82.000’den fazla çalışana yönelik simüle edilmiş bir kimlik avı saldırısı, kişisel etkiye sahip e-postaların daha fazla tıklamayla sonuçlandığını ve BT çalışanları ve DevOps ekipleri gibi teknik ekiplerin de aynı sıklıkta tıkladığını ve teknik olmayan ekiplere kıyasla şüpheli kimlik avı saldırılarını daha az bildirdiğini buldu.
Yazılım güvenliği firması F-Secure, dört farklı kimlik avı e-postasından birini içeren kampanyalar oluşturmak için dört çok uluslu kuruluşla çalıştı: insan kaynaklarından gelen sözde bir mesaj, sahte bir CEO dolandırıcılık mesajı, sahte bir belge paylaşım mesajı ve sahte bir bir servis hatası. Ortalama olarak, kullanıcıların %12’si gelen kutularındaki kimlik avı e-postasını tıkladı, ancak oran önemli ölçüde içeriğe bağlıydı.
F-Secure’un hizmet sunumundan Matthew Connor, ayrıca, şüpheli bir kimlik avı saldırısını rapor etmek için ortalama sürenin 30 dakika olduğunu söylüyor. yönetici ve çalışma raporunun baş yazarı.
“Bir saldırının ve başarılı bir kimlik avının tanımlanması, buradaki açık ara en önemli kısımdır” diyor. “Personelinizi bir e-postaya tıklamamaları için eğitmek iyi ve güzel, ancak e-postalar ağınızdan geçerse ve gelen kutularına ulaşırsa, bunu kendiniz almadıysanız, Birinin bunu rapor edeceğini bilmeniz gerekir.
Hızlı Kimlik Avı Raporlama Anahtardır
Ders belki de çalışmaen önemlisi: Connor, hızın kritik olduğunu söylüyor. Raporlama oranını ve hızını artırmanın bir yolu, tek bir düğme tıklaması gibi raporlamayı çok basit hale getirmektir. Şüpheli oltalama saldırılarını bildirmenin bu kadar kolay bir yolu olmayan iki şirketin ortalama raporlama oranı %15’in altındayken, her yerde bulunan bir düğmesi olan üçüncü bir şirketin raporlama oranı %45’ti.
F-Secure danışmanlık direktörü Riaan Naude, sonuçları açıklayan bir açıklamada, şirketlerin kimlik avını mümkün olan en kısa sürede bildirmeleri için çalışanlara güvenmeleri gerektiğinden, süreci mümkün olduğunca sorunsuz tutmanın önemli olduğunu söyledi.
“Çalışmadaki kanıtlar, güvenlik personelinin ve diğer ekiplerin bir kuruluşun kimlik avına karşı direncini artırmak için birlikte çalışabileceği ortak bir zemin olarak hızlı, ağrısız raporlama süreçlerini açıkça gösteriyor” diyor. “Bu hakkı almak, güvenlik ekiplerinin olası bir uzlaşmayı azaltmak için yalnızca birkaç değerli dakikası olabileceğinden, bir saldırının daha erken tespit edilip önlenebileceği anlamına gelir.”
Çalışma ayrıca, potansiyel kimlik avı saldırılarını değerlendirirken BT veya DevOps’ta çalışmanın daha iyi karar vermek anlamına gelmediğini de buldu. F-Secure raporda, BT veya DevOps’ta çalışanları olan iki kuruluşta, her iki grubun da kuruluşlarındaki diğer departmanlarla eşit veya daha yüksek olasılıkla test e-postalarına tıkladığını belirtti.
Bir kuruluşta, DevOps ekip üyelerinin %26’sı ve BT ekibi üyelerinin %24’ü test kimlik avı yükünü tıklarken, bu oran kuruluş genelinde %25’tir, DevOps’tan %30 ve BT ekibinden %21’i kimlik avı yükünü tıkladı ikinci organizasyon, genel olarak %11 ile karşılaştırıldığında.
Sonuçlar muhtemelen BT güvenliği konusunda eğitim almış çalışanlar ile BT güvenliğindeki bir konumu tamamlayan şüpheli bir yapıya sahip olanlar arasındaki farkı gösteriyor.
Connor, “Kimlik avı, bilgi güvenliği sorunları kategorisine giriyor – ve öyle – ama aynı zamanda sadece bir dolandırıcılık aracıdır” diyor. “Başka yere bakarken bir şeyin elinden alınmasıyla aynı şey. Ve buna karşı bir savunma zihniyeti var.”
Tek tık
Bu kimlik avı çalışmasının iş gücünün güvenlik açığı durumunun gerçek bir temsili olup olmadığı tartışmalıdır. Çalışma, başarılı bir saldırı olarak belirlenen tek bir tıklamayla yalnızca iki sonucu ölçtü. Tipik olarak bir oltalama saldırısı, saldırı zincirinin bir parçası olarak birden fazla adım gerektirir: Kullanıcı e-postadaki bir eki veya bağlantıyı tıklatır ve ardından bir programın çalışmasına izin verir veya yasal görünen ancak saldırganın denetimi altında olan bir web sitesine bilgi girer. .
Çoğu zaman, kullanıcı bilgilerini bir web sitesine girmeden veya bir programın çalışmasına izin vermek için Tamam düğmesine tıklamadan önce iki kez düşünecektir.
Ancak F-Secure, e-posta cazibesini oluşturma konusunda da taviz vermek zorunda kaldı. Simülasyon kuralları, şirketin e-posta içeriğini kullanıcı sınıflarına göre uyarlamasına izin vermedi, bunun yerine mesajların geniş çapta uygulanabilir olmasını gerektiriyordu. Ayrıca e-posta mesajları logo içeremez veya İngilizce dışında bir dil kullanamaz. F-Secure raporda, daha fazla özelleştirmenin muhtemelen daha başarılı saldırılara yol açacağını belirtti.
Örneğin, belge paylaşımı ve hizmet sorunu bildirim e-postalarının iyi bilinen bir hizmet olarak markalanmadığını ve bunun muhtemelen tıklama oranlarını etkilediğini öne süren şirket, “[s]ecurity ekipleri, gerçek bir saldırganın iyi bilinen bir hizmeti taklit edebileceğinin ve daha başarılı olabileceğinin farkında olmalıdır.”