Siber Güvenlik şirketi McAfee tarafından online olarak gerçekleştirilen phishing quiz’i insanların %97’sinin phishing email-lerini belirlemede sorun yaşadığını gösteriyor.
Quiz 10 sorudan oluşuyor ve katılımcılara her bir eposta örneğinin phishing email olup olmadığı soruluyor. Örnek eposta’lar McAfee labs tarafından sağlanan phishing ve gerçek eposta örneklerinden oluşuyor. Quiz’e aralarında Türkiye’nin de bulunduğu 144 ülkeden toplam 19.000 bireyin katıldığı belirtiliyor.
Sonuçlara bakıldığı zaman katılımcıların %97’sinin en az 1 soruya yanlış cevap verdiği görülmektedir. Katılımcıların %80’i ise en az bir phishing epostasını gerçek eposta olarak işaretlemiş. Bu verinin anlamı şu: arka arkaya 10 phishing eposta’sı alındığı zaman bireylerin %80’i oltaya takılacaktır. Bu oldukça yüksek bir oran.
Ülke bazında baktığımız zaman fazla detaylı istatistiksel bilgi verilmemekle birlikte Türkiye’den katılan bireylerin başarı ortalamasının %66.49 olduğunu görüyoruz. Yani Türkiye’den katılan bireyler ortalama olarak olarak 10 sorudan 7’sine doğru cevap verebilmiş. Maalesef bunun iyi bir sonuç olduğunu söylemek mümkün değildir. Zira tek bir phishing epostasının dahi yanlış değerlendirmesi oldukça kötü sonuçlara yol açabilir.
Quiz’e https://phishingquiz.mcafee.com/ bağlantısı üzerinde katılabilirsiniz.
Not: PhishGuard olarak quiz sonuçlarının nihai durumunu incelediğimizde katılımcıların toplam %5’inin soruları %100 doğruluk oranıyla cevapladığını görmüş bulunuyoruz.
Ayrıca sonuçları değerlendirirken Quiz sorularının Türkiye’deki phishing örneklerini içermediği ve Quiz’e Türkiye’den katılan bireylerin genel olarak phishing konusunda bilgili ve bilinçli olduğunu da göz önünde bulundurmanın doğru olacağını düşünüyoruz. Yerelleştirilmiş örnekler içermesi durumunda başarılı cevap oranlarının çok daha düşük olacağını tahmin ediyoruz.
Ölçeğinden bağımsız olarak, bir kurum için çalışanlarının phishing epostalarını ayırt edememesi kurum için olumsuz sonuçlara neden olabilir. Bunun için yapılması gereken, çalışanlara periyodik olarak Phishing test uygulanması ve test sonuçlarına göre en zayıf halkaların tespit edilerek eğitilmesidir. Günümüzde bu tarz test ve eğitimler online olarak, çalışanın dilediği zaman ve dilediği yerden alabileceği şekilde tasarlanmaktadır.
Phishing email ve benzeri siber tehditlere karşı önlem olarak çalışanlarınıza uygulayabileceğiniz kurumsal Phishing test çalışmaları ve verebileceğiniz Siber Güvenlik Farkındalık eğitimleri için bizimle iletişime geçebilirsiniz.