DOLANDIRICILAR KULLANICILARI ALDATMAK İÇİN 3N MODELİNİ NASIL KULLANIYOR?

Kabul edelim, teknolojinin hüküm sürdüğü bir dünyada yaşıyoruz. Ve bu dünyada, üst düzey yöneticiler hem kişisel hem de kurumsal varlıklarını hedef alan giderek daha karmaşık dolandırıcılıklarla karşı karşıya kalıyor. Bu aldatmacaların ardındaki "kötü oyuncuların" zihniyetini anlamak, ilk savunma hattınızdır. 

Siber suçlular yalnızca teknolojinizi hedef almazlar. En zayıf savunma hattınızın insan doğası olduğunu bilirler. Bu bilgiyle, biz insanların sahip olduğu belirli zaafları istismar etmeye odaklanırlar. Bu çabalar, güvenlik uzmanlarının "3N ( Needs, Narratives, Network) modeli " olarak adlandırdığı, ihtiyaçları, anlatıları ve ağları ifade eden şeye bağlanabilir. 

3N Modeli: Dolandırıcılıkları Anlamak İçin Stratejik Bir Çerçeve 

3N modeli başlangıçta radikalleşmenin ardındaki itici güçleri açıklamak için tasarlanmıştı. Ancak sistem ve veri güvenliğine uygulandığında, dolandırıcıların kurumsal varlıkları nasıl baltalayıp erişebildiklerini ve en sıkı güvenlik çabalarını bile nasıl engellediklerini anlamak için yararlı bir yol olabilir. Peki nasıl çalışır? 

-İhtiyaçlar: Dolandırıcılar temel insan ihtiyaçlarını tespit  ederek, bunları istismar eder. Yöneticiler için bunlar genellikle zaman baskısı, fırsatları kaçırma korkusu veya itibar zedelenmesi endişesi şeklinde olur. 

-Anlatılar: Bunlar eleştirel düşüncenizi atlatmak için tasarlanmış ilgi çekici hikayelerdir. Hikayeler genellikle bizi otoriteye, aciliyete veya münhasırlığa dayanarak harekete geçmeye zorlamak için tasarlanır. Örneğin, "Bu fırsat için seçilmiş birkaç kişiden birisiniz." 

-Ağlar: Ağlarımız etrafımızdaki insanlardan oluşur. Güvendiğimiz insanlar. Kendilerinden talimat alma olasılığımızın yüksek olduğu insanlar. Dolandırıcılar bunu bilir ve bu bilgiyi, çağrılarına güvenilirlik katmak için kullanırlar. Neden? Çünkü işe yarıyor. Bir mesaj güvendiğimiz bir meslektaştan, yönetim kurulu üyesinden, arkadaştan veya akrabadan geliyormuş gibi göründüğünde, savunmamızı düşürürüz ve onların talimatlarını takip etme olasılığımız artar. 

Yöneticinin Güvenlik Açığı: Sistem 1 Eleştirel Düşünmeyi Ele Geçirdiğinde 

Liderler genellikle analitik düşünmede çok iyidirler. Ancak dolandırıcılar " Sistem 1 " düşüncesinden faydalanırlar. 

Sistem 1 basitçe otomatik düşünmedir. Bilgi veya kararlarla karşılaştığımızda, özellikle de bizi en az dirençli yolu seçmeye zorlayan diğer seçenekler ve baskılar ortasındayken, varsayılan modumuzdur. Geçmiş deneyimlerimize veya farkında bile olmadığımız yaygın inançlara dayanarak ani kararlar veririz veya otomatik olarak yanıt veririz. 

Örneğin; bir CFO, CEO'dan önemli bir satın alma işlemini tamamlamaya yardımcı olmak için acil bir havale talebinde bulunan sesli bir mesaj alır. CFO, yönetim kuruluna bir rapor sunmak için son tarih baskısı altındadır. Şüphesiz, sesli mesaj CEO'ya benziyor. Kim cevap vermez ki? 

Günümüzde, deepfake saldırıları, CEO'nuzunki de dahil olmak üzere hemen hemen her sesin doğru bir şekilde taklit edilebileceği anlamına geliyor. Ve araştırmalar, insanların gerçek ve yapay zeka tarafından üretilen sesler arasındaki farkı doğru bir şekilde ayırt edemediği bir noktaya geldiğimizi gösteriyor. Bu yeni saldırı çağını engellemek için savunmalarımızı yeniden düşünmemiz gerekiyor. 
 

Geleneksel Güvenlik Önlemlerinin Ötesinde 

Teknoloji korumaları kesinlikle herhangi bir güvenlik çabasının önemli bir parçasıdır. Ancak teknoloji önlemleri tek başına yeterli değildir. Aslında, verileriniz ve sistemleriniz teknik güvenlik açıklarından çok insani güvenlik açıklarından daha fazla risk altındadır. 

 
3N'nin bu güvenlik açıklarını istismar etme riskini ele almaya yardımcı olacak stratejiler şunlardır: 

 
Karar-Sürtünme Noktaları Oluşturma 

Sürtünme noktaları, 3N saldırı çabalarına sanal engeller koymaya yarar. Örneğin, havale veya gizli bilgileri e-postayla gönderme gibi yüksek riskli faaliyetler için zorunlu bir "duraklatma protokolü" uygulamak. Bu duraklamalar bizi daha mantıklı ve çaba gerektiren Sistem 2 düşüncesine taşımak için tasarlanmıştır. 

Anlatı Farkındalığını Geliştirin 

Üst düzey yöneticilerden kuruluşunuzun ön saflarına kadar herkesi, siber suçluların kullandığı duygusal olarak zorlayıcı taktik türlerini anlamaları ve tanımaları için eğitin. Acil bir taleple veya savunmalarını zayıflatma çabasıyla karşı karşıya kaldıklarında, kullanıcılar harekete geçmeden önce durup bir an düşünmeye daha yatkın olacaktır. 

Hassas İstekler için Doğrulama Gereksinimi 

Personel üyeleri, finansal kaynaklar, müşteri veya çalışan verilerine erişim veya tescilli sistemlere erişimle ilgili olsun, hassas talepler aldıklarında doğrulama talep etmelidirler. Örneğin, CEO'dan gelen o sesli mesaj talebi, gerçekliği doğrulamak için farklı bir kanaldan ikinci bir kontrol yapılmasını sağlamalıdır. 

Dikkatli Liderlik Uygulaması 

Yoğun yöneticilerin herkesten daha fazla farkındalık eğitimine ihtiyacı vardır. Farkında olmak, Sistem 1 modunda çalıştığımızı fark etmemize yardımcı olur. Bu fark, eleştirel düşünceye katılmak için gereken zihinsel alanı yaratmamıza yardımcı olabilir. Duygusal durumunuzu değerlendirmek için 30 saniyelik bir duraklama bile, baskı altındayken karar alma kalitenizi önemli ölçüde iyileştirebilir. 

Kendi Güvenlik Tehdit Modellemenizi Oluşturma 

CEO dahil herkes, 3N tipi tehditleri tespit etmek ve bunlara uygun şekilde yanıt vermek üzere eğitilmelidir. Şirketinizin karşılaştığı tehdit türlerini ve 3N saldırılarına düşme riski en yüksek olan kişileri dikkatlice değerlendirin. Bu savunmaları test etmek için kullanılabilecek senaryolar geliştirin (kimlik avı tatbikatlarını nasıl yürüteceğinize benzer şekilde) ve bunları eğitim çabalarına dahil edin. Senaryoları, yanıtları, öğrenilen dersleri ve gelecekte daha iyi bir sonuç sağlayabilecek potansiyel süreç iyileştirmelerini tartışarak değerlendirme yapın. 

 
Güvenlik önlemleriniz ve teknoloji kontrolleriniz gelişmiş ve karmaşık olsa da, insan manipülasyonu riski hala mevcuttur. 3N modelini tanımanız ve siber suçluların bunu nasıl kullandığını fark etmeniz, güvenlik girişimlerinizi artırabilir ve bu tür tehditlerin etkisini azaltabilir. En önemli güvenlik varlığınız teknolojiniz değil, çalışanlarınızdır.