Teachers' Awareness Levels of Phishing Attacks

Year 2025, Issue: 2, 83 - 104, 30.06.2025

Neslihan Genç , Murat Yücel

https://doi.org/10.71270/istanbulegitim.istj.1660280

Abstract

In today's digital world, where cybersecurity has become increasingly important, phishing attacks are one of the most common cyber threats used to obtain sensitive information and gain access to systems. These attacks, which are carried out using social engineering techniques, now target not only individuals but also all economic and social strata, from small businesses to multinational companies, local governments to critical state infrastructure. This research is a quantitative study based on a descriptive survey model, conducted to determine the awareness levels of teachers working at different levels (kindergarten, primary, secondary, high school) in official schools affiliated with the Ministry of National Education, regarding phishing attacks. In this context, realistic phishing emails that teachers selected through snowball sampling might receive during their daily professional activities were designed, and their awareness levels and responses to such attacks were analysed using these emails. According to the research findings, it was revealed that even teachers in technical fields haven’t had sufficient awareness of phishing attacks. These results show that teachers are vulnerable to cyber threats and that comprehensive training programmes are needed. In this case, it may be recommended that the relevant training programmes cover all teachers and that the training content be enriched with interactive simulations and phishing scenarios to provide teachers with practical experience. Additionally, integrating digital literacy courses into teachers' professional development programmes and comprehensively addressing topics such as safe internet use, strong password creation, data protection, and phishing attack recognition within this scope can significantly contribute to increasing cybersecurity awareness.

Keywords

digital world, Cybersecurity, cyber threat, phishing attacks, teacher awareness

Ethical Statement

This study is based on the master's thesis titled “Researching Teachers' Awareness of Phishing Attacks” that we completed under the supervision of Prof. Dr. Murat Yücel (Unpublished Master's Thesis, Gazi University, Ankara, Türkiye, 2024). We as the authors of the article have acted according to scientific ethics, principles, and rules at all stages of the research (preparation, literature review, data collection, data analysis, presentation); we have included all of the works used in this study in the references; we have not made any changes to the data while using the data; the research does not contain plagiarism; we state that we have complied with ethical duties and responsibilities by accepting all the terms and conditions of the Scientific Research and Publication Ethics Directive of Higher Education Institutions and the Committee on Publication Ethics (COPE) Principles; we state to accept all moral and legal consequences in case any situation contrary to our statement regarding our research is detected.

Supporting Institution

There is no statement of support for the article.

Thanks

There is no statement of acknowledgement for the article.

Öğretmenlerin Oltalama Saldırılarına Karşı Farkındalık Düzeyleri

Abstract

Siber güvenliğin önem kazandığı dijital dünyada oltalama saldırıları, hassas bilgileri ele geçirmek ve sistemlere erişim sağlamak için kullanılan en yaygın siber tehditlerden biridir. Sosyal mühendislik teknikleriyle gerçekleştirilen bu saldırılar, günümüzde sadece bireyleri değil, küçük işletmelerden çok uluslu şirketlere, yerel yönetimlerden kritik devlet altyapılarına kadar tüm ekonomik ve sosyal katmanları hedef almaktadır. Bu araştırma, Millî Eğitim Bakanlığı’na bağlı resmî okullardaki farklı kademelerde (anaokulu, ilkokul, ortaokul, lise) görev yapan öğretmenlerin oltalama saldırılarına karşı farkındalık düzeylerini belirlemek amacıyla betimsel tarama modeline dayalı olarak gerçekleştirilmiş nicel bir çalışmadır. Bu bağlamda kartopu örnekleme ile seçilen öğretmenlerin günlük mesleki faaliyetleri sırasında alabilecekleri gerçekçi oltalama e-postaları tasarlanmış ve e-postalar kullanılarak bu tür saldırılara karşı farkındalık düzeyleri ve verdikleri tepkiler analiz edilmiştir. Araştırma bulgularına göre öğretmenlerin teknik branşlarda dâhi oltalama saldırılarına karşı farkındalık düzeylerinin yeterli olmadığı ortaya çıkmıştır. Bu sonuçlar, öğretmenlerin siber tehditlere karşı savunmasız olduğu ve kapsamlı eğitim programlarına ihtiyaç duyulduğunu göstermektedir. Bu durumda, ilgili eğitim programlarının tüm öğretmenleri kapsaması; eğitim içeriklerinin interaktif simülasyonlar ve oltalama senaryolarıyla zenginleştirilerek öğretmenlere pratik deneyim kazandırması önerilebilir. Ayrıca, dijital okuryazarlık derslerinin öğretmenlerin mesleki gelişim programlarına entegre edilmesi ve bu kapsamda güvenli internet kullanımı, güçlü şifre oluşturma, veri koruma ve oltalama saldırılarını tanıma gibi konuların kapsamlı bir şekilde ele alınması, siber güvenlik farkındalığının artırılmasına önemli katkılar sağlayabilir.

