren aus der Durchführung von Phishing-Experimenten. In GI-Sicherheit 2014, Wien, 19.03.2014, Bd. 7, Hrsg. Gesellschaft für Informatik e. V. (GI). Wien: Köllen Druck+Verlag.Google Scholar
  16. Hofinger, Gesine. 2012. Fehler und Unfälle. In Human Factors. Psychologie sicheren Handelns in Risikobranchen, Hrsg. Petra Badke-Schaub, Gesine Hofinger, und Kristina Lauche, 39–60. Berlin: Springer.Google Scholar
  17. Hong, Jason. 2012. The State of Phishing Attacks. Communications of the ACM 55:74–81.CrossRefGoogle Scholar
  18. Jagatic, Tom N., A. Johnson Nathaniel, Markus Jakobsson, und Filippo Menczer. 2007. Social phishing. Communications of the ACM 50:94–100.CrossRefGoogle Scholar
  19. Jakobsson, Markus, und Jacob Ratkiewicz. 2006. Designing ethical phishing experiments: a study of (ROT13) rOnl query features. 15th International Conference on World Wide Web, Bd. 2006, 513–522.Google Scholar
  20. Kroneberg, Clemens. 2005. Die Definition der Situation und die variable Rationalität der Akteure. Ein allgemeines Modell des Handelns. Zeitschrift für Soziologie 34:344–363.CrossRefGoogle Scholar
  21. Kumaraguru, Ponnurangam, Steve Sheng, Allessandro Acquisti, Lorrie Faith Cranor, und Jason Hong. 2008. Lessons from a real world evaluation of anti-phishing training. Anti-Phishing Working Group. eCrime Researchers Summit, IEEE Conference, Bd. 2008, 1–12.Google Scholar
  22. Latour, Bruno. 2006. Über technische Vermittlung; Philosophie, Soziologie und Genealogie. In ANThology. Ein einführendes Handbuch zur Akteur-Netzwerk-Theorie, Hrsg. Andréa Belliger, David J. Krieger, 483–528. Bielefeld: transcript.Google Scholar
  23. Long, J. Scott, und Jeremy Freese. 2014. Regression Models for Categorial Dependent Variables Using Stata, 3. Aufl., College Station, Texas: Stata Press.Google Scholar
  24. Oliveira, Daniela, Harold Rocha, Yang Huizi, Donovan Ellis, Sandeep Dommaraju, Melis Muradoglu, Devon Weir, Adam Soliman, Lin Tian, und Natalie Ebner. 2017. Dissecting spear phishing emails for older vs. young adults: on the interplay of weapons of influence and life domains in predicting susceptibility to phishing. Proceedings of the SIGCHI Conference on Human Factors in Computing Systems, CHI, Bd. 2017, 6–11.Google Scholar
  25. Schaub, Harald. 2012. Wahrnehmung, Aufmerksamkeit und „Situation Awareness“ (SA). In Human Factors. Psychologie sicheren Handelns in Risikobranchen, Hrsg. Petra Badke-Schaub, Gesine Hofinger, und Kristina Lauche, 63–81. Berlin: Springer.Google Scholar
  26. Schwarzer, Ralf, und Britta Renner. 1997. Risikoeinschätzung und Optimismus. In Gesundheitspsychologie, Hrsg. Ralf Schwarzer, 43–66. Göttingen: Hogrefe.Google Scholar
  27. Sheng, Steve, Mandy Holbrook, Ponnurangam Kumaraguru, Lorrie Cranor, und Julie Downs. 2010. Who falls for phish? A demographic analysis of phishing susceptibility and effectiveness of interventions. Proceedings of the SIGCHI Conference on Human Factors in Computing Systems, Bd. 2010, 373–382.Google Scholar
  28. Weber, Max. 1980. Wirtschaft und Gesellschaft. Grundriss der verstehenden Soziologie, 5. Aufl., Tübingen: Mohr-Siebeck. 1. Aufl. 1922.Google Scholar
  29. Wolff, Hans-Georg, und Johann Bacher. 2010. Hauptkomponentenanalyse und explorative Faktorenanalyse. In Handbuch der sozialwissenschaftlichen Datenanalyse, Hrsg. Christof Wolf, Henning Best, 333–365. Wiesbaden: Verlag für Sozialwissenschaften.CrossRefGoogle Scholar

Copyright information

© Österreichische Gesellschaft für Soziologie 2019

Authors and Affiliations

  • Freya Gassmann
    • 1
    Email author
  • Zinaida Benenson
    • 2
  • Robert Landwirth
    • 3
  1. 1.Universität des SaarlandesSaarbrückenDeutschland
  2. 2.Friedrich-Alexander-Universität Erlangen-NürnbergErlangenDeutschland
  3. 3.Technische Universität Darmstadt/Fraunhofer SITDarmstadtDeutschland

Personalised recommendations