EresusSecurity
Araştırmalara Dön
Insights

İnsanları Hacklemek: Sosyal Mühendislik ve Psikolojisi

Eresus Security Research TeamGüvenlik Araştırmacısı
23 Ocak 2026
11 dk okuma

TL;DR (Özet): "Bana göre", sosyal mühendislik çalışmaları en heyecan verici ve kalp atışlarını en çok hızlandıran çalışmalardır. İş, sadece yaka kartı okuyucusunda veya ön büroda başlamaz. Erişim, içeriden biri bir karar verdiğinde gerçekleşir. Kameralar çalışır. Kartlar çalışır. Kilitler çalışır. Başarısızlık, bir çalışan şu kararı verdiğinde olur: "Bu kişi buraya mı ait yoksa o bir davetsiz misafir mi?" Operatörlerin içeri girmek için güç kullanmalarına gerek yoktur; sadece insanları içeri girmelerine izin vermeleri için ikna etmeleri gerekir. Bu konu muhtemelen en sevdiğim konu; çünkü onarılması en zor açık bu.

Kalıpları Tanımak

Operatör, göreve başlamadan önce hedeflenen kurum, çalışanlar ve organizasyon hakkında açık kaynaklı istihbarat (OSINT) toplar. Operatörler; LinkedIn, Facebook, Instagram ve Glassdoor gibi sitelerde arama yaparak herkese açık profilleri, ilgi alanlarını, rutinleri, check-in'leri, çevrimiçi paylaşımları, kimin yeni bir işe başladığını, kimin tatile çıktığını veya hangi çalışanın ne kadar bunaldığını (overwhelmed) açıkça belirten paylaşımları ortaya çıkarabilir. Operatör için bu bilgilerin çoğu herkese açıktır:

  • Öngörülebilir günlük kalıplar (hareket kalıpları, varış ve çıkış saatleri)
  • Seyahatler, konferanslar, şikayetler, yorumlar veya tatillerle ilgili herkese açık paylaşımlar
  • İş arkadaşları, yöneticiler veya departmanların adları
  • Yükleniciler veya diğer hizmetlerle olan üçüncü taraf ilişkileri
  • Kişisel ilgi alanları ve hobiler (evcil hayvanlar, spor, arabalar, vb.)
  • İş yerinde tanıdık görünen üniformalar, ekipmanlar, araçlar veya çantalar
  • Erişim noktalarını açık bırakan toplantı ve eğitim günleri
  • Ayaküstü sohbetler, kulaklık takanlar ve sigara molaları gibi iş yerindeki dikkat dağıtıcı unsurlar
  • Yaka kartlarını, kat isimlerini, oda numaralarını, girişleri veya otoparkı gösteren fotoğraflar ve paylaşımlar

Bilgi Eşittir Erişim

  • İnsanlar telaşla bir yere yetişirken → Telaşa dahil olup içeri girin → Güvenlik kuyruğun ilerlemesini ve durmamasını ister
  • Önemli biri yoksa veya seyahatteyse → O yokken ortaya çıkın → Sorgulayacak yetkili kimse yoktur
  • Yöneticilerin veya personelin gerçek isimleri → Bu isimlerden gelişigüzel bahsedin → Kanıtlamadan bile kulağa bir "izinmiş" gibi gelir
  • Hangi satıcılar veya hizmetler yaygın → Onlardan biriymiş gibi davranın → Tanıdık olduğu için normal görünür
  • Birinin hobileri veya ilgi alanları → Ortak nokta bulmak için ufak sohbetler edin → İnsanlar kendilerine benzeyenlere güvenir
  • Meşgul veya eksik personel olmaktan kaynaklı şikayetler → "Sorunu çözmeyi" teklif edin → İnsanlar bunaldıklarını hissettiklerinde yardımı içeri alırlar
  • Hangi üniformalar, aletler veya çantalar normal görünüyor → Benzer bir şey taşıyın → İnsanlar kişiye değil nesneye (alete/çantaya) güvenir
  • Toplantılar veya eğitimler personeli uzaklaştırdığında → Kontrol noktaları boşken geçin → Önemli olan anlarda kimse izlemiyordur
  • Herkes bir başkası için kapıyı tutar → İçeri giren birinin peşine takılıp (piggybacking) girin → Alışkanlık her zaman kuralı ezer geçer
  • Yaka kartlarını, odaları veya konumları gösteren fotoğraflar → Nereye gideceğinizi biliyormuş gibi özgüvenle yürüyün → Hareket şekli doğru göründüğünden kimse durumu sorgulamaz

