Der Phish und die Nutzerin: Formalisierung, Konzeption und Analyse

Abstract

Phishing-Angriffe sind im Internetzeitalter eine dauerhafte Erscheinung geworden. Eine nur technische Lösung zur Phishing-Bekämpfung bei E-Mails wurde bisher noch nicht gefunden. Stattdessen sind Nutzerinnen häufig gefordert die Angriffe selbst abzuwehren und werden hierfür geschult. In dieser Arbeit wird ausgehend von einer Beschreibung aktueller Phishing-Angriffe eine formale Modellierung zur Sicherheitsanalyse von Sicherheitsverfahren in der Darstellung von Phishing-Angriffen entwickelt. Diese Modellierung bildet eine Brücke zwischen den Formalismen aus der Sicherheitsforschung und der Kognitionswissenschaft. Die Gefahren bei der Darstellung von E-Mail-Adressen werden durch Erkenntnisse der Kognitionswissenschaft empirisch gezeigt. Damit werden allgemeine Heuristiken zur Erkennung von möglichen Gefahrenquellen bei der Darstellung abgeleitet. Ausgehend von der kognitiven Eigenschaft zur guten Wiedererkennung von Gesichtern wird ein Verfahren zur Darstellung von Absenderinnen vorgestellt und analysiert. Die Arbeit bietet damit eine neue Perspektive auf Phishing-Angriffe und menschen-zentrierte Sicherheit im Allgemeinen.