Keywords

dijital dünya, Siber güvenlik, siber tehdit, oltalama saldırıları, öğretmen farkındalığı

Ethical Statement

Bu çalışma Prof. Dr. Murat Yücel danışmanlığında tamamladığımız “Öğretmenlerin Oltalama Saldırıları Farkındalıklarının Araştırılması” başlıklı yüksek lisans tezi esas alınarak hazırlanmıştır (Yüksek Lisans Tezi, Gazi Üniversitesi, Ankara, Türkiye, 2024). Bu araştırmanın bütün aşamalarında (hazırlık, literatür taraması, veri toplama, veri analizi, sunum) bilimsel etik, ilke ve kurallara uygun davrandığımızı; bu çalışma kapsamında yararlanılan eserlerin tamamına kaynakçada yer verdiğimizi; verileri kullanırken veriler üzerinde bir değişiklik yapmadığımızı; araştırmanın intihal içermediğini; Yükseköğretim Kurumları Bilimsel Araştırma ve Yayın Etiği Yönergesi ile Yayın Etiği Komitesi (COPE) İlkelerinin tüm şartlarını ve koşullarını kabul ederek etik görev ve sorumluluklara riayet ettiğimizi; araştırmamızla ilgili burada yazılı olan ifadelerimize aykırı herhangi bir durumun saptanması durumunda ortaya çıkabilecek ahlaki ve hukuki bütün sonuçları kabul edeceğimizi beyan ederiz.

Supporting Institution

Araştırma için herhangi bir destek beyanı bulunmamaktadır.

Thanks

Araştırma için herhangi bir teşekkür beyanı bulunmamaktadır.