Ortamı Okumak

Operatörün her zaman bir persona yaratmasına veya "rol yapmasına" ihtiyacı yoktur. Organizasyon içindeki insanların normalde nasıl davrandığını ve etkileşimde bulunduğunu öğrenmeleri yeterli olabilir. Her iş yeri kendi ritmini ve alışkanlıklarını geliştirir. Amaç, bu kalıplardan sapmak yerine onlara uyum sağlamaktır. Başarılı bir sızma, organizasyonun zaten beklediği ve kabul ettiği şekilde hareket ederek gerçekleştirilir. Operatör kendisine şu soruları sormalıdır:

  • Çoğu insan uyanık (tetikte) mı yoksa dikkati dağınık mı?
  • İnsanlar organizasyon içinde doğal olarak nasıl hareket ediyor?
  • Yaka kartı göstermek sadece bir "öneri" mi?
  • Dikkatler nerede toplanıyor?
  • Ortamın ruh halini kim belirliyor?
  • Hızlı bir ortam mı?
  • Yavaş bir ortam mı?
  • Düzenli bir ortam mı?

Not: İşte tam bu noktada otomasyon önyargısı (automation bias) devreye girer. Beyin, doğru olup olmadığını kontrol etmeden önce normal hissettiren şeye güvenir. Operatör doğru hızda hareket ettiğinde ve halihazırda nereye gideceğini biliyormuş gibi göründüğünde, insanlar operatörün oraya ait olduğunu varsayacaktır. Otomasyon önyargısı üzerine yapılan araştırmalar; bir şey beklenen bir modele uyduğunda, beynin bunu doğrulamak yerine otomatik olarak kabul ettiğini göstermektedir.

Savunmacılar İçin İpucu: Operatör organizasyonun kalıplarını bozacak şekilde hareket ederse, işte o kişinin kimliğini sorgulamaya istekli olmalısınız.

Kuruluşlar Neden Hâlâ Başarısız Oluyor?

Kuruluşlar sosyal mühendislik karşısında genellikle başarısız olurlar çünkü kimlik tespiti teknolojiden ziyade kişinin davranışı üzerinden yapılır. Örneğin, yaka kartı okuyucuları, kameralar ve ziyaretçi kayıt sistemleri güvenilirdir ancak bu örnekler; asansör teknisyeni kılığına girip insanlardan asansörün ilgili katına çıkmak için kartlarını okutmalarını rica eden nazik bir operatöre (benim bizzat bir sızma testinde yaptığım gibi) karşı sizi savunamaz. Çoğu insan organizasyonun politikasını kasıtlı olarak görmezden gelmez; çoğu sadece akışa ayak uydurur (işlerini yapar ve hayatlarını yaşarlar). Kuruluşun politikasında ayrıntılı olarak belirtilenleri değil, güvenli hissettiren şeyi seçerler. İnsanların politikayı göz ardı etmesinin ve operatörlerin istismar edebileceği kör noktaların bazı nedenleri şunlardır:

  • Sadece yapılan işe odaklanmak
  • Başkalarını rahatsız etmekten kaçınma arzusu
  • Günlük akışı sürdürme ihtiyacı
  • Başka birisinin kimliği zaten doğruladığını varsaymak
  • Vardiya değişimleri
  • Öğle yemeğinden dönüşler
  • Kargo/Paket teslimatları
  • Yoğun katılımlı toplantılar
  • Yüklenici (Taşeron) veya işe alım (onboarding) günleri

Not: ABD Nükleer Düzenleme Komisyonu (NRC) ve Elektrik Gücü Araştırma Enstitüsü'nün (EPRI) İnsan Güvenilirliği Analizi (HRA), eğitimli kişilerin neden öngörülebilir hatalar yaptığını açıklar. Bu hatalar, kişi rutin bir iş yaparken dikkatinin başka bir yerde olması sebebiyle sıklıkla ortaya çıkar. Bu, rutinlerin insanlar için ne kadar doğal olduğunu ve güvenliğin neden başarısız olduğunu gösterir. NRC/EPRI'ye göre, “İnsan hatası rastgele değildir; iş yükü, bağlam ve rutin bir araya geldiğinde hatayı ortaya çıkarır.”

