[论文解读] All About Phishing: Exploring User Research through a Systematic Literature Review
本篇系统文献回顾分析了来自ACM数字图书馆的367篇关于网络钓鱼的同行评审论文,发现仅有13.9%(51项研究)通过调查和访谈等实证方法关注用户行为。该研究揭示了方法论报告和参与者招募实践中的关键缺陷,呼吁提升以用户为中心的网络钓鱼研究的严谨性,以增强现实世界的安全干预措施。
Phishing is a well-known cybersecurity attack that has rapidly increased in recent years. It poses legitimate risks to businesses, government agencies, and all users due to sensitive data breaches, subsequent financial and productivity losses, and social and personal inconvenience. Often, these attacks use social engineering techniques to deceive end-users, indicating the importance of user-focused studies to help prevent future attacks. We provide a detailed overview of phishing research that has focused on users by conducting a systematic literature review of peer-reviewed academic papers published in ACM Digital Library. Although published work on phishing appears in this data set as early as 2004, we found that of the total number of papers on phishing (N = 367) only 13.9% (n = 51) focus on users by employing user study methodologies such as interviews, surveys, and in-lab studies. Even within this small subset of papers, we note a striking lack of attention to reporting important information about methods and participants (e.g., the number and nature of participants), along with crucial recruitment biases in some of the research.
研究动机与目标
- 通过系统文献回顾评估以用户为中心的网络钓鱼研究现状。
- 确定采用用户研究方法(如调查、访谈和实验室实验)的网络钓鱼研究所占比例。
- 评估以用户为中心的网络钓鱼研究中文献的方法论报告质量,特别是关于参与者细节和招募实践的部分。
- 揭示现有网络钓鱼用户研究中系统性偏差和报告缺口。
提出的方法
- 对ACM数字图书馆中发表的同行评审学术论文进行了系统文献回顾。
- 使用与网络安全、人机交互和计算机科学相关的关键词和主题分类,搜索网络钓鱼相关论文。
- 根据预设标准筛选出367篇相关且符合纳入条件的论文,重点聚焦于涉及最终用户行为的研究。
- 根据是否采用用户研究方法(如调查、访谈、实验室实验)对研究进行分类。
- 分析方法论报告质量,特别是关于参与者数量、人口统计特征和招募策略的部分。
- 识别并记录常见问题,如参与者信息报告不足和潜在的招募偏差。
实验结果
研究问题
- RQ1有多少比例的网络钓鱼研究通过实证用户研究关注最终用户?
- RQ2文献中用户研究方法的报告严谨性如何,特别是关于参与者特征和招募方式的部分?
- RQ3以用户为中心的网络钓鱼研究中常见的方法论缺陷是什么?
- RQ4用户研究中的招募实践在多大程度上导致了网络钓鱼研究结果的偏差?
主要发现
- 在所审查的367篇网络钓鱼论文中,仅有13.9%(n = 51)采用了调查、访谈或实验室实验等用户研究方法。
- 大多数以用户为中心的研究未能报告关键的方法论细节,包括参与者数量和性质。
- 许多研究存在招募偏差,例如依赖便利样本(如大学生),这限制了研究发现的普适性。
- 尽管社会工程在钓鱼攻击中普遍存在,但用户研究在文献中仍代表性不足且方法论不一致。
- 该回顾识别出报告标准中的关键缺口,即参与者选择和描述方式缺乏透明度。
- 研究结果强调了未来以用户为中心的网络钓鱼研究中亟需提升方法论严谨性和报告标准。
更好的研究,从现在开始
从论文设计到论文写作,大幅缩短您的研究时间。
无需绑定信用卡
本解读由 AI 生成,并经人工编辑审核。