Biblioteche e Archivi
POLITesi - Archivio digitale delle tesi di laurea e di dottorato

One of the most relevant problem affecting cybersecurity nowadays is Social Engineering and exploiting the human factor as an entry point to abuse systems and networks. Indeed merely trying to prevent infiltration on a technical level and ignoring the physical-social level, cannot guarantee a high standard security level. Social Engineering is a threat that can easily be exploited as it takes advantage of human psychology rather than the technical barricades that surrounds the complete system and must be taken into account while developing a complete cybersecurity framework of a company. One of the most spread form of Social Engineering is the delivery of fake or spoofed emails with a malicious attachment or URL, also known as phishing. Phishing emails are becoming more and more sophisticated thanks to a variety of tools available to the attackers in order to create customized email that look more believable by the targeted users. These tools exploit Opens Source INTelligence (OSINT) to collect elements from the targeted users and help the attacker to create a specific profile of each of his/her victim. Since phishing emails get more sophisticated, the problem of recognize those emails and to distinguish them from valid emails is getting more complex and often automated and AI based solutions fail to recognize them accordingly. This is because phishing emails are getting closer to real email thanks to their well-crafted contents leading the AI based approach prone to more false negative results. Users are also more susceptible to those attacks due to the more contextualized elements, but while AI get tricked by these realistic contents, humans, that are aware of the context, can spot inconsistencies that raise a warning about the reliability of such email. Indeed, human factor can be seen not only as a vulnerability of the cybersecurity framework of a company but also as a strength that can be exploited to face cybersecurity attacks based on Social Engineering. The idea behind this work is to exploit the human ability to spot attempts of security violations in order to enforce and strengthen the whole company security. The idea is based on the Citizen Science approach that puts each individual of a population (in this case of a company) in collaboration in order to provide to a centrally managed system, information and evidence of a phenomenon. The central system collects and integrates all the reported evidence in order to perform an informed synthesis and take the appropriate actions (i.e. blocking web navigation towards specific URLs). Declining this approach in order to fight Social Engineering attacks, more specifically phishing attempts, humans can be seen as sensors that measure the level of threat that each email represents and report the ones that are considered malicious attempts of delivering a malware or baiting for credentials. These sensors must be tested and tuned in order to ensure a better reporting quality and this can be achieved through some simulated campaign that the company can control. Moreover, these sensors can be improved thanks to awareness that can be delivered in the form of a collaborative class or with some nudging provided as a feedback to each report of phishing attempt provided by the user. A continuous nudging and involvement of the user is critical since the objective here is to infuse a sense of cyber-scepticism that should raise in the small window of time in between the user receives the malicious email and decide whether trust it or not. In this work, a framework has been developed in order to enable phishing email reporting and to automate analysis of such emails to extract some relevant features and deceptive elements present in the reported email that can suggest that represent a threat to the company aiming to convince the user into opening a malicious attachment or disclose sensitive information through a malicious site. The framework has been deployed and tested on a small set of users of a real company, which has been stimulated with some simulated campaigns in order to analyse the behaviour of the users and the quality of the response of the overall system to those threats.

