Skip to main content
QUICK REVIEW

[论文解读] Personalized Security Indicators to Detect Application Phishing Attacks in Mobile Platforms

Claudio Marforio, Ramya Jayaram Masti|arXiv (Cornell University)|Feb 24, 2015
Spam and Phishing Detection参考文献 31被引用 28
一句话总结

本文提出个性化安全标识作为抵御移动应用钓鱼攻击的有效且低成本的防御手段。通过大规模用户研究证明,使用个性化标识的用户在识别钓鱼攻击方面显著优于未使用它们的用户,挑战了此前认为其无效的假设。一种新颖的安全设置协议进一步增强了在对抗性环境下的解决方案。

ABSTRACT

Phishing in mobile applications is a relevant threat with successful attacks reported in the wild. In such attacks, malicious mobile applications masquerade as legitimate ones to steal user credentials. In this paper we categorize application phishing attacks in mobile platforms and possible countermeasures. We show that personalized security indicators can help users to detect phishing attacks and have very little deployment cost. Personalized security indicators, however, rely on the user alertness to detect phishing attacks. Previous work in the context of website phishing has shown that users tend to ignore the absence of security indicators and fall victim of the attacker. Consequently, the research community has deemed personalized security indicators as an ineffective phishing detection mechanism. We evaluate personalized security indicators as a phishing detection solution in the context of mobile applications. We conducted a large-scale user study where a significant amount of participants that used personalized security indicators were able to detect phishing. All participants that did not use indicators could not detect the attack and entered their credentials to a phishing application. We found the difference in the attack detection ratio to be statistically significant. Personalized security indicators can, therefore, help phishing detection in mobile applications and their reputation as an anti-phishing mechanism should be reconsidered. We also propose a novel protocol to setup personalized security indicators under a strong adversarial model and provide details on its performance and usability.

研究动机与目标

  • 评估个性化安全标识在检测移动应用钓鱼攻击方面的有效性。
  • 通过在真实移动环境中测试标识,而非仅限于网络场景,解决先前研究的局限性。
  • 设计并实现一种安全协议,即使设备上存在恶意软件,也能安全地设置个性化标识。
  • 重新评估个性化标识作为移动平台反钓鱼机制的声誉。

提出的方法

  • 对移动应用钓鱼攻击进行分类,并评估对策,识别出个性化标识为低部署成本的解决方案。
  • 通过使用定制银行应用对221名参与者进行大规模用户研究,模拟钓鱼攻击。
  • 设计一种新颖的安全设置协议,不依赖于“首次使用时信任”假设,从而在存在恶意软件的情况下也能安全完成标识注册。
  • 在Android平台上实现该协议,并通过30名参与者的少量用户研究评估其性能和可用性。
  • 使用统计分析比较使用和不使用个性化标识的用户在识别钓鱼攻击方面的差异。
  • 将安全设置协议集成到移动应用中,以确保对钓鱼攻击的持续防护。

实验结果

研究问题

  • RQ1个性化安全标识能否在真实世界条件下有效帮助用户检测移动应用钓鱼攻击?
  • RQ2使用个性化标识的用户在识别钓鱼攻击方面与未使用它们的用户相比表现如何?
  • RQ3能否设计一种安全设置协议,以防止在注册过程中标识本身被钓鱼,即使设备上存在恶意软件?
  • RQ4所提出的安全部署协议对移动设备的可用性和性能有何影响?
  • RQ5与无标识相比,个性化标识的存在是否显著提高钓鱼攻击的检测率?

主要发现

  • 在221名参与者的大型用户研究中,90%使用个性化安全标识的用户成功检测到钓鱼攻击。
  • 所有未使用个性化标识的参与者均未能检测到钓鱼攻击,并将凭证输入到恶意应用中。
  • 使用和不使用标识的用户在钓鱼攻击检测率上的差异具有统计显著性,支持个性化标识的有效性。
  • 所提出的安全部署协议通过消除“首次使用时信任”假设,使用户即使在设备存在恶意软件的情况下也能安全注册个性化标识。
  • 针对30名参与者的少量可用性研究表明,该设置协议对普通移动用户而言简单且易于使用。
  • 研究结果挑战了研究界普遍认为个性化安全标识对钓鱼检测无效的观点。

更好的研究,从现在开始

从论文设计到论文写作,大幅缩短您的研究时间。

无需绑定信用卡

本解读由 AI 生成,并经人工编辑审核。