Kimlik avı hâlâ saldırganların başvurduğu bir taktiktir; bu nedenle kullanıcı eğitimindeki küçük kazanımlar bile dikkate değerdir. Bari Üniversitesi’nin yakın tarihli bir araştırma projesi, yüksek lisans eğitimlerinin insanların şüpheli e-postaları daha doğru bir şekilde tespit etmelerine yardımcı olacak eğitimler üretip üretemeyeceğine baktı.
Araştırma ekibi toplam 480 katılımcıyla iki kontrollü çalışma yürüttü. Her iki çalışmada da kimlik avı farkındalığı dersleri vermek için Yüksek Lisans tarafından oluşturulan içerik kullanıldı.
Yapay zeka içeriği insanların daha fazla saldırıyı tespit etmesine yardımcı oldu
İlk çalışma, dört yönlendirme yöntemiyle oluşturulan eğitimi alan 80 katılımcıyı içeriyordu. Amaç, Yüksek Lisans eğitiminin farklı yollarının eğitimin yararlılığını değiştirip değiştirmeyeceğini görmekti. Bu yöntemler, kısa anketlerden toplanan kısa profil verilerinin doğrudan bilgi istemine eklendiği basit profil eklerinden, kılavuzlara veya tablolara dayalı daha yapılandırılmış stillere kadar uzanıyordu.
Farklılıklarına rağmen her yöntem, modelden bir kimlik avı senaryosunu açıklamasını, savunma adımlarını adım adım gerçekleştirmesini ve kısa alıştırmalarla insanlara rehberlik etmesini istedi. Araştırmacılara göre her yöntem, kimlik avı e-postalarını sınıflandırırken kullanıcı performansını artırdı.
En dikkate değer gelişme, katılımcıların testler sırasında kimlik avı e-postalarını ne sıklıkta yakaladığını gösteren hatırlamada ortaya çıktı. Hassasiyet de arttı; bu da katılımcıların daha az hatalı kimlik avı etiketi yaptığı anlamına geliyor. F1 de yükseldi. Bu puan hatırlama ve kesinliği bir araya getirir, böylece genel algılama becerisini tek bir rakamla gösterir. Araştırmacıların, kullanıcıların sahte alarmlardan kaçınırken kimlik avı e-postalarını ne kadar iyi tespit ettiğini görmelerine yardımcı oldu.
Bu ilk testte, daha ayrıntılı formatların yanı sıra basit bir yönlendirme yöntemi de uygulandı. Her katılımcının kısa anket puanlarının bilgi istemine yerleştirilmesine dayanıyordu. Model, bu profil verilerine dayanarak tonu ve örnekleri ayarladı. Dersin genel yapısı koşullar altında aynı kaldı.
Formatlar arasında büyük istatistiksel farklılıklar görünmese de, bu doğrudan profil yöntemi eğitimden sonra daha iyi sonuçlar verdi. Ekip bunu, diğer formatlardaki karmaşıklığın daha fazla iyileştirmeye yol açmaması nedeniyle basit yönlendirmelerin pratik kullanım için yeterli olabileceğinin bir işareti olarak gördü.
Kişiselleştirme sonuçları artırmadı
İkinci çalışma 400 katılımcıyı kapsayacak şekilde genişletildi ve kişileri dört gruptan birine atadı. İki gruba genel içerik, iki gruba ise kişiselleştirilmiş içerik verildi.
Genel eğitimde tüm katılımcılar için tek bir paylaşılan sürüm kullanılırken, kişiselleştirilmiş eğitimin tonu ve örnekleri kullanıcı profillerine göre değiştirildi. Tüm sürümler bir giriş, bir kimlik avı senaryosu, savunma kılavuzu, uygulamalı alıştırmalar ve bir özet ile aynı yapıyı takip ediyordu.
Tüm gruplardaki katılımcılar gelişti. Sahte mesajlardan gerçek mesajları ayırma konusunda daha iyi hale geldiler ve hem hatırlama hem de F1 yükseldi. Ancak kişiselleştirilmiş içerik, genel içerikten daha iyi performans göstermedi. Birkaç vakada jenerik gruplar biraz daha büyük iyileşme gösterdi, ancak bu farklılıklar genel sonucu değiştirecek kadar büyük değildi.
Araştırmacılar, modelin her profil için tonu ve örnekleri uyarladığını doğruladı. Ölçülebilir bir etkinin olmaması, burada test edilen kişiselleştirmenin davranıştan çok stili şekillendirdiğini gösteriyor. Hassas personel bilgilerini toplamaktan kaçınan güvenlik ekipleri için bu sonuç önemlidir. Kimlik avı tespiti için özel eğitimlerin yanı sıra genel eğitimin de işe yarayabileceğini öne sürüyor.
Daha uzun eğitim yardımcı oldu, ancak çok az
Eğitim uzunluğu küçük bir etki gösterdi. Uzun oturumlar yaklaşık 18 dakika, kısa oturumlar ise yaklaşık 9 dakika sürdü. Daha uzun oturumlara katılanlar, aradaki fark az da olsa, biraz daha yüksek performansa ulaştı. Eklenen süre, yardımcı olabilecek ilave örnekler ve açıklamalar için yer sağladı.
Kullanıcı gösterimleri öğrenme sonuçlarıyla eşleşmiyor
Araştırmacılar ayrıca katılımcıların eğitim hakkında ne hissettiklerine ve bu duyguların gelişimle nasıl bağlantılı olduğuna da baktılar. Kullanıcı memnuniyeti kişilik profili verilerine göre değişiklik gösteriyordu ancak bu tepkiler performanstaki değişikliklerle eşleşmiyordu. Eğitim tasarımcılarının duygulara değil ölçülen sonuçlara güvenmeleri gerektiği konusunda uyarıyorlar.
Birlikte ele alındığında bulgular, eğitimler sıklıkla verildiği ve nesnel verilerle ölçüldüğü sürece, kuruluşların karmaşık kişiselleştirme stratejileri olmadan kimlik avı farkındalığını güçlendirebileceğini göstermektedir.