Uno dei problemi più rilevanti che riguardano la sicurezza informatica al giorno d'oggi è l'ingegneria sociale e lo sfruttamento del fattore umano come punto di accesso ai sistemi. Infatti, il semplice tentativo di prevenire le infiltrazioni a livello tecnico e di ignorare il livello fisico-sociale non può garantire un livello di sicurezza adeguato. L'ingegneria sociale è una minaccia che può essere facilmente sfruttata in quanto sfrutta la psicologia umana piuttosto che le barricate tecniche che circondano il sistema e devono essere prese in considerazione durante lo sviluppo di un quadro completo di sicurezza informatica di un'azienda. Una delle forme più diffuse di ingegneria sociale è la consegna di e-mail false o contraffatte con un allegato o un URL dannoso, noto anche come phishing. Le e-mail di phishing stanno diventando sempre più sofisticate grazie a una varietà di strumenti disponibili per gli aggressori al fine di creare e-mail personalizzate che sembrano più credibili dagli utenti bersaglio. Questi strumenti sfruttano l'Open Source INTelligence (OSINT) per raccogliere elementi dagli utenti bersaglio e aiutare l'attaccante a creare un profilo specifico di ciascuna delle sue vittime. Poiché le e-mail di phishing diventano più sofisticate, il problema di riconoscerle e di distinguerle dalle e-mail valide sta diventando sempre più complesso e spesso soluzioni basate sull'intelligenza artificiale non le riconoscono di conseguenza. Questo perché le e-mail di phishing assomigliano sempre di più alle e-mail reali grazie ai loro contenuti ben realizzati che portano l'approccio basato sull'intelligenza artificiale a risultati con più falsi negativi. Gli utenti sono anche più sensibili a causa di elementi più contestualizzati, ma mentre l'IA viene ingannata da questi contenuti realistici, gli esseri umani, che sono consapevoli del contesto, possono individuare incoerenze che possono allertare sull'affidabilità di tale e-mail. Infatti, il fattore umano può essere visto non solo come una vulnerabilità del quadro di sicurezza informatica di un'azienda, ma anche come una forza che può essere sfruttata per affrontare attacchi di sicurezza informatica basati sull'ingegneria sociale. L'idea alla base di questo lavoro è quella di sfruttare la capacità umana di individuare tentativi di violazioni della sicurezza al fine di applicare e rafforzare l'intera sicurezza aziendale. L'idea si basa sull'approccio Citizen Science che mette in collaborazione ciascun individuo di una popolazione (in questo caso di un'azienda) al fine di fornire ad un sistema gestito centralmente, informazioni e prove di un fenomeno. Il sistema centrale raccoglie e integra tutte le prove riportate al fine di eseguire una sintesi informata e intraprendere le azioni appropriate (ad esempio, bloccare la navigazione web verso URL specifici). Declinando approccio al fine di combattere gli attacchi di ingegneria sociale, in particolare i tentativi di phishing, gli esseri umani possono essere visti come sensori che misurano il livello di minaccia rappresentato da ciascuna e-mail e segnalano quelli che sono considerati tentativi malevoli di consegnare un malware o attirare le credenziali. Questi sensori devono essere testati e messi a punto per garantire una migliore qualità delle segnalazioni e ciò può essere ottenuto attraverso un campagne simulate che la società può controllare. Inoltre, questi sensori possono essere migliorati grazie alla consapevolezza che può essere fornita sotto forma di lezioni frontali o con alcuni suggerimenti forniti come feedback per ogni segnalazione di tentativo di phishing fornito dall'utente. Un coinvolgimento dell'utente è fondamentale poiché l'obiettivo qui è quello di infondere un senso di cyber-scetticismo. In questo lavoro, è stato sviluppato un framework al fine di consentire la segnalazione e-mail di phishing e automatizzare l'analisi di tali e-mail per estrarre alcune caratteristiche rilevanti ed elementi ingannevoli presenti nell'e-mail segnalata che possono suggerirne la minaccia per l'azienda o che mirano a convincere l'utente ad aprire un allegato dannoso o divulgare informazioni sensibili attraverso un sito malevolo. Il framework è stato implementato e testato su un piccolo gruppo di utenti di una azienda reale, che è stato stimolato con alcune campagne simulate al fine di analizzare il comportamento degli utenti e la qualità della risposta dell'intero sistema a tali minacce.

