Az adathalászat, azaz a felhasználók célzott, jellemzően preparált levelekkel történő megvezetése az online alvilág és az államilag támogatott hekkercsoportok egyik legkedveltebb eszköze. A bűnözők nem válogatnak a módszerekben, kihasználják a világjárványt, egy híres ember halálát vagy bármit, amivel több embert tudnak lépre csalni. Ráadásul a mesterséges intelligencia fejlődésével ez a terület is új lendületet kapott.

Éppen ezért lenne fontos, hogy a célba vett közönség tisztában legyen ezekkel a veszélyekkel, illetve az ilyen próbálkozásokra jellemző, árulkodó jelekkel. Mindezt számos szervezetnél igyekeznek különböző oktatási programokkal támogatni, ám egy nemrégiben publikált kutatási projekt szerint ezeknek a tréningeknek vajmi kevés pozitív hatása van.

Haszontalan elemek

Az Egyesült Államokban még 2023-ban indított vizsgálatba a UC San Diego Health közel 20 ezer munkavállalóját vonták be, akiket összesen tíz szimulált adathalász kampánnyal szórták meg. Az egészségügyi intézmény egyes dolgozóit biztonságtudatosságot javító programokra küldték el, másoknak pedig enélkül kellett (volna) kiszúrni a gyanús tartalmú e-maileket.

Az eredmények meglehetősen lehangolóak voltak. Kiderült, hogy a valamilyen képzésen részt vett felhasználók alig valamivel voltak "ellenállóbbak", mint azon kollégáik, akik egyáltalán nem kaptak képzést. A kutatók előzetesen arra számítottak, hogy az idő múlásával romlanak majd az oktatáson részt vettek eredményei, de az összességében mindössze 1,7 százalékpontos előnyből már nem volt nagyon mit leadni.

A Wall Street Journalnak a projekt kapcsán Grant Ho, a Chicagói Egyetem adjunktusa és a tanulmány társszerzője nyilatkozott, aki szerint a kapott adatokból arra lehet következtetni, hogy "a kötelező kiberbiztonsági képzés nem nyújtott hasznos biztonsági ismereteket a felhasználóknak".

Igen, de...

A szakember ugyanakkor ezzel nem kívánta a teljes kiberbiztonsági oktatási szegmens létjogosultságát megkérdőjelezni, mivel az eredményeknek számos oka lehet. Kezdve azzal, hogy a dolgozók által kapott anyagok túl általánosak, vagy éppen rosszul szerkesztettek voltak. Még valószínűbb, hogy a programok formátuma sem volt a legszerencsésebb, mivel az esetek túlnyomó többségében kötelezően és önállóan kipipálandó online modulokról volt szó. Ezt egyébként a projekt során mérték is: az alkalmazottak több mint háromnegyede kevesebb mint egy percet töltött egy-egy ilyen anyaggal.

Ennek mentén a kutatók igyekeztek azt is feltárni, milyen típusú képzések lehetnek hatékonyabbak. Minden egyes szimulált adathalász kampány után több csoportra osztották a felhasználókat. Volt aki csak egy csokor általános kiberbiztonsági tippet kapott útravalónak, másoknak interaktív kérdezz-felelek formátumban magyarázták el a korábbi támadás részleteit, míg egy részük kontroll csoportként funkcionálva nem részerült utólagos fejtágításban. 

Itt egyébként bejött a "papírforma", az interaktív, részletes tájékoztatást kapó csoport mutatott javulást – már amennyiben az adott kolléga lelkiismeretesen végignézte az anyagot. Utóbbiak nagyon kevesen voltak, ám ők átlagosan 19 százalékkal erősítették az adathalászattal szembeni ellenállóképességüket. Mindez a javulás sem feltétlenül magának az anyagnak köszönhető a kutatók szerint, hiszen a jobb eredmények a személyiségjegyekből is adódhattak (azaz zömmel az eleve alaposabb, lelkiismeretesebb felhasználók adták ezt a csoportot, akiket egyébként sem olyan könnyű ráaszedni).

Az a legbiztosabb, ha el se jut a postaládáig

A kutatócsapat az eredmények ismeretében nem a felhasználói képzések felszámolását javasolja, hanem annak felismerését, hogy ez csak egyik eleme az átfogó védelmi stratégiának. A legjobb pedig az, ha nem is tudják a bűnözők tesztelni a munkatársak éberségét, azaz olyan automatikus azonosító és szűrő rendszerek alkalmazása, amelyek még beérkezésük előtt útját állják a kártékony leveleknek.

A fenti megállapítások annyiben nem tekinthetők újdonságnak, hogy már a koronavírus-járvány idején világossá vált, hogy a távmunkára kényszerített dolgozói tömegek kibertudatosságán oktatással sem lehet sokat pallérozni.