E-posta Pfishing Şemaları Kişisel Bilgilerle Cezbediyor

Yeni araştırmalar, e-posta kimlik avı dolandırıcılığının, bir yanıtı tetikleyecek şekilde sunulan kişisel bilgiler içerdiğini ortaya çıkarmıştır.

Türünün ilk çalışmasında, Buffalo Üniversitesi'ndeki araştırmacılar, e-posta planlarının inanılmaz yayılmasının kurbanlara hitap etme yeteneklerinin bir sonucu olduğuna dair kanıtlar buldular.

"Varlığın bireysel kimlik avı mağduriyeti üzerindeki etkisinin incelenmesi" adlı çalışma, Hawaii Üniversitesi'nde düzenlenen 48. Hawaii Uluslararası Sistem Bilimleri Konferansı'nda sunuldu.

Buffalo Üniversitesi'nde iletişim profesörü ve araştırmanın ortak yazarı Arun Vishwanath, "bilgi açısından zengin" e-postaların orijinalliği ifade eden grafikler, logolar ve diğer marka belirteçleri içerdiğini söylüyor.

"Ayrıca," diyor, "metin kişisel görünmesi, dikkati çekmesi ve korku uyandırması için dikkatlice çerçevelenmiştir. Genellikle, alıcının sahte bir "yanıt" web sitesine bağlantı kullanması gereken yanıt için bir son tarih içerir. Kimlik avcısı tarafından kurulan bu tür siteler, kurbanın bilgisayarına kullanıcı adları, şifreler, adres defterleri ve kredi kartı bilgileri için veri madenciliği yapan casus yazılımlar yükleyebilir.

Vishwanath, “Bu bilgi açısından zengin cazibelerin başarılı olduğunu gördük çünkü kurbanda gerçek bir kişiyle örtüştüğü duygusu olan bir sosyal varlık duygusu uyandırabiliyorlar” diyor.

“'Varlık', bir mesajı daha kişisel hissettiriyor, güvensizliği azaltıyor ve aynı zamanda onu değerlendirme ve yanıtlamada daha az özenle işaretlenen sezgisel işlemeyi kışkırtıyor” diyor. "Bu koşullarda, mesaj kişisel bilgi isterse, insanların onu genellikle çok hızlı bir şekilde teslim etme olasılığının daha yüksek olduğunu gördük.

“Bu çalışmada” diyor, “böylesine bilgi açısından zengin bir kimlik avı mesajı, katılımcılar arasında yüzde 68'lik bir mağduriyet oranını tetikledi.

“Bunlar, e-postalardaki zenginlik ve mevcudiyet ipuçlarının oluşturduğu tehdit hakkında bireyleri eğiten kimlik avı önleme müdahaleleri geliştirmenin önemini gösteren önemli bulgulardır” diye açıklıyor.

Araştırmacılar, çalışmada kullanılmak üzere hazırlanmış bir Gmail hesabından deneysel bir kimlik avı e-postası gönderilen 125 üniversite öğrencisi üzerinde çalıştı. Mesaj, her ikisi de üniversitenin adını içeren bir yanıt adresi ve gönderenin adresini kullanıyordu.

E-posta, aciliyeti vurgulamak ve korku uyandırmak için tasarlandı. Alıcıların öğrenci e-posta hesabı ayarlarında, hesap ayarlarına erişmek ve sorunu çözmek için ilişikteki bir bağlantıyı kullanmalarını gerektiren bir hata olduğunu söyledi.

Bunu kısa bir süre içinde yapmak zorunda oldukları, aksi takdirde artık hesaba erişemeyecekleri söylendi. Gerçek bir kimlik avı keşif seferinde, ekteki bağlantı onları yanıtlayanın kişisel bilgilerini toplayacak bir dış hesaba / kimlik avı sitesine götürecekti.

Vishwanath, 49 katılımcının kimlik avı isteğine hemen yanıt verdiğini ve 36 kişinin de bir hatırlatıcıdan sonra yanıt verdiğini söyledi.

Yanıt verenler daha sonra e-postayla ne yapacaklarına karar verirken sistemik (eleştirel düşünme) ve sezgisel bilgi işleme kullanımlarını ölçen beş puanlık bir ölçek tamamladılar. Diğer birkaç değişken hesaba katıldığında, kimlik avı saldırısının genel başarı oranı yüzde 68 idi.

Vishwanath, "E-postanın dünya çapında iletişim kurmanın baskın yolu haline gelmesiyle," teknoloji daha gelişmiş hale geldikçe ve kimlik avcılarının kurbanlarına hitap etmenin yeni yollarını buldukça kimlik avı eğiliminin artması bekleniyor.

"Bu suçlular kolayca durdurulamazken, bizi bu saldırılara karşı neyin daha duyarlı kıldığını anlamak, dünya çapındaki İnternet kullanıcılarını korumada hayati bir ilerlemedir."

Kaynak: Buffalo Üniversitesi


!-- GDPR -->