A human sensor network approach against phishing attacks

MENZAGHI, FABIO
2018/2019

Abstract

One of the most relevant problem affecting cybersecurity nowadays is Social Engineering and exploiting the human factor as an entry point to abuse systems and networks. Indeed merely trying to prevent infiltration on a technical level and ignoring the physical-social level, cannot guarantee a high standard security level. Social Engineering is a threat that can easily be exploited as it takes advantage of human psychology rather than the technical barricades that surrounds the complete system and must be taken into account while developing a complete cybersecurity framework of a company. One of the most spread form of Social Engineering is the delivery of fake or spoofed emails with a malicious attachment or URL, also known as phishing. Phishing emails are becoming more and more sophisticated thanks to a variety of tools available to the attackers in order to create customized email that look more believable by the targeted users. These tools exploit Opens Source INTelligence (OSINT) to collect elements from the targeted users and help the attacker to create a specific profile of each of his/her victim. Since phishing emails get more sophisticated, the problem of recognize those emails and to distinguish them from valid emails is getting more complex and often automated and AI based solutions fail to recognize them accordingly. This is because phishing emails are getting closer to real email thanks to their well-crafted contents leading the AI based approach prone to more false negative results. Users are also more susceptible to those attacks due to the more contextualized elements, but while AI get tricked by these realistic contents, humans, that are aware of the context, can spot inconsistencies that raise a warning about the reliability of such email. Indeed, human factor can be seen not only as a vulnerability of the cybersecurity framework of a company but also as a strength that can be exploited to face cybersecurity attacks based on Social Engineering. The idea behind this work is to exploit the human ability to spot attempts of security violations in order to enforce and strengthen the whole company security. The idea is based on the Citizen Science approach that puts each individual of a population (in this case of a company) in collaboration in order to provide to a centrally managed system, information and evidence of a phenomenon. The central system collects and integrates all the reported evidence in order to perform an informed synthesis and take the appropriate actions (i.e. blocking web navigation towards specific URLs). Declining this approach in order to fight Social Engineering attacks, more specifically phishing attempts, humans can be seen as sensors that measure the level of threat that each email represents and report the ones that are considered malicious attempts of delivering a malware or baiting for credentials. These sensors must be tested and tuned in order to ensure a better reporting quality and this can be achieved through some simulated campaign that the company can control. Moreover, these sensors can be improved thanks to awareness that can be delivered in the form of a collaborative class or with some nudging provided as a feedback to each report of phishing attempt provided by the user. A continuous nudging and involvement of the user is critical since the objective here is to infuse a sense of cyber-scepticism that should raise in the small window of time in between the user receives the malicious email and decide whether trust it or not. In this work, a framework has been developed in order to enable phishing email reporting and to automate analysis of such emails to extract some relevant features and deceptive elements present in the reported email that can suggest that represent a threat to the company aiming to convince the user into opening a malicious attachment or disclose sensitive information through a malicious site. The framework has been deployed and tested on a small set of users of a real company, which has been stimulated with some simulated campaigns in order to analyse the behaviour of the users and the quality of the response of the overall system to those threats.
ZANERO, STEFANO
ING - Scuola di Ingegneria Industriale e dell'Informazione
29-apr-2020
2018/2019
