Sesin benim parolam

Yapay zekâ destekli ses klonlama, dolandırıcıların işini çok kolaylaştırabilir; nereden mi biliyorum? Riskleri zor yoldan öğrenmek zorunda kalmamanız için bunu test ettim.

Son zamanlarda yaşadığım sesimin çalınması olayı, yapay zekanın toplumsal bozulmaya neden olma potansiyeli varken beni yeni bir yol ayrımına getirdi. Klonlanmış sesin kalitesi (ve meslektaşlarımdan birinin son derece zekice ama bir o kadar da komik tarzı) beni o kadar şaşırttı ki, aynı yazılımı “kötü” amaçlar için kullanmaya ve küçük bir işletmeden hırsızlık yapmak için bu konuda ne kadar ileri gidebileceğimi görmeye karar verdim – elbette izin alarak! Spoiler alert: Ses klonlama şaşırtıcı şekilde kolaydı ve neredeyse hiç zamanımı almadı. 

Gerçekten de Yapay Zekâ kavramı Blade Runner ve Terminatör gibi bilim kurgu filmlerinde yaygın hale geldiğinden beri, insanlar teknolojinin neler üretebileceğine dair olasılıkların sınırını sorgulamaya başladılar. Bununla birlikte ancak şimdi güçlü veri tabanları, bilgisayarların artan gücü ve medyanın ilgisi sayesinde yapay zekanın hem korkutucu hem de heyecan verici şekilde küresel bir izleyici kitlesine ulaştığını gördük. Aramızda gizlice dolaşan yapay zekâ gibi teknolojiler varken, yaratıcı ve oldukça karmaşık saldırıların zararlı sonuçlarla gerçekleştiğini görme ihtimalimiz oldukça yüksek.  

“Yapay zekâ, insanlığın başına gelmiş en iyi ve en kötü şey olabilir.” – Stephen Hawking 

Ses klonlama macerası 

Daha önce polis teşkilatında yaptığım işler, bana bir suçlu gibi düşünmeyi öğretti. Bu yaklaşımın çok somut ama yeterince takdir edilmeyen bazı faydaları var: Kişi ne kadar çok suçlu gibi düşünürse ve hatta öyle davranırsa (aslında suçlu olmadan) o kadar iyi korunabilir. Bu, en son tehditlere ayak uydurmak ve gelecek eğilimleri öngörmek açısından kesinlikle hayati önem taşıyor.  

Yapay Zekanın güncel becerilerinden bazılarını test etmek için, bir dijital suçlunun zihnine bürünmeli ve bir işletmeye etik saldırı gerçekleştirmeliydim! 

Adına Harry diyeceğimiz bir tanıdığıma ulaştım ve sesi klonlayıp firmasına saldırmak için kullanıp kullanamayacağımı sordum. Harry kabul etti ve bu deney için hazırlanan yazılımı kullanarak kendi sesinin bir kopyasını oluşturmama izin verdi. Şans eseri benim için Harry’nin sesini yakalamak kolay oldu; sık sık YouTube kanalında işletmesini tanıtan kısa videolar kaydediyordu, bu yüzden iyi bir ses testi yatağı oluşturmak için bu videolardan birkaçını bir araya getirmeyi başardım. Birkaç dakika içinde, Harry’nin sesinin bana göre tıpatıp ona benzeyen bir kopyasını oluşturdum ve daha sonra herhangi bir şey yazıp onun sesinde oynatılmasını sağlayabildim.  

Şansı arttırmak için, Harry’nin WhatsApp hesabını SIM değiştirme saldırısı yardımıyla (yine izin alarak) çalarak saldırıya özgünlük katmaya karar verdim. Daha sonra WhatsApp hesabından şirketinin finans müdürüne (adı Sally olsun) “yeni yükleniciye” 250 sterlin tutarında bir ödeme yapmasını istediğim sesli mesaj gönderdim. Saldırı sırasında onun yakındaki bir adada iş yemeği yediğini biliyordum, bu da bana mükemmel bir hikâye ve saldırı fırsatı verdi.  

Sesli mesajda nerede olduğu ve “kat planı görevlisine” ödeme yapılması gerektiği belirtiliyordu ve hemen ardından banka ayrıntılarını ayrıca göndereceği söyleniyordu. WhatsApp yazışmasına eklenen bu sesli mesaj ve kullanılan sesin doğru olduğunu düşündürmesi, Sally’nin verilen görevi gerçek zannetmesine yetti. İlk mesajdan 16 dakika sonra kişisel hesabıma 250 £ gönderildi.  

İtiraf etmeliyim ki Sally’yi Harry’nin klonlanmış sesinin gerçek olduğuna bu kadar kolay ikna edip kandırabilmem karşısında şoke olmuştum.  

Böyle bir manipülasyon, birbiriyle bağlantısı olan pek çok faktör nedeniyle işe yaradı: 

1. CEO’nun telefon numarası sayesinde gerçekten o olduğunu doğrulamış oldum, 

2. Uydurduğum hikâye gün içinde gerçekleşen olaylarla örtüştü, 

3. Elbette mesajdaki sesim patronunun sesi gibiydi. 

Sally ile şirketle yaptığım görüşmede, bunun talebin yerine getirilmesi için “oldukça yeterli” doğrulama bir olduğunu düşündüğünü belirtti. Söylemeye gerek yok, şirket o zamandan beri mali durumlarını korumak için daha fazla yeni önlemler aldı. Ve tabii ki 250£’i iade ettim! 

WhatsApp Business taklidi 

Birinin WhatsApp hesabını SIM değiştirme saldırısı yoluyla çalmak, bir saldırıyı daha inandırıcı hale getirmenin oldukça uğraş gerektiren bir yolu olabilir ancak bu, düşündüğünüzden çok daha sık gerçekleşir. Yine de siber suçluların aynı sonucu elde etmek için bu kadar ileri gitmesine gerek yok.  

Örneğin, yakın zamanda inandırıcı bir saldırının hedefi oldum. Birisi bana bir bilişim şirketinde yönetici olan bir arkadaşımdan geldiğini iddia eden bir WhatsApp mesajı göndermişti.  

Bilgileri doğrulama alışkanlığım olmasına rağmen bu örnekte ilginç olan, mesajın bilinmeyen numaradan gelen mesajlarda olduğu gibi telefon numarası olarak görünmesi yerine bağlantılı kişi adıyla gelmesiydi. Bu özellikle ilgi çekiciydi çünkü gelen numara rehberimde kayıtlı değildi ve bunun isim yerine cep telefonu numarası olarak görüneceğini varsayıyordum.  

Görünen o ki bunu başarmanın yolu, istediğiniz herhangi bir adı, fotoğrafı ve e-posta adresini bir hesaba eklemek ve anında orijinal görünmesini sağlayan bir WhatsApp Business hesabı oluşturmaktı. Buna yapay zekâ ses klonlama işlemini de ekleyin ve işte, yeni nesil sosyal mühendisliğe girmiş olduk.  

Neyse ki, bunun bir dolandırıcılık olduğunu başından beri biliyordum ancak birçok kişi, siber hırsızların favorisi olan ve sonuçta finansal işlemler, ön ödemeli kartlar veya Apple Card gibi diğer kartlar şeklinde paranın serbest bırakılmasına yol açabilecek bu basit numaraya inanabilirdi.  

Makine öğrenimi ve yapay zekanın hızla ilerlemