Hedef odaklı kimlik avı psikolojisi

Ocak 29, 2019

Güvenlik açıklarından bahsederken genellikle bilgi sistemlerindeki kodlama hatalarını ve zayıf noktaları kastederiz. Ancak potansiyel mağdurların zihninde başka güvenlik açıkları da bulunur.

Bu açıklar, siber güvenlik farkındalığının olmamasından veya bu konunun ihmal edilmesinden kaynaklanmaz; zaten bu tür problemlerle baş etmenin yolu aşağı yukarı bellidir. Kullanıcının beyni bazen, yalnızca sosyal mühendisliğin etkisiyle, BT güvenlik uzmanlarının istediğinden biraz daha farklı çalışabilir.

Sosyal mühendislik, temelde sosyoloji ve psikolojinin bir birleşimidir. Önceden belirlenmiş bir sonuca yol açacak bir ortam oluşturan bir teknikler kümesidir. Siber suçlular, insanların korkuları, duyguları ve refleksleri üzerine oynayarak faydalı bilgilere erişebilir. Günümüzün hedefli saldırılarının altında yatan da genellikle bu “bilim”dir.

Dolandırıcıların hedef aldığı dört ana duygu şunlardır:

  • Merak
  • Acıma
  • Korku
  • Hırs

Bunlara güvenlik açıkları demek doğru olmaz; bunlar yalnızca doğal insani duygulardır. Manipülatörlerin kurbanlarını ikna etmeye çalıştıkları, tercihen beynin otomatik olarak faaliyete geçeceği bir şekilde, eleştirel düşünmenin kullanılmadığı “etki kanalları” daha yerinde bir tanım olabilir. Bunu başarmak için de siber suçluların başvurduğu birçok hile vardır. Elbette, bazı taktikler bazı insanlarda diğerlerine göre daha çok işe yarar. Ama biz en yaygın olanlardan birkaç tanesine göz atmaya ve tam olarak nasıl kullanıldıklarını açıklamaya karar verdik.

Otoriteye saygı

Bu bilişsel önyargılardan, yani davranış, algı ve düşünmedeki sapma kalıplarından biridir. Kişinin, bu tür bir eylemin uygunluğuyla ilgili kendi yargılarını göz ardı ederek, nispeten tecrübe ve güç sahibi olanlara sorgusuz sualsiz itaat etme eğilimine dayanır.

Pratikte bu yöntem, patronunuzdan geldiğini sandığınız bir kimlik avı e-postasıyla uygulanabilir. Doğal olarak, eğer mesajda twerk yaparken kendinizi filme almanız ve videoyu on arkadaşınıza göndermeniz söyleniyorsa, bunu etraflıca bir düşünebilirsiniz. Ancak amiriniz, yeni bir proje belgesini okumanızı istiyorsa, eke tıklamaya daha hazır olabilirsiniz.

Zaman baskısı

En sık başvurulan psikolojik manipülasyon yöntemlerinden biri, aciliyet hissi yaratmaktır. Bilinçli, akılcı bir karar alırken, ilgili tüm bilgileri ayrıntılı olarak incelemek genellikle iyi bir fikirdir. Bu da zaman alır. İşte dolandırıcılar kurbanlarından bu değerli varlığı esirger.

Manipülatörler “Hesabınıza erişme girişiminde bulunuldu. Bunu yapan siz değilseniz hemen bu bağlantıya tıklayın…” diyerek korku yaratır veya “İlk tıklayan on kişi indirim kazanacak, kaçırmayın…” diyerek kolay para kazanma hırsından faydalanır. Zamanın azaldığı hissine kapılan mağdurun, içgüdülerine yenik düşme ve akılcı bir karar yerine duygusal bir karar verme olasılığı büyük ölçüde artar.

“Acil” ve “önemli” olduğunu defalarca vurgulayan mesajlar bu kategoriye girer. İlgili sözcükler genellikle, etkiyi artırmak için tehlikenin rengi olan kırmızıyla vurgulanır.

Otomatizm

Psikolojide, bilinçli zihnin doğrudan rol oynamadığı eylemlere otomatizm adı verilir. Otomatizmler birincil (doğuştan, üzerine düşünülmemiş) veya ikincil (artık üzerine düşünülmeyen, bilinç aşamalarından geçirilmiş) olabilir. Ayrıca otomatizmler motor, konuşma veya zihinsel olarak sınıflandırılır.

Siber suçlular, kimi alıcıların otomatik tepki gösterebileceği mesajlar göndererek otomatizmleri harekete geçirmeye çalışır. Bunlar arasında “E-posta gönderilemedi, tekrar göndermek için tıklayın” gibi mesajlar, alıcının ilgisini çekecek kadar büyük bir “Abonelikten çık” butonu olan bültenler ve sosyal ağlardaki yeni yorumlar hakkında sahte bildirimler yer alır. Bu durumda verilen tepki ikincil motor ve zihinsel otomatizmlerin sonucudur.

Beklenmedik açıklamalar

Bu da oldukça yaygın bir manipülasyon türüdür. Saldırganlar, dürüst bir itiraf olarak paketlenip size gönderilen bilgiler üzerinde, bağımsız olarak keşfettiğiniz bilgilere kıyasla daha az eleştirel düşünmenizden faydalanır.

Pratikte bu yöntem, şuna benzer bir mesajla uygulanabilir: “Parola sızıntısı yaşadığımızı üzülerek bildiririz. Lütfen bu sızıntıdan etkilenenler listesinde olup olmadığınızı kontrol edin.”

Ne yapmalısınız?

Siber suçluların ekmeğine yağ süren bu algı bozuklukları maalesef ki biyolojiktir. Bu otomatizmler, dünyaya adapte olma, zaman ve enerji tasarrufu sağlama konusunda bize yardımcı olmak üzere beynin evrimi sırasında ortaya çıkmıştır. Bu bozuklukların neredeyse tamamı eleştirel düşünme becerisinin eksikliğinden kaynaklanır ve birçok adaptasyon, modern gerçeklere uygun değildir. Ama korkmayın, insan ruhunu biraz tanıyarak ve aşağıdaki bazı basit ipuçlarını uygulayarak manipülasyonlara karşı koyabilirsiniz:

  1. Üstlerinizden gelen mesajları, eleştirel bir gözle okumayı kendinize prensip edinin. Sizden parola korumalı bir arşivi açmanızı isteyen patronunuz neden aynı e-postada arşivin anahtarını da göndersin? Ya da hesaba erişimi olan bir yönetici neden sizden yeni bir iş ortağını para aktarmanızı istesin? Neden birisi her zaman olduğu gibi telefonla aramak yerine e-posta atmayı tercih ederek sıra dışı bir işi size atasın? Tuhaf görünen bir şeyler varsa farklı bir iletişim kanalı üzerinden bu tuhaflıkları doğrulamaya çalışın.
  2. Acil bir işlem yapmanızı isteyen mesajlara anında tepki vermeyin. Mesajın içeriği sizi şaşırtsa bile sakin kalın. Herhangi bir bağlantıya tıklamadan önce göndereni, etki alanını ve bağlantıyı kontrol etmeyi unutmayın. Hala emin olamıyorsanız BT departmanıyla iletişime geçin.
  3. Belirli bir türdeki mesajlara otomatik olarak yanıt verme eğiliminizin olduğunu fark ederseniz tipik eylem sıranızı bilinçli bir şekilde gözden geçirin. Bu sayede mesajlara bilinçsiz ve otomatik bir şekilde yanıt vermeyi önleyebilirsiniz. Burada önemli olan nokta bilincinizi doğru zamanda harekete geçirmektir.
  4. Kimlik avı saldırılarından nasıl kaçınabileceğinizi gösteren önceki ipuçlarımızı unutmayın:
    Hedefli kimlik avı saldırılarını nasıl tanıyabilirsiniz?
    Kimlik avı saldırılarına karşı 10 ipucu
  5. Güvenilir kimlik avı önleme teknolojilerine sahip güvenlik çözümlerini kullanın. Bu sayede sızma girişimlerinin çoğu, ilk koruma kalkanınıza takılıp başarısız olacaktır.