Kültürel bağlamda otorite temelli sosyal mühendislik saldırılarının etkinliği: Türkiye ve Katar örneği

Bu çalışmada otorite figürlerinin sosyal mühendislik saldırılarındaki etkinliği kültürel bir bağlamda incelenmektedir. Türkiye ve Katar'daki elektrik dağıtım şirketlerinde çalışan 900 katılımcının yer aldığı deneysel bir tasarım kullanılmıştır. Analizde, bireysel ve kurumsal otorite figürlerine göre farklılaştırılmış genel oltalama ve hedefli oltalama saldırılarının başarı oranları karşılaştırılmıştır. Sonuçlar, hedefli oltalama saldırılarının genel oltalama saldırılarına kıyasla önemli ölçüde daha yüksek başarı oranlarına ulaştığını göstermiştir. Otorite türünün etkisi kültürel bağlamlar arasında farklılık göstermiştir. Türkiye'de bireysel otorite figürlerine dayalı saldırılar daha başarılı olurken; Katar'da kurumsal otorite figürlerini kullanan saldırılar daha etkili olmuştur. Ayrıca, ülke ile otorite türü arasındaki anlamlı etkileşim, otorite temelli saldırıların etkinliğinin büyük ölçüde uygulandıkları ülkeye ve otoritenin biçimine bağlı olduğunu ortaya koymaktadır. Çalışma ayrıca, oltalamanın gerçekleşeceği web bağlantısına tıklama etkileşimi ile müteakip veri gönderimi arasında güçlü bir ardışık ilişki olduğunu ortaya koyarak, ilk güvenlik açığı ortaya çıktıktan sonra artan davranışsal kırılganlığı göstermektedir. Bulgular, sosyal mühendislik saldırılarına karşı savunma stratejileri tasarlanırken kültürel faktörlerin dikkatle değerlendirilmesi gerektiğini ve bilgi güvenliği politikaları geliştirilirken sosyokültürel kodların dikkate alınması gerektiğini ortaya koymaktadır. Özellikle, yüksek güç mesafeli kültürler otorite taleplerini sorgulamaya odaklanan eğitimler gerektirebilirken, düşük güç mesafeli kültürler otonom karar verme sürecini güçlendirmeyi amaçlayan müdahalelerden faydalanabilir. Kuruluşlara, güvenlik farkındalığı programlarını hedef kitlelerinin otorite dinamiklerine ve kültürel özelliklerine göre uyarlanmalıdır.

This study examines the effectiveness of authority figures in social engineering attacks in a cultural context. An experimental design was employed involving 900 participants working in electricity distribution companies in Turkey and Qatar. The analysis compared the success rates of generic phishing and spear phishing attacks, differentiated by individual and institutional authority figures. The results demonstrated that spear phishing attacks achieved significantly higher success rates compared to generic phishing attacks. The impact of authority type varied across cultural contexts. In Turkey, attacks based on individual authority figures were more successful, whereas in Qatar, attacks leveraging institutional authority figures proved more effective. Furthermore, a significant interaction effect between country and authority type was observed, indicating that the effectiveness of authority-based attacks is highly contextdependent. The study also revealed a strong sequential relationship between phishing link engagement and subsequent data submission, highlighting escalating behavioral vulnerability once initial compromise occurs. The findings suggest that cultural factors must be carefully considered when designing defense strategies against social engineering attacks. In particular, high power distance cultures may require enhanced training focused on questioning authority requests, whereas low power distance cultures may benefit from interventions aimed at strengthening autonomous decision-making. Organizations are advised to tailor their security awareness programs according to the authority dynamics and cultural characteristics of their target populations.