Oltaya gelmem diyen yanılıyor

Siber saldırganların kimlik avı furyasının oldukça önemli bir parçası olan oltalama tekniği, günümüzde pek çok kullanıcının sahte bir e-postayı veya bağlantıyı gerçeğinden ayırt edememesine yol açarak kişisel bilgilerini çaldırmasına yol açıyor. Güncel bir araştırma, kullanıcıların oltalama hakkında ne kadar çok şey bildiğini düşünürlerse saldırganlara karşı bir o kadar savunmasız olduğunu gösteriyor.

Sahte e-posta mesajlarını aslından ayırabilir misiniz?

1.350 öğrenciyle yapılan çalışmada Maryland Üniversitesi’nden araştırmacılar, katılımcılardan oltalama e-postalarını diğerlerinden ayırmalarını isteyerek başarılı olanların sahip olduğu özellikleri belirlemeyi hedefledi. Bu amaçla mühendislikten matematiğe ve sanattan sosyal bilimlere kadar pek çok alandan öğrenciye çeşitli oltalama testleri uygulayan araştırmacılar siber bilincin, siber eğitimlerin, bilgisayar başında geçirilen sürenin, yaşın, departman ve akademik yıl seviyesinin siber saldırganların ağına düşüp düşmemede en önemli faktörler olduğunu gözlemledi.

Cinsiyet belirleyici faktör değil

Bulgular, katılımcıların %59’unun hem oltalama tekniğinin uygulandığı e-postaları açtığını hem de e-posta içerisindeki kötü niyetli bağlantılara tıkladığını gösteriyor. Ayrıca e-posta temelli testler dışında uygulanan demografik anketin içerisine yerleştirilen oltalara da katılımcıların %70’inin düştüğü belirtiliyor.

Araştırmacılar, yaşı daha büyük öğrencilerin oltalama e-postalarını fark etmede genç akranlarına göre daha başarılı olduğunu ve benzer şekilde e-posta içerisindeki linklere tıklamaktan da imtina ettiklerini gösteriyor. Ayrıca mühendislik ile bilişim teknolojileri alanlarındaki öğrencilerin kimlik avına fırsat verecek bağlantıları tespit etmede en başarılı gruplar olduğuna işaret eden araştırma, cinsiyetin  istatistiklere yön vermede belirleyici bir faktör olmadığını da ortaya çıkartıyor.

Ağa takılmam diyen yanılıyor

“Oltalama tekniğini rahatça fark ederim.” veya “Oltalama tekniği hakkında biraz bilgi sahibiyim.” diyen öğrencilerin daha kolay kandırılabildiği ise araştırmanın en dikkat çekici bulgularından biri. Oltalama e-postalarını ve bağlantılarını fark edebilmek konusunda kendine güvenmeyen katılımcıların daha başarılı olduğunu gözlemleyen araştırmacılar, ilk başta oldukça sürpriz olarak yorumladıkları bu durumu ilk gruptakilerin kendilerine olması gerekenden çok daha fazla güvenerek hataya düşmesine karşılık ikinci gruptakilerin vakalara daha şüpheci yaklaşmasına bağlıyor. Ayrıca daha önce kimlik avına uğradığı için kendine güveni kırılan kullanıcıların tecrübeleri gereği daha dikkatli hale gelmesinin de bu sonuçta rol oynadığı düşünülüyor.

En zayıf halka kullanıcıların kendisi!

Bulguları yorumlayan Bitdefender Türkiye Operasyon Direktörü Alev Akkoyunlu, fazla güvenin de siber saldırganların oyununa gelmeye sebep olabileceğini belirterek en zayıf güvenlik halkasının, kullanıcıların kendisi olduğunu vurguluyor. Güvenlik vakalarının %95’inin insan hatalarından kaynaklandığını dile getiren Akkoyunlu, sosyal mühendislik teknikleriyle sayısız kullanıcı veya şirketinin en değerli bilgilerinin ele geçirildiğini hatırlatarak dikkatin hiçbir zaman elden bırakılmaması gerektiğini hatırlatıyor.

Oltalama e-postalarında özellikle çoğumuzun bir şekilde organik bağı olan banka, GSM operatörü ve havayolu şirketi gibi kurumların seçildiğine ve milyonlarca kişiye gönderilen e-postalarda bu kurumlarla ilişkisi olan müşterilere rastlama olasılığının artırıldığına dikkat çeken Akkoyunlu, “Ayrıca bu şirketlerin kurumsal kimlikleri, e-posta içeriğinde bire bir kullanıldığı için aslından farkı olmuyor ve böylece tuzağa düşme olasılığı yine artıyor.” ifadelerinde bulunuyor. Akkoyunlu’ya göre İlgi uyandırma tekniği oltalama e-postalarının çoğunda taktik olarak kullanılıyor. Kredi kartı borç ekstresi, hesabının tehlikede olduğu ve şifresinin bir an önce güncellenmesi gerektiği, bir bilet veya yüksek tutarlı cep telefonu faturası gibi konular insanların paniğe kapılmasını ve bir an önce içeriği görmesini tetikliyor.