15 aylık bir deneyde 14,733 katılımcıyı içeren büyük ölçekli bir kimlik avı çalışması, popüler endüstri uygulamalarının temelini oluşturan önceki araştırma sonuçlarıyla çelişen bazı şaşırtıcı bulgular üretti.
Çalışma, ETH Zürih’teki araştırmacılar tarafından, katılımcıları simüle edilmiş kimlik avı programı hakkında bilgilendirmeyen isimsiz bir şirketle işbirliği içinde gerçekleştirildi.
Testi gerçekleştirmek için araştırmacılar, katılımcıların normal iş e-postalarına sahte kimlik avı e-postaları gönderdi ve şüpheli e-postaları kolayca bildirmelerini sağlayan bir e-posta istemcisi düğmesi yerleştirdi.

Kaynak: Arxiv.org
Araştırmanın dört amacı şunları belirlemekti:
- Kimlik avına hangi çalışanlar düşüyor?
- Güvenlik açığı zaman içinde nasıl gelişir?
- Gömülü eğitim ve uyarılar ne kadar etkilidir?
- Çalışanların kimlik avı tespitine yardımcı olmak için her şeyi yapıp yapamayacağı.
cinsiyet önemsiz
Demografi çeşitliydi ve araştırmacıların çok önemli bir duyarlılık belirleyici faktör olarak sunulan bir öğeyi incelemelerine izin verdi.
Birbiriyle çelişen bir bulgu mevcut çalışmalar cinsiyetin kimlik avına yatkınlıkla ilişkili olmamasıdır.
Bunun yerine, çalışma, genç ve yaşlı kişilerin kimlik avı bağlantılarına tıklamaya daha yatkın olduğunu, bu nedenle yaşın önemli bir faktör olduğunu buldu.
Ayrıca, tekrarlayan görevler için özel yazılımlar kullananların, günlük işleri için bilgisayara ihtiyaç duymayanlara kıyasla kimlik avı tuzaklarına düşme olasılığı daha yüksektir.

Kaynak: Arxiv.org
Tekrarlanan tıklayıcılar
Vurgulanan sözde “tekrarlanan tıklayıcılar” Önceki arama Ayrıca burada, simülasyonlu bir kimlik avı e-postası açanların %30,62’si ek e-postalara tıkladığı görülüyor. Ayrıca, tehlikeli bir eylem gerçekleştirenlerin (makroları etkinleştirme, kimlik bilgilerini gönderme) %23,91’i bunu birden fazla kez yaptı.
ETH araştırmasındaki ilginç bir bulgu, araştırmaya katılanların %32,1’i en az bir tehlikeli bağlantıya veya eke tıkladığı için, sürekli olarak kimlik avına maruz kalan çalışanların sonunda buna kapılmasıdır.
Bu bulgu, etkin e-posta güvenliğine ve kimlik avı önleme filtrelerine sahip olmanın önemini vurgulamaktadır, çünkü sürekli maruz kalma, esnek çalışanlar tarafından bile uyuşukluk ve riskli eylemlere yol açmaktadır.
Eğitim abartılıyor
Şüpheli e-postalarla ilgili uyarıların etkili olduğu görüldü, ancak uyarı mesajları daha ayrıntılı hale geldikçe bu etkinlik artmadı, bu yeni bir bulgu.

Kaynak: Arxiv.org
Yaygın olarak kullanılan güvenlik uygulamalarına aykırı olan bir bulgu, araştırmacıların, simüle edilmiş kimlik avı alıştırmalarında gönüllü gömülü eğitimin etkisiz olduğunu bulmalarıdır.
“İlginç bir şekilde, önceki araştırma sonuçlarıyla ve yaygın bir endüstri uygulamasıyla çelişen, simüle edilmiş kimlik avı uygulamaları ve gönüllü yerleşik eğitimin (yani, çalışanların eğitimi tamamlaması gerekmediği) kombinasyonunun yalnızca çalışanın kimlik avı direncini iyileştirmekte başarısız olduğunu değil, aynı zamanda aslında çalışanları bile kimlik avına karşı daha duyarlı hale getirdi” Araştırma kağıdı.
Kalabalık kaynak kullanımı mümkün
Test edilen şirketteki çalışanlara, şüpheli mesajları bildirmeleri için e-posta istemcilerinde bir ‘Kimlik Avı Bildir’ düğmesi verildi.
Çalışma, çalışanların %90’ının altı veya daha az sayıda şüpheli e-posta bildirdiğini, ancak bazılarının deney boyunca çok aktif kaldığını buldu.
Bu nedenle, araştırmacılar, kitle kaynaklı kimlik avı önleme verilerinin uygulanabilir olduğunu öne süren “bildirme yorgunluğu” olmadığı sonucuna varıyorlar.

Kaynak: Arxiv.org
Böyle bir sistemin etkinliği açısından, analistler tepki süresine ve işaretleme doğruluğuna baktılar.
Kullanıcı raporları, kimlik avı için %68 ve istenmeyen e-posta da hesaba katılırsa %79 oranında doğruydu, en üretken muhabirler ise %80’in üzerinde bir doğruluğa ulaştı.
Bu raporların alındıktan sonra teslim edilme süresi, toplam hacmin %10’u için 5 dakika ve toplam rapor sayısının %35’i için yarım saattir.

Kaynak: Arxiv.org
“Bu sayıları, 100’ünün bir kimlik avı kampanyasıyla hedeflendiği 1.000 çalışanı olan varsayımsal bir şirkete uygulamak için, çalışanların e-postalarına ilişkin 8 ila 25 rapor almamız gerekir; bunlardan biri 5 dakika içinde yüksek olasılıkla ve daha büyük 30 dakika içinde numara,” makaleyi detaylandırıyor.
Bu bulgular, kurumsal çapta kalabalık kaynaklı bir kimlik avı tespit hizmetinin kullanılmasının, kimlik avı saldırıları tehdidini önemli ölçüde azaltabileceğini göstermektedir.
Ayrıca, böyle bir sistemin sonuç olarak büyük bir operasyonel iş yükü oluşturmayacağını ve dolayısıyla kalabalık kaynaklı kimlik avı koruması uygulayan bir şirketin fazla ek yük oluşturmayacağını belirtmek de önemlidir.
Elbette, kimlik avı, bunun gibi çalışmaların kapsamı dışında birçok önemli faktörü içeren karmaşık bir konudur, bu nedenle bu bulgular, iyi veya kötü uygulamaların veya evrensel olarak geçerli kuralların somut kanıtı olarak kabul edilemez.
Bununla birlikte, kimlik avının modern siber saldırıların tüm yelpazesinde oynamaya devam ettiği merkezi rol göz önüne alındığında, daha etkili kimlik avı önleme önlemleri geliştirmek için daha fazla deney yaparak bu bulguların üzerine inşa edilmesi gerekir.