Siber saldırganların kimlik avı furyasının oldukça önemli bir parçası olan oltalama tekniği, günümüzde pek çok kullanıcının sahte bir maili veya bağlantıyı gerçeğinden ayırt edememesine yol açarak kişisel bilgilerini çaldırmasına yol açıyor. Güncel bir araştırma, kullanıcıların oltalama hakkında ne kadar çok şey bildiğini düşünürlerse saldırganlara karşı bir o kadar savunmasız olduğunu gösteriyor. Oltalama tekniğine düşmeyeceği konusunda kendinden emin olan kullanıcıların kandırılmaya daha yatkın olabildiğini belirten Akkoyunlu, oltalama maillerinde sosyal mühendislik tekniklerini yaygın bir şekilde kullanan siber saldırganlar nedeniyle kullanıcıların daha dikkatli ve şüpheci olmasını öneriyor.
Sahte Mailleri Aslından Ayırabilir misiniz?
1.350 öğrenciyle yapılan çalışmada Maryland Üniversitesi'nden araştırmacılar, katılımcılardan oltalama maillerini diğerlerinden ayırmalarını isteyerek başarılı olanların sahip olduğu özellikleri belirlemeyi hedefledi. Bu amaçla mühendislikten matematiğe ve sanattan sosyal bilimlere kadar pek çok alandan öğrenciye çeşitli oltalama testleri uygulayan araştırmacılar siber bilincin, siber eğitimlerin, bilgisayar başında geçirilen sürenin, yaşın, departman ve akademik yıl seviyesinin siber saldırganların ağına düşüp düşmemede en önemli faktörler olduğunu gözlemledi.
Cinsiyet Belirleyici Bir Faktör Değil
Bulgular, katılımcıların %59'unun hem oltalama tekniğinin uygulandığı mailleri açtığını hem de mail içerisindeki kötü niyetli bağlantılara tıkladığını gösteriyor. Ayrıca mail temelli testler dışında uygulanan demografik anketin içerisine yerleştirilen oltalara da katılımcıların %70'inin düştüğü belirtiliyor.
Araştırmacılar, yaşı daha büyük öğrencilerin oltalama maillerini fark etmede genç akranlarına göre daha başarılı olduğunu ve benzer şekilde mail içerisindeki linklere tıklamaktan da imtina ettiklerini gösteriyor. Ayrıca mühendislik ile bilişim teknolojileri alanlarındaki öğrencilerin kimlik avına fırsat verecek bağlantıları tespit etmede en başarılı gruplar olduğuna işaret eden araştırma, cinsiyetin istatistiklere yön vermede belirleyici bir faktör olmadığını da ortaya çıkartıyor.
"Ben Biliyorum" Diyenler Yanılıyor
"Oltalama tekniğini rahatça fark ederim." veya "Oltalama tekniği hakkında biraz bilgi sahibiyim." diyen öğrencilerin daha kolay kandırılabildiği ise araştırmanın en dikkat çekici bulgularından biri. Oltalama maillerini ve bağlantılarını fark edebilmek konusunda kendine güvenmeyen katılımcıların daha başarılı olduğunu gözlemleyen araştırmacılar, ilk başta oldukça sürpriz olarak yorumladıkları bu durumu ilk gruptakilerin kendilerine olması gerekenden çok daha fazla güvenerek hataya düşmesine karşılık ikinci gruptakilerin vakalara daha şüpheci yaklaşmasına bağlıyor. Ayrıca daha önce kimlik avına uğradığı için kendine güveni kırılan kullanıcıların tecrübeleri gereği daha dikkatli hale gelmesinin de bu sonuçta rol oynadığı düşünülüyor.
En Zayıf Güvenlik Halkası Kullanıcıların Kendisi
Bulguları yorumlayan Bitdefender Türkiye Operasyon Direktörü Alev Akkoyunlu, fazla güvenin de siber saldırganların oyununa gelmeye sebep olabileceğini belirterek en zayıf güvenlik halkasının, kullanıcıların kendisi olduğunu vurguluyor. Güvenlik vakalarının %95'inin insan hatalarından kaynaklandığını dile getiren Akkoyunlu, sosyal mühendislik teknikleriyle sayısız kullanıcı veya şirketinin en değerli bilgilerinin ele geçirildiğini hatırlatarak dikkatin hiçbir zaman elden bırakılmaması gerektiğini hatırlatıyor. Oltalama maillerinde özellikle çoğumuzun bir şekilde organik bağı olan banka, GSM operatörü ve havayolu şirketi gibi kurumların seçildiğine ve milyonlarca kişiye atılan maillerde bu kurumlarla ilişkisi olan müşterilere rastlama olasılığının artırıldığına dikkat çeken Akkoyunlu, "Ayrıca bu şirketlerin kurumsal kimlikleri, mail içeriğinde bire bir kullanıldığı için aslından farkı olmuyor ve böylece tuzağa düşme olasılığı yine artıyor." ifadelerinde bulunuyor. Akkoyunlu'ya göre İlgi uyandırma tekniği oltalama maillerinin çoğunda taktik olarak kullanılıyor. Kredi kartı borç ekstresi, hesabının tehlikede olduğu ve şifresinin bir an önce güncellenmesi gerektiği, bir bilet veya yüksek tutarlı cep telefonu faturası gibi konular insanların paniğe kapılmasını ve bir an önce içeriği görmesini tetikliyor.