Why phishing attacks remain a threat for organizations with a robust cyber security

Wahl, Axel Rynjus

http://hdl.handle.net/10400.14/38324

Use this identifier to reference this record.

Name:	Description:	Size:	Format:
202965180.pdf		11.84 MB	Adobe PDF	Download

Send Feedback

Authors

Wahl, Axel Rynjus

Advisor(s)

Rajsingh, Peter

Abstract(s)

Over the last decade, there has been a substantial rise in the number of phishing attacks that harm organizations and individuals. Organizations are investing heavily in cyber security to minimize the risk of becoming a victim of a cyberattack, such as phishing attacks. Paradoxically, with cyber security budgets of organizations continuously increasing each year, the number of attacks that are successful is also increasing. In this thesis, we investigate how organizations with cyber security become victims of phishing attacks, drawing upon academic literature and empirical data collection. We examine the critical factors for why phishing attacks are effective. We then look into how organizations can reduce the risks of becoming a victim of these attacks. We suggest that current measures used to educate employees on cyber security and phishing emails may lack efficacy, since current training and education often fail to adapt to individual variabilities. This implies the need for more adapted training initiatives to increase the effectiveness of measures and hence reduce the probability of loss events. The other factor that leads to organizations and their employees failing to protect themselves from phishing attacks may be the human proclivity towards making unintentional mistakes. However, we argue that organizations need to be careful simply to blame human error as the root cause for phishing attacks becoming a larger threat.

Durante a última década, tem havido um aumento substancial do número de ataques de phishing que prejudicam organizações e indivíduos. As organizações estão a investir fortemente na segurança cibernética para minimizar o risco de se tornarem vítimas de um ataque desta natureza, tais como os ataques de phishing. Paradoxalmente, com os orçamentos de segurança cibernética das organizações a aumentar continuamente todos os anos, o número de ataques bem-sucedidos está também a aumentar. Nesta tese, investigamos como as organizações com segurança cibernética se tornam vítimas de ataques de phishing, recorrendo à literatura académica e à recolha de dados empíricos. Examinamos os fatores críticos para a eficácia dos ataques de phishing. Seguidamente, analisamos de que forma as organizações podem reduzir os riscos de se tornarem vítimas destes ataques. Sugerimos que as medidas atuais utilizadas para instruir os funcionários sobre segurança cibernética e e-mails de phishing podem não ser eficazes, uma vez que a formação e educação atuais muitas vezes não se adaptam às variabilidades individuais. Isto implica a necessidade de iniciativas de formação mais adaptadas para aumentar a eficácia das medidas e, consequentemente, reduzir a probabilidade de eventos de perda. O outro fator que leva as organizações e os seus empregados a não se protegerem dos ataques de phishing pode ser a propensão humana para cometer erros não intencionais. No entanto, argumentamos que as organizações precisam de ter o cuidado de não culparem o erro humano como a única causa dos ataques de phishing.