Kimlik avı psikolojisi: Yaygınlık etkisi

Kimlik avının nasıl başarılı olduğuna dair açıklamalardan biri bilinen bir psikolojik etkiye dayanıyor.

Siber suçlulular uzun zamandan beri psikolojiyi bir aldatma aracı olarak kullanıyor. Fakat aynı zamanda biz de bu psikolojik fenomenleri belirli suç yöntemlerini açıklamak ve doğru korunma stratejisini belirlemek için kullanabiliyoruz. Pek çok psikolog, saldırı planlarını ve işe yarama nedenlerini analiz ediyor. Bugün, kimlik avı saldırılarına karşı geliştirilen teknolojilerin gücüne rağmen neden e-posta tuzaklarının hala insanları mağdur ederek önemli zararlara yol açabildiğini açıklamaya çalışan bir hipotezi inceleyeceğiz. En önemlisi de, bu konuda ne yapılabileceğini tartışacağız.

İstenmeyen e-postalara ve kimlik avı dolandırıcılıklarına karşı alınan önlemler, her şirketin çevrimiçi güvenlik prosedürünün kilit bileşenleridir. Siber vakaları inceleyen uzmanlarımız çoğunlukla bir e-posta ile başlayan sorunlarla karşılaşıyor. Bu e-posta, kitlesel olarak gönderilmiş de olabiliyor, hedefli bir saldırı da olabiliyor. Günümüzde e-posta filtreleri tipik kimlik avı e-postalarını yüksek düzeyde kesinlikle tespit edebiliyor, fakat saldırganlar yine de bazen bir şekilde (örneğin bir iş ortağının posta kutusunu hackleyerek) mesajı daima en zayıf halka olan insan kurbana ulaştırmayı başarabiliyorlar. Üstelik filtreler daha etkili hale geldikçe sızan mesajın kullanıcıyı kandırabilme olasılığı da artıyor.

Deney

AB’Dli iki araştırmacı olan Massachusetts Institute of Technology’den Ben D. Sawyer ve University of Central Florida’dan Peter A. Hancock, kötü amaçlı e-postaların sıklığı ile kullanıcılar tarafından başarıyla tespit edilmeleri arasında doğrudan bir korelasyon olduğu hipotezini öne sürdü. Teorileri, psikolojide uzun zamandır bilinen ve kişinin daha az yaygın olan bir sinyali gözden kaçırma (veya tespit edememe) olasılığının daha sık meydana gelen bir sinyali gözden kaçırma olasılığından daha yüksek olduğunu ifade eden “yaygınlık etkisine” dayanıyordu.

Araştırmacılar, katılımcılara içlerinden bazılarında kötü amaçlı ekler bulunan e-postaların gönderildiği bir deneyle teorilerini pratikte de test etmeye karar verdi. Kötü amaçlı e-postaların oranı her katılımcı için farklıydı: Bazılarına gelen postaların yalnızca %1’inde kötü amaçlı yazılım varken bazılarında bu oran %5’e veya %20’ye kadar çıkıyordu. Sonuç, tehditin ne kadar az sıklıkta meydana geliyorsa o kadar zor tespit edildiği hipotezini doğruladı. Üstelik, bağlılık lineer bile değildi; logaritmikti.

Deneyin oldukça ufak bir örneklem kullandığını (33 kişi) ve tüm katılımcıların öğrenci olduğunu da gözardı etmemek gerek; sonucu körü körüne doğru kabul etmek için henüz erken olabilir. Öte yandan psikolojide yaygınlık etkisi genel olarak kanıtlanmış kabul ediliyor, o halde neden kimlik avı e-postaları için de geçerli olmasın? Sawyer ve Hancock, her durumda hipotezlerini daha gelişmiş testlere tabi tutarak rafine edeceklerini vadediyor.

Araştırmacılar bu fenomenin sistemin güvenliğine duyulan güvendeki artışla bağlantılı olarak açıklanabileceğini öne sürüyor. Temelde, kimlik avına karşı koruyan teknolojilerin, kullanıcıları tehditlerden korurken aynı zamanda gardlarını indirmelerine de sebep olduğunu iddia ediyorlar. Araştırmacılar bununla birlikte siber suçluların da bu etkiden haberdar olabileceğini, dolayısıyla kötü amaçlı yazılımları kasten daha az sıklıkla gönderdiklerini de varsayıyor.

Pratik sonuçlar

Tahmin edebileceğiniz üzere otomatik güvenlik sistemlerini bırakmanızı savunmuyoruz. Bununla birlikte, eğer Sawyer ve Hancock’un hipotezi doğruysa, kullanıcıların arada sırada bir kimlik avı e-postasıyla karşı karşıya gelmeleri kendi yararlarına olacaktır. Elbette gerçek bir kimlik avı e-postasından bahsetmiyoruz.

Her boyutta şirketin çalışanları için siber güvenlik eğitimi sunan çözümümüz Kaspersky Automated Security Awareness Platform, eğitim alanların becerilerinin ne kadar geliştiğini düzenli aralıklarla kontrol etmenizi sağlıyor. Bu kontrollerin bir parçası olarak eğitim alanlara kimlik avı e-postalarını simule eden e-postalar gönderiliyor ve çalışanların doğru tepkileri vermesi bekleniyor. Bu kontroller, kimlik avının neye benzediğini unutmamalarını sağlayarak çalışanları sürekli tetikte tutuyor.

Teori sonunda yanlış çıksa bile bu e-postaların verebileceği bir zarar yok. En kötü olasılıkla eğitim yöneticisinin zayıf halkaları tespit etmesine yardımcı olurlar.

İpuçları