Lale Çorumlu

56.000 çalışanı olan bir kuruluşta yürütülen büyük ölçekli, uzun vadeli bir kimlik avı (Phishing) deneyi şaşırtıcı bir sonuca vardı: Kurumsal kullanıcı eğitimi kampanyalarında yaygın olarak görülen bu kimlik avı simülasyonu testleri aslında işleri çok daha kötü hale getiriyor.

ETH Zürih'teki araştırmacılar, adı açıklanmayan, halka açık bir küresel şirketle ortaklaşa yapılan 15 aylık bir kimlik avı (phishing) deneyinden sonra, simüle edilmiş kimlik avı alıştırmaları sırasında yerleşik eğitimin çalışanları e-posta kötü amaçlı yazılım tuzaklarına karşı daha dayanıklı hale getirmediğini ve daha da kötüsü, "beklenmedik sonuçlara yol açabileceğini" buldu. Çalışanları kimlik avına karşı daha duyarlı hale getirebilecek yan etkiler.

Dönüm noktası deneyin sonuçları, bu hafta İsviçre merkezli bir kamu araştırma üniversitesi olan ETH Zürih'teki Bilgisayar Bilimleri Bölümü tarafından yayınlandı. Simüle edilmiş kimlik avı saldırılarını eğitim videoları ve zorunlu sınavlarla birleştiren kullanıcı eğitimi kampanyalarına yönelik artan kurumsal harcamayı sorguluyor.

Yatırımcılar kimlik avı saldırılarına karşı bir soluklanma sözü veren yeni şirketlere para akıtırken bile, kurumsal savunucular, kötü amaçlı yazılım ve fidye yazılımı gasp saldırılarını zayıflatan ilk giriş noktası görevi gören karmaşık e-posta cazibelerini engellemek için mücadele ediyor. Onlarca yıldır işletmeler, çalışanların şüpheli bağlantıları veya kötü niyetli e-posta eklerini tespit etmelerine yardımcı olmak amacıyla siber güvenlik bütçelerine kullanıcı farkındalığı eğitimi ekledi.

Güvenlik bilinci eğitiminin etkinliği hakkında yıllardır aktif bir tartışma oldu, ancak bu, CISO'ların (Chief Information Security Officers) kullanıcı eğitimini siber savunma harcamaları için büyük bir öncelik olarak işaretlemesini engellemedi .

ETH Zürih üniversite araştırması , gömülü kimlik avı alıştırmaları ve eğitimi gibi yöntemlerin uygulanmasında dikkatli olunması çağrısında bulunan ve "potansiyel olumsuz yan etkiler" konusunda uyarıda bulunan araştırmacılarla bu tartışmayı yeniden alevlendireceğinden emin.

Araştırmacılar, normal iş akışları ve bağlamları sırasında ortak şirketin işgücünün dörtte birine simüle edilmiş kimlik avı e-postalarının gönderildiği 15 ay boyunca (Temmuz 2019 - Ekim 2020) deneyi yürüttüler.

Araştırmacılar, kimlik avı cazibelerinden, kimlik bilgilerinin gönderilmesinden ve eklerdeki etkinleştirme makrolarından tıklama oranlarını dikkatlice ölçtüler. Ekip ayrıca, çalışanların şüpheli e-postaları tıklayıp bildirmelerini sağlamak için kurumsal e-posta istemcisine bir raporlama düğmesi de yerleştirdi.

Çalışmadan elde edilen ham veriler ilginç bir hikaye anlatıyor:

• Genel olarak, çalışma katılımcıları 117.864 simüle edilmiş kimlik avından 6.680'ini tıkladı (%5.67). 15 ay boyunca, 4.729/14.733 katılımcı (%32.10) en az bir kimlik avına tıkladı.
• Tehlikeli eylemlere yönelik eğilim benzerdir, rakamlar biraz daha düşüktür: katılımcılar 4.885 simüle edilmiş oltalama e-postasına (gönderilen toplam e-postaların %4.14'ü ve tıklanan tüm simüle edilmiş kimlik avlarının %73.13'ü) ve 3.747/14.733 katılımcıya (%25.43) düştü. kullanıcılar en az bir tehlikeli eylem gerçekleştirdi.
• En az bir e-posta bildiren 4.260 çalışma katılımcısı vardı. Katılımcılar toplamda 14.401 e-posta bildirdiler ve bunların 11.035'i simüle edilmiş e-postalarımız oldu. Kimlik avını bildirme düğmesi, deneyin parçası olmayan ancak kimlik avını bildirebilen 6300 çalışana da dağıtıldı: bunlardan 1.543'ü en az bir şüpheli e-posta bildirdi ve 4.075 e-posta bildirdi. Böylece, 15 ay boyunca bize bildirilen toplam e-posta sayısı 18.476 oldu.

Araştırmacılar ayrıca birden fazla cazibeli postanın kurbanı olan "tekrarlanan tıklayıcılar" buldular ve bir kuruluştaki birçok çalışanın "sürekli olarak maruz kalırlarsa sonunda kimlik avına düşeceği" sonucuna vardılar.

Deneyde araştırmacılar, 14.733 katılımcıdan 4.729'unun (%32.10) simüle edilmiş kimlik avı e-postalarında en az bir bağlantıya veya eke tıkladığını buldu. Benzer bir yüksek sayı, tehlikeli eylemler için de geçerlidir: 14.733'ten 3.747'si (%25.43) en az birini gerçekleştirmiştir.

Araştırmacılar, "Bu sonuçlar, tüm çalışan tabanının oldukça büyük bir bölümünün, oltalama e-postalarına yeterince uzun bir süre maruz kaldığında kimlik avına karşı savunmasız kalacağını gösteriyor. Bu tür sonuçları ölçekte ilk gösteren biziz" diye ekledi.

Zürih Bilgi Güvenliği ve Mahremiyet Merkezi (ZISC) tarafından desteklenen çalışma, kalabalık kaynaklı kimlik avı tespitinin büyük kuruluşlarda etkili ve pratik olabileceğini de ortaya koydu.

Ekip, kimlik avı raporu işlemenin operasyonel yükünün küçük tutulabileceğini belirterek, "Deneyimiz, kitle kaynaklı kimlik avı tespitinin, kuruluşların daha önce görülmemiş çok sayıda gerçek kimlik avı kampanyasını kampanyanın başlangıcından kısa bir gecikmeyle tespit etmesine olanak tanıdığını gösteriyor" dedi. Büyük organizasyonlarda bile.

"Çalışmamız ayrıca yeterince yüksek sayıda çalışanın şüpheli e-postaları uzun süreler boyunca aktif olarak bildirdiğini gösteriyor. Özetle, kitle kaynaklı kimlik avı algılamanın birçok kuruluş için uygun bir seçenek sunduğunu gösteriyoruz."

Kaynak: https://www.securityweek.com/research-simulated-phishing-tests-make-organizations-less-secure