Uno dei problemi più rilevanti che riguardano la sicurezza informatica al giorno d'oggi è l'ingegneria sociale e lo sfruttamento del fattore umano come punto di accesso ai sistemi. Infatti, il semplice tentativo di prevenire le infiltrazioni a livello tecnico e di ignorare il livello fisico-sociale non può garantire un livello di sicurezza adeguato. L'ingegneria sociale è una minaccia che può essere facilmente sfruttata in quanto sfrutta la psicologia umana piuttosto che le barricate tecniche che circondano il sistema e devono essere prese in considerazione durante lo sviluppo di un quadro completo di sicurezza informatica di un'azienda. Una delle forme più diffuse di ingegneria sociale è la consegna di e-mail false o contraffatte con un allegato o un URL dannoso, noto anche come phishing. Le e-mail di phishing stanno diventando sempre più sofisticate grazie a una varietà di strumenti disponibili per gli aggressori al fine di creare e-mail personalizzate che sembrano più credibili dagli utenti bersaglio. Questi strumenti sfruttano l'Open Source INTelligence (OSINT) per raccogliere elementi dagli utenti bersaglio e aiutare l'attaccante a creare un profilo specifico di ciascuna delle sue vittime. Poiché le e-mail di phishing diventano più sofisticate, il problema di riconoscerle e di distinguerle dalle e-mail valide sta diventando sempre più complesso e spesso soluzioni basate sull'intelligenza artificiale non le riconoscono di conseguenza. Questo perché le e-mail di phishing assomigliano sempre di più alle e-mail reali grazie ai loro contenuti ben realizzati che portano l'approccio basato sull'intelligenza artificiale a risultati con più falsi negativi. Gli utenti sono anche più sensibili a causa di elementi più contestualizzati, ma mentre l'IA viene ingannata da questi contenuti realistici, gli esseri umani, che sono consapevoli del contesto, possono individuare incoerenze che possono allertare sull'affidabilità di tale e-mail. Infatti, il fattore umano può essere visto non solo come una vulnerabilità del quadro di sicurezza informatica di un'azienda, ma anche come una forza che può essere sfruttata per affrontare attacchi di sicurezza informatica basati sull'ingegneria sociale. L'idea alla base di questo lavoro è quella di sfruttare la capacità umana di individuare tentativi di violazioni della sicurezza al fine di applicare e rafforzare l'intera sicurezza aziendale. L'idea si basa sull'approccio Citizen Science che mette in collaborazione ciascun individuo di una popolazione (in questo caso di un'azienda) al fine di fornire ad un sistema gestito centralmente, informazioni e prove di un fenomeno. Il sistema centrale raccoglie e integra tutte le prove riportate al fine di eseguire una sintesi informata e intraprendere le azioni appropriate (ad esempio, bloccare la navigazione web verso URL specifici). Declinando approccio al fine di combattere gli attacchi di ingegneria sociale, in particolare i tentativi di phishing, gli esseri umani possono essere visti come sensori che misurano il livello di minaccia rappresentato da ciascuna e-mail e segnalano quelli che sono considerati tentativi malevoli di consegnare un malware o attirare le credenziali. Questi sensori devono essere testati e messi a punto per garantire una migliore qualità delle segnalazioni e ciò può essere ottenuto attraverso un campagne simulate che la società può controllare. Inoltre, questi sensori possono essere migliorati grazie alla consapevolezza che può essere fornita sotto forma di lezioni frontali o con alcuni suggerimenti forniti come feedback per ogni segnalazione di tentativo di phishing fornito dall'utente. Un coinvolgimento dell'utente è fondamentale poiché l'obiettivo qui è quello di infondere un senso di cyber-scetticismo. In questo lavoro, è stato sviluppato un framework al fine di consentire la segnalazione e-mail di phishing e automatizzare l'analisi di tali e-mail per estrarre alcune caratteristiche rilevanti ed elementi ingannevoli presenti nell'e-mail segnalata che possono suggerirne la minaccia per l'azienda o che mirano a convincere l'utente ad aprire un allegato dannoso o divulgare informazioni sensibili attraverso un sito malevolo. Il framework è stato implementato e testato su un piccolo gruppo di utenti di una azienda reale, che è stato stimolato con alcune campagne simulate al fine di analizzare il comportamento degli utenti e la qualità della risposta dell'intero sistema a tali minacce.
Tesi di laurea Magistrale
Tesi di laurea Magistrale
File allegati
File Dimensione Formato  
tesi_menzaghi_v1.1.pdf

non accessibile

Descrizione: Thesis text
Dimensione 1.96 MB
Formato Adobe PDF
  Visualizza/Apri
1.96 MB Adobe PDF   Visualizza/Apri

I documenti in POLITesi sono protetti da copyright e tutti i diritti sono riservati, salvo diversa indicazione.

Utilizza questo identificativo per citare o creare un link a questo documento: https://hdl.handle.net/10589/165169