Sosyal mühendislik artık insan eliyle değil, algoritma zekasıyla yürütülüyor
2025’in başında İtalya polisi, ülkenin önde gelen iş insanlarını hedef alan sofistike bir dolandırıcılık ağını çökertti. Saldırganlar, yalnızca birkaç dakikalık açık kaynak ses kaydını analiz ederek yöneticilerin seslerini klonluyor ve çalışanlara “acil ödeme” talimatı gönderiyordu. Reuters’ın Şubat 2025’te yayımladığı habere göre saldırı, Inter Milano’nun eski sahibi Massimo Moratti gibi yüksek profilli isimleri hedef almış ve toplamda 1 milyon euro’ya yaklaşan kayba yol açmıştı.
Bu olay, klasik oltalamanın ötesinde yepyeni bir saldırı modelinin olgunlaştığını gösterdi: Yapay zeka destekli hassas kimlik taklidi. Artık saldırganlar yalnızca mesaj üretmiyor; yöneticilerin konuşma ritmini, nefes aralıklarını ve iletişim davranışlarını yüksek doğrulukla taklit ederek, kurumsal karar alma zincirine doğrudan nüfuz edebiliyor. Europol’ün 2024 Synthetic Media raporu, ses ve video deepfake’lerinin ikna mekanizmasını hedef alan “yüksek doğruluklu sahte kimlikler” yarattığını vurguluyor.
Saldırganların asıl gücü, insan davranışının modellemesi
Bu saldırıların gücü teknik üstünlükten değil, insan davranışının modellenmesinden geliyor. Modern yapay zeka sistemleri; çalışanların yazışma tarzını, kullanılan kurumsal jargonu, karar ritmini ve iç iletişim dinamiklerini analiz ederek her bir çalışana özel yüksek ikna kabiliyetine sahip mesajlar oluşturabiliyor. IBM’in 2024 Threat Intelligence Index raporu, AI tabanlı kimlik sahtekârlığı girişimlerinin klasik oltalamaya kıyasla çok daha yüksek başarı oranlarına ulaştığını gösteriyor.
Red Team perspektifinden bakıldığında ise tehlike daha da derin çünkü saldırılar yalnızca güvenlik kontrollerini hedef almıyor. Kurum içi güven ilişkilerini, rol dağılımını ve hiyerarşik akışı hedef alıyor. Otonom tehdit aktörleri, çalışan-yönetici ilişkilerinde en zayıf karar anını tespit edebiliyor, başarısız bir denemeyi saniyeler içinde optimize ederek yeni varyasyonlar üretebiliyor ve makine hızında baskı kurabiliyor. Bu durum klasik sosyal mühendislik manuel hazırlık sürecinin, tamamen otomatik ve kişiye özel bir yapıya dönüşmüş olduğunu gösteriyor.
Bu nedenle C-Level yöneticiler için risk artık yalnızca teknik bir oltalama mesajı değil; kurumsal karar alma zincirinin manipüle edilmesi. Güncel araştırmalar, saldırı yüzeyinin yalnızca sistemlerden değil, çalışan davranışlarından ve karar mekanizmalarından da oluştuğunu gösteriyor. Hadrian’ın 2024 tarihli “Human Attack Surface” analizinde, insan davranışının modern kurumların en büyük saldırı yüzeylerinden biri hâline geldiği vurgulanıyor.
Davranışsal ve çok katmanlı savunma yaklaşımı
Bu tablo, kurumların sosyal mühendislik stratejilerini tamamen yeniden ele almasını zorunlu kılıyor. E-posta filtreleri veya rutin farkındalık eğitimleri artık tek başına yeterli değil. Yeni yaklaşım, davranışsal anomali tespiti, çok katmanlı kimlik doğrulama, ses doğrulama protokolleri, yüksek riskli işlemler için rol-bazlı onay zincirlerinin yeniden tasarlanması ve AI odaklı Threat Modeling süreçlerinin devreye alınmasını gerektiriyor. Red Team’in rolü ise bu otonom saldırı zekasını simüle ederek, insan faktörünün makine hızındaki tehditlere karşı dayanıklılığını ölçmek.
Sonuç olarak, önümüzdeki dönemde fark yaratacak olan, iletişimin hızı değil; her bir talimatın kaynağını güvenilir şekilde doğrulama kapasitesi olacak.