İnsan Zafiyet Yığını (The Human Vulnerability Stack)

Fiziksel sızma çalışmalarında insan davranışlarını istismar etmek neredeyse her zaman başarılı olur. İnsanlar dikkatsiz değillerdir; sadece günlük yaşamlarına devam etmek isterler. Bir toplantıya yürürler, mesajlara cevap vermeye çalışırlar, iş veya özel yaşamları hakkında düşünürler ya da sadece günü bitirmeye çalışırlar. Böyle bir ortamda güvenlik, bir başkasının halledeceğini varsaydıkları bir şeye dönüşür. Operatör ise insanların işlerin akışında ilerlemesini istemesi nedeniyle avantajlı konumdadır.

Kaçınma (Avoidance)

Çoğu insan tuhaf (awkward) durumlardan kaçınmayı tercih eder ve hayatında hiç görmediği birini durdurmanın yanlış hissettirdiğine inanır. İş gününün ortasında bir yabancının sözünü kestiğinizi ve bu kişinin tesadüfen rütbe (pozisyon) olarak sizden daha yüksek olduğunu hayal edebiliyor musunuz? Operatörün tek yapması gereken, ortama aitmiş gibi görünmek ve yüzleşmeyi düşünen kişi için bu durumu "rahatsız edici" hale getirmektir. İnsanların ses çıkarmasını engelleyen şeyler:

  • Oraya ait olan birini yanlışlıkla suçlamak istememek
  • Bunu bir başkasının halledeceğini varsaymak
  • Politika “bilinmeyen kişilere kimlik sor” der ama içgüdüler “boşver” der.

Otorite (Authority)

Kapıdan içeri giren biri yönetim (management) gibi giyiniyor, yönetim gibi konuşuyor ve yönetim gibi görünen eşyalar taşıyorsa, insanlar büyük ihtimalle onun gerçekten yönetimden biri olduğunu varsayar. Operatörün yalnızca çevresinin farkında olması ve "otoritesini" çok fazla zorlamaması gerekir. Operatör bunu farklı bir yöne de çekebilir; çevreye ait olmayan ama yine de bir otorite sahibi (örneğin güvenlik, polis memuru, avukat, inşaat ekibi) gibi görünebilir. Herhangi bir kanıt olmadan nasıl otorite sahibi olunur:

  • Kişi oraya aitmiş gibi konuşur/ses çıkarır
  • Kişi daha önce burada bulunmuş gibi davranır
  • Vücut dili yüksek özgüven (confidence) verir

Rutin

Çoğu insanın günlük bir rutini vardır ve biz bu rutinden sapmayı gerçekten hiç sevmeyiz. Bir işyerinde muhtemelen sıkça yaşanan bazı örnekler verebilirim: sabah yoğunluğunda arkanızdaki biri için kapıyı açık tutmak, sigara molaları ve ayaküstü sohbetler ilk erişimi (initial access) sağlar. Rutinler operatörler için harikadır; sadece rutini izleyin, öğrenin ve diğer herkesin yaptığını yapın. Rutini kendinize fayda sağlayacak şekilde kullanın:

  • İnsanlar bir yaka kartı görür ve gerçekten dikkatli bakmadan geçmesine izin verir
  • Birisi kapıyı kapatmanın kabalık olduğunu düşündüğü için arkasından gelen kişiye kapıyı tutar
  • Hareketler normal görünür, bu yüzden kimse doğrulamak için durup sorgulamaz
  • Geçmişte sorun çıkmadıysa, herkes şu an hala güvende olduklarını varsayar

Çekingenlik / Endişe (Apprehensive)

Bazı insanlar garip durumlardan kaçınmayı daha çok ister. Ben kesinlikle öyleyim. Şahsen, işyerimde birinin gerçekte kim olduğunu herkesin içinde, alenen doğruladığımı hayal bile edemezdim. Onların yollarına devam etmelerine izin vermek çok daha rahat ve güvenli hissettiriyor; çünkü "ya o kişi benden daha önemli biriyse? Ya öylelerse bunun sonuçları ne olur?" Operatörler bu çekingenlikten yararlanır. Onların sadece, sözünü kesmenin veya durdurmanın rahatsızlık vereceği bir kişiymiş gibi görünmeleri yeterlidir.

Hikayeyi Tamamla

Bir şeyler tam olarak mantıklı gelmediğinde, zihninizin hikayeyi tamamlamak için boşlukları doldurmaya çalıştığını fark edebilirsiniz. Bir kişi elinde not tutacağıyla (clipboard) içeri girerse, çoğu insan onun tamamlaması gereken bir görevi olduğunu düşünür. Yanında dizüstü bilgisayar çantası taşıyorsa, burada çalıştıklarını varsayabilirler. Operatörün mükemmel bir hikaye yaratmasına gerek yoktur. Onu izleyen kişinin zihni cümleyi onlar için tamamlayacaktır. Zihin resmi nasıl tamamlar:

  • Laptop çantası + Boyun askılı kart → Bunlar burada çalışıyor
  • Burada çalışıyorlar → Yetki/kimlik kartları (credentials) olmalı
  • Yetki kartları var → Bu alanda bulunabilirler
  • Bu alanda bulunabilirler → Bunu doğrulamak benim işim değil

İnandırıcılık, Aksesuarlar ve Dil

İnandırıcılık

Operatörler olarak, sadece o ortama aitmişiz gibi görünmemiz yeterlidir. Eğer bunu başarırsak, o zaman çoğu insan gözünü bile kırpmaz. Meşru olduğumuzu varsayarlar ve günlerine devam ederler. Buna güzel bir örnek: Geçenlerde katıldığım bir sızma testinde (engagement) kapıdan içeri girdim ve bir çalışanın herkese günaydın dediğini fark ettim. Ben de sadece onun liderliğini takip ettim ve aynısını yaptım.

Aksesuarlar (Props)

Aksesuarlar (nesneler) çok iyidir, çünkü bunları birinin zihnindeki hikayeyi tamamlamak için kullanabiliriz. Bunları beynin kategorize etmek için kullandığı kısayollar olarak düşünebilirsiniz (ör. çalışan, yönetici, inşaat/tadilat). Operatörün o mükemmel objeye ihtiyacı yoktur; sadece beynin cümleyi kendi kendine tamamlamasına yardımcı olacak bir nesneye ihtiyacı vardır.

Aksesuarlar işi kendi başına yapar:

  • Elinde bir not tutacağı (clipboard) var → Burada bir şey için bulunuyorlar → Burada olmaları gerekiyor → Onları durdurmak için bir neden yok
  • Alet çantası veya ekipman → Bir şeyi tamir ediyorlar → Zaten onaylanmıştır → Geçmelerine izin ver
  • Laptop çantası + Görünür bir boyun askısı → Burada çalışıyorlar → Erişimleri var → Bu alana aitler → Doğrulamak benim işim değil
  • Kurye üniforması + Paket → Bir şey bırakacaklar → İzinleri vardır → Hızını kesme

Dil

Dil kullanımı çok önemlidir. Bir operatör olarak bu, biri sizinle yüzleştiğinde veya erişim elde etmek için biriyle gerçekten etkileşime girmeniz gerektiğinde en çok gerildiğiniz an olabilir. Kelimenin tam anlamıyla yakalanma veya daha da ileriye gitme arasındaki o belirleyici an olabilir. Ortamda göze batmanın en hızlı yolu, organizasyon içinde anlam ifade etmeyen bir dil kullanmaktır ve araya karışmanın en hızlı yolu ise zaten içerideki insanların konuştuğu gibi konuşmaktır. Operatörler için bazı ipuçları:

  • Burada çalışan biriyle aynı kelimeleri kullanın (yani sektörün jargonu hakkında araştırma yapın)
  • Kelimelerinizi yardıma ihtiyacı olan biri gibi kullanın (eğer yardım isterseniz insanlar gardlarını düşürmeye daha eğilimlidir)
  • Dahili (İçeriden) dil, bir şeyin nerede olduğunu sorar
  • Harici (Dışarıdan) dil, bir şeyin nasıl çalıştığını sorar
  • Dahili dil, erişimin zaten var olduğunu varsayar
  • Harici dil, erişime sahip olmak için izin ister

Not: İsviçre Peyniri Modeli (Swiss Cheese Model), birbirine bağlı çoklu küçük başarısızlıkların nasıl daha büyük bir başarısızlık (ihlal) yaratabileceğini anlamak için kullanılan bir çerçevedir. Bu model, insan faktörleri ve kaza analizleri konusunda uzmanlaşmış bilişsel bir psikolog olan Profesör James Reason tarafından ortaya atılmıştır. Küçük sorunların nasıl birikerek devasa bir sorun yaratabileceğine harika bir örnektir. Yaka kartı kontrolleri, ön büro vb. önlemlerimizi peynirin birer dilimi olarak düşünürsek, her bir dilim operatörü durdurmayı amaçlar. Ancak operatör dikkat dağınıklığı, varsayımlar, zamanlama, iş yükü veya güvenden kaynaklanan küçük boşlukları (delikleri) kullanabilir. Bu boşluklar hizalandığında, operatör sistem boyunca dümdüz bir yola sahip olur. İsviçre Peyniri Modeli, Profesör James Reason'ın çalışmasından gelir; havacılık, mühendislik ve sağlık hizmetleri gibi alanlarda gündelik koşulların ve rutin gözden kaçırmaların yanlışlıkla daha büyük sorunları nasıl tetikleyebileceğini açıklamak için kullanılır.

Savunmacılar İçin İpucu: Kişiyi değil durumu sorgulayın. Eğer bir şey birini haklı/meşru gösteriyorsa, siz o kişiyi sorgularken yine de rahat hissetmelisiniz.

Sorumluluk ve Dönüm Noktası

Sorumluluk

Yönetime (Management) şu notu bırakmak isterim: Şahsen birçok özet toplantısında (outbrief) bulundum ve bazı yöneticiler, bu tarz açıklar yüzünden kendi çalışanlarını cezalandırma yolunu seçiyor. Yönetime çalışanlarını nasıl yöneteceklerini söylemek bana düşmez, ancak şunu garanti edebilirim: Operatörlerin çalışanlarına yaptıklarını, yöneticilere de yapabileceklerinden eminim. Yönetimin, çalışanlarına sosyal mühendislik hakkında eğitim verme ve onları eğitme sorumluluğu vardır. Bir çalışanın operatöre kapıyı açık tutması bir başarısızlık değildir; bu, gerçekten nazik bir jest yaptığını düşünen bir insandır. Bu sadece belgelenmesi (not alınması) gereken bir olaydır ve bu senaryo için doğru cevap: Kişiyi durdurmak, kimlik veya yaka kartı göstermesini istemek ve içeri girmeye yetkisi olduğunu doğrulamak olacaktır. Bu, güvenlik ve insanın çarpıştığı yeri gösterir. Operatörün görevi raporlamak, bundan bir ders çıkarıp öğretmek; ve kuruma cezalandırarak değil, öğrenerek gelişimine ve yönetimine yardımcı olmaktır.

Dönüm Noktası

Benim sonucum, bir dönüm noktasında olduğumuzdur: Güvenlik teknolojileri (kartlar, biyometri, girişler ve hatta yapay zeka destekli sistemler) gelişmeye devam ediyor ve bu araçlar elbette yardımcı olsa da, insanların yerini almıyorlar. Birisi hala bir karar vermek ve kendisine, konuşması/ses çıkarması mı yoksa durumu görmezden gelip aynı yolda ilerlemesi mi gerektiğini sormak zorunda. Sosyal mühendisliğe karşı savunma yapmak çok zor bir iştir, ancak işyerindeki eğitim ve uygulamalar (tatbikatlar), sosyal mühendisliğin önlenmesi için şarttır. Teknoloji güvenliğe her zaman destek olabilir, ancak birisi yerine karar veremez.