İnsanlar bilince, duygulara ve düşüncelere dayalı olarak hareket etme kapasitesine sahip karmaşık varlıklardır. Sürekli gelişen siber güvenlik alanında, insanlar sürekli olarak saldırganların birincil hedefi olmaya devam ediyor. Yıllar geçtikçe bu saldırganlar, kişisel ve kurumsal güvenlik olsun, güvenliği tehlikeye atacak şekilde insan davranışını etkilemek amacıyla önyargıları ve duygusal tetikleyicileri manipüle etme becerilerini geliştirerek çeşitli insan niteliklerinden yararlanma konusundaki uzmanlıklarını geliştirdiler.
Bir ‘insan faktörü’nden daha fazlası
İnsanlığımızı neyin tanımladığını anlamak, niteliklerimizin nasıl kırılganlık olarak algılanabileceğini anlamak ve zihinlerimizin nasıl hedef alınabileceğini anlamak, kaçınılmaz olarak hedef haline geldiğimizde tanımlama ve tepki vermenin temelini sağlar.
İnsan zihni, yıllar boyunca doğal çevreye maruz kalma, başkalarıyla etkileşimler ve geçmiş deneyimlerden alınan derslerle gelişen karmaşık bir manzaradır.
İnsanlar olarak, çoğu zaman tam olarak ifade edilemeyecek kadar karmaşık olan çok sayıda özellik ve duyguyla işaretlenmiş zihinlerimiz bizi diğerlerinden ayırır.
İnsan davranışı karmaşıktır
Temel özelliklerimizden bazılarını şu şekilde özetleyebiliriz:
- Güven – İnsanlar, doğuştan gelen iyiliği varsayarak başkalarına güvenirler.
- Empati – İnsanlar başkalarına ve onların duygularına özen gösterirler.
- Benlik – İnsanlar, akranlarını gölgede bırakmayı amaçlayan rekabetçi bir ruha sahiptirler.
- Suç – İnsanlar, özellikle başkalarına zarar verdiklerinde yaptıkları eylemlerden dolayı pişmanlık duyarlar.
- Açgözlülük – İnsanlar sahip olmayı arzular ve dürtüselliğe yenik düşebilirler.
- Aciliyet – İnsanlar acil müdahale gerektiren durumlara anında tepki verirler.
- Güvenlik Açığı – İnsanlar sıklıkla korkuyla boğuşur ve duyguları konusunda samimidir.
Bu liste kapsamlı olmasa da insan davranışını yönlendiren ortak ve anlaşılır yönleri özetlemektedir. İnsan etkileşimleri, hayata önem katan ve kültürel normları geliştiren temel değere sahiptir. Ancak bizi sömürmek isteyen saldırganlar için insan-insan etkileşimlerinin sosyal yapısı, manipülasyon için bir yol sağlar.
Doğal olarak sosyal doğamız bizi bu özelliklere geri dönmeye zorlar. Duygular günlük yaşamımızda iletişim, problem çözme ve bağlantılar için bir güvenlik ağı görevi görür ve çeşitli durumlarda bizi daha fazla yönlendirip koruyacak duygusal tepkilerimize güvenmeye başladık.
Düşünüyorum, dolayısıyla manipüle edilebilirim
Saldırganlar, insanları hedef alırken bu güvenlik ağından (duygular ve temel özellikler) yararlanır; çünkü bu ağ, hedeflerine ulaşmak için manipüle edilebilir. Bazı güvenlik önlemlerinin içgörü eksikliği nedeniyle başarısız olması nedeniyle, “çevrimiçi” alana girdiğimizde bu güvenlik ağı daha da zayıflıyor. İletişimin ekrandaki bir isimle soyutlanması, çoğu zaman zihinlerimizi, durumları duygularımızın doğru bir şekilde yönlendiremeyeceği şekilde yorumlama konusunda yanıltır.
Manipülasyon alanında, insan davranışını etkilemek için yüzyıllar boyunca çeşitli modeller ve yöntemler kullanılmıştır. Günümüz bağlamında saldırganlar, sistemdeki istismar edilebilecek zayıflıklar olarak nitelendirilen insani güvenlik açıklarını belirlemek için bu modellerden yararlanıyor.
Saldırganlar, dikkatlice hedeflenen saldırılar aracılığıyla temel özellikleri doğrudan manipüle etmenin yanı sıra, etki ve ikna yöntemleriyle de insanları hedef alma eğilimindedir. Bunlar şu şekilde özetlenebilir ve insanlar zihinsel olarak bu alemlerde faaliyet gösterme eğilimindedirler:
- Karşılık Verme: İnsanlar aldıklarının karşılığını vermek zorunda hissederler.
- Otorite – İnsanlar yetkili/bilinen şahsiyetlere uyma eğilimindedir.
- Kıtlık – İnsanlar daha az ulaşılabilir olan eşyaları arzularlar.
- Bağlılık ve Tutarlılık – İnsanlar rutini ve yapıyı tercih eder.
- Beğenme – İnsanlar duygusal bağlantılar kurar.
- Sosyal Kanıt – İnsanlar onaylanma ve şöhret ararlar.
Bu yönler, duygular ve temel özelliklerle birleştirildiğinde insan zihnindeki potansiyel zayıf noktalar olarak görülebilir. Saldırganlar, eylemlerimiz üzerinde doğrudan kontrol sahibi olmak için bu yönlerden yararlanır; bu durum artık sosyal mühendislik olarak kabul edilmektedir. Sosyal mühendislik, çeşitli teknikleri ve taktikleri kapsar, ancak özünde, doğru bir şekilde hazırlanmış etkileşimler yoluyla yukarıda bahsedilen alanların bir veya daha fazlasından yararlanır.
Saldırı formülü
İnsanları hedef alan saldırganların işleyiş tarzını açıklamak için basit formüller formüle edebiliriz.
Standart bir saldırgan formülü aşağıdaki gibi olacaktır:
(Hedef) + (Güvenlik Açığı) + (Kullanım) = Uzlaşma
Ancak insana uygulandığında şu şekilde olabilir:
(İnsan Zihni) + (Duygusal Tetikleyici/Özellik) + (Sosyal Mühendislik Tekniği) = Sonuç Tepkisi Yoluyla Amaçlanan Hedef
Genellikle e-posta, telefon aramaları veya kısa mesajlar gibi dijital kanallarda görülen istismar teknikleri, kimlik avı için sıklıkla kullanılıyor. Bu taktikler, bireyleri fonlardan ayrılmaları için kandırmak, kötü amaçlı dosyaları açmak, kimlik bilgilerini göndermek veya hassas verileri ifşa etmek gibi çeşitli hedeflere ulaşmak için yerleşik etkileşimleri manipüle eder. Bu saldırıların sonuçları bireysel kayıplardan organizasyonel ihlallere kadar değişebilir.
Kendimizi savunmak
Zihnimize yönelik bu saldırılara karşı korunmak için aşağıdaki gibi sorular sorarak bilişsel standartlarımızı duygusal tetikleyicilerle uyumlu hale getirmeliyiz; etkileşimin amacı, beklentisi ve meşruiyeti nedir? Bu sorular dürtüsel tepkileri önleyebilir ve iç gözlem yapmaya olanak sağlayabilir.
“Dur ve değerlendir” zihniyetini oluşturmak, kişisel ve kurumsal güvenliği artırmak için uyanıklıkla güçlendirilmiş zihinsel bir güvenlik duvarı görevi görür. Potansiyel saldırıları göz önünde bulundurarak güvenlik açıklarına ilişkin farkındalığımızı artırıyor ve dayanıklılık üzerinde çalışıyoruz. Bu farkındalık, proaktif bir yaklaşımla birleştiğinde, zihinlerimize ve insanlığımıza yönelik tehditleri azaltmaya yardımcı olur, saldırganları silahsızlandırmak ve operasyonlarını zayıflatmak için işbirliğini teşvik eder.
Dikkatli olun, bilgi sahibi olun ve her şeyi sorgulamaya devam edin.
Bu, Security Navigator’da bulunan hikayelerden sadece bir tanesi. Hacktivizm araştırması ve Siber Gasptaki artışın analizi (ve diğer birçok ilginç araştırma konusu) gibi diğer heyecan verici araştırmaları da burada bulabilirsiniz. Ücretsizdir, o yüzden bir göz atın. Buna değer!
Not: Bu makale Orange Cyberdefense Eğitim Müdürü ve Teknik Ekip Lideri Ulrich Swart tarafından ustalıkla yazılmıştır.