References

• Abreu, G. (2023). Snowball sampling: Unveiling the secrets of a powerful research tool. Mind the GRAPH. https://mindthegraph.com/blog/snowball-sampling/ adresinden 10 Nisan 2024 tarihinde alınmıştır.
• Abroshan, H., Devos, J., Poels, G., & Laermans, E. (2021). Phishing happens beyond technology: The effects of human behaviors and demographics on each step of a phishing process. IEEE Access, 9, 44928–44949. http://doi.org/10.1109/access.2021.3066383
• Aldawood, H., & Skinner, G. (2019). Reviewing cyber security social engineering training and awareness programs-pitfalls and ongoing issues. Future Internet, 11(3), 73. https://doi.org/10.3390/fi11030073
• Arslan, Y. (2021). Oltalama saldırıları farkındalık tatbikatı örneği. Düzce Üniversitesi Bilim ve Teknoloji Dergisi, 9(3), 348-358. https://doi.org/10.29130/dubited.832862
• Aslan, M. (2022). Maintaining cybersecurity awareness in large-scale organizations: A pilot study in a public institution [Yayımlanmamış yüksek lisans tezi]. Çankaya Üniversitesi.
• Ateş, S. ve Küçük, S. (2023). Öğretmenlerin bilgi güvenliği farkındalık ve dijital okuryazarlık durumlarının incelenmesi. Necmettin Erbakan Üniversitesi Ereğli Eğitim Fakültesi Dergisi, 5(2), 491–534. https://doi.org/10.51119/ereegf.2023.66
• Çakır, H. ve Taşer, M. (2023). Türkiye’de yapılan siber güvenlik faaliyetlerinin ve eğitim çalışmalarının değerlendirilmesi. Gazi Üniversitesi Fen Bilimleri Dergisi Part C: Tasarım ve Teknoloji, 11(2), 347-366. https://doi.org/10.29109/gujsc.1165131
• Canoğulları, E. (2021). Öğretmenlerin bilgi güvenliği konusundaki farkındalıklarının incelenmesi. Kalem Eğitim ve İnsan Bilimleri Dergisi, 11(2), 651–679. https://doi.org/10.23863/kalem.2021.219
• Carella, A., Kotsoev, M., & Truta, T. M. (2017). Impact of security awareness training on phishing click-through rates. 2017 IEEE International Conference on Big Data (Big Data), 4458–4466. https://doi.org/10.1109/BigData.2017.8258485
• Daengsi, T., Pornpongtechavanich, P., & Wuttidittachotti, P. (2021). Cybersecurity awareness enhancement: A study of the effects of age and gender of Thai employees associated with phishing attacks. Education and Information Technologies, 27(4), 4729–4752. https://doi.org/10.1007/s10639-021-10806-7
• De Bona, M., & Paci, F. (2020). A real world study on employees’ susceptibility to phishing attacks. Proceedings of the 15th International Conference on Availability, Reliability and Security, 4, 1-10. https://doi.org/10.1145/3407023.3409179
• Goel, D., & Jain, A.K. (2018). Mobile phishing attacks and defence mechanisms: State of art and open research challenges. Comput. Secur, 73, 519-544. https://doi.org/ 10.1016/j.cose.2017.12.006
• Gordon, W. J., Wright, A., Aiyagari, R., Corbo, L., Glynn, R. J., Kadakia, J., Kufahl, J., Mazzone, C., Noga, J., Parkulo, M., Sanford, B., Scheib, P., & Landman, A. B. (2019). Assessment of employee susceptibility to phishing attacks at US health care institutions. JAMA Network Open, 2(3), e190393. https://doi.org/10.1001/jamanetworkopen.2019.0393
• Hillman, D., Harel, Y., & Toch, E. (2023). Evaluating organizational phishing awareness training on an enterprise scale. Computers & Security, 132, 103364. https://doi.org/10.1016/j.cose.2023.103364
• Kahriman, Y. (2022). Türkiye’de siber güvenlik alanında yapılan tezlerin incelenmesi: Bibliyografik bir çalışma [Yayımlanmamış yüksek Lisans tezi]. Necmettin Erbakan Üniversitesi.
• KnowBe4. (2023). Phishing by industry benchmarking report 2023. https://www.knowbe4.com/hubfs/ 2023-Phishing-by-Industry-Benchmarking-Report-Research-EN_US.pdf adresinden 10 Nisan 2024 tarihinde alınmıştır.
• Korkmaz, M., Kocyigit, E., Sahingoz, O. K., & Diri, B. (2021). Deep neural network based phishing classification on a high-risk url dataset. Advances in Intelligent Systems and Computing, 648–657. https://doi.org/10.1007/978-3-030-73689-7_62
• LivingSecurity. (2024). Recent phishing attacks: How they were executed and what we can learn. https://www.livingsecurity.com/blog/recent-phishing-attacks-and-lessons adresinden 10 Nisan 2024 tarihinde alınmıştır.
• Mohammad, R. M., Thabtah, F., & McCluskey, L. (2015). Tutorial and critical analysis of phishing websites methods. Computer Science Review, 17, 1–24. https://doi.org/10.1016/ j.cosrev.2015.04.001
• Mohebzada, J. G., Zarka, A. E., Bhojani, A. H., & Darwish, A. (2012). Phishing in a university community: Two large scale phishing experiments. 2012 International Conference on Innovations in Information Technology (IIT), 249-254. https://doi.org/10.1109/ innovations.2012.6207742
• Mustafa, M. S. B. O., Kabir, M. N., Ernawan, F., & Jing, W. (2019). An enhanced model for increasing awareness of vocational students against phishing attacks. 2019 IEEE International Conference on Automatic Control and Intelligent Systems (I2CACIS), 10-14. https://doi.org/10.1109/i2cacis. 2019.8825070
• Olsen, R. V., & Tokerud, S. (2020). Teachers’ information security awareness: A qualitative study of primary and lower secondary school teachers in Kristiansand and Vennesla municipalities [Master’s thesis]. University of Agder.
• Phishing.org. (2024). History of phishing. https://www.phishing.org/history-of-phishing adresinden 27 Şubat 2024 tarihinde alınmıştır.
• Proofprint. (2024). State of the phish 2024. https://www.proofpoint.com/sites/default/files/threat-reports/pfpt-us-tr-state-of-the-phish-2024.pdf adresinden 27 Şubat 2024 tarihinde alınmıştır.
• Rader, M. A., & Rahman, S. S. (2013). Phishing techniques and mitigating the associated security risks. International Journal of Network Security & Its Applications, 5(4), 23–41. https://doi.org/10.5121/ijnsa.2013.5402
• Ravichandran, R., Singh, S., & Sasikala, P. (2025). Exploring school teachers’ cybersecurity awareness, experiences, and practices in the digital age. Journal of Cybersecurity Education, Research and Practice, 1, 1-27. https://doi.org/10.62915/2472-2707.1214
• Ribeiro, L., Guedes, I. S., & Cardoso, C. S. (2024). Which factors predict susceptibility to phishing? An empirical study. Computers & Security, 136, 103558. https://doi.org/10.1016/j.cose.2023.103558
• Rizzoni, F., Magalini, S., Casaroli, A., Mari, P., Dixon, M., & Coventry, L. (2022). Phishing simulation exercise in a large hospital: A case study. Digital Health, 8. https://doi.org/10.1177/20552076221081716 Sapanca, H. F., & Kanbul, S. (2022). Risk management in digitalized educational environments: Teachers’ information security awareness levels. Frontiers in Psychology, 13, Article 986561. https://doi.org/10.3389/fpsyg.2022.986561
• Vade Secure. (2023). Phishing and malware report. https://www.vadesecure.com/hubfs/ Ressource%20Marketing%20Website/Report/Q3%202023%20Phishing%20and%20Malware%20Report-EN.pdf adresinden 27 Şubat 2024 tarihinde alınmıştır.
• Verizon. (2023). Data breach investigations report. https://www.verizon.com/business/resources/ reports/2023-data-breach-investigations-report-dbir.pdf adresinden 27 Şubat 2024 tarihinde alınmıştır.
• Vikisöz. (2022). Charles Duell. https://tr.wikiquote.org/wiki/Charles_Duell adresinden 12 Aralık 2023 tarihinde alınmıştır.
• World Economic Forum (WEF) (2022). Global risks report 2022. https://www3.weforum.org/docs/ WEF_The_Global_Risks_Report_2022.pdf adresinden 12 Aralık 2023 tarihinde alınmıştır.
• Yeoh, W., Huang, H., Lee, W. S., Al Jafari, F., & Mansson, R. (2021). Simulated phishing attack and embedded training campaign. Journal of Computer Information Systems, 62(4), 802–821. https://doi.org/10.1080/08874417.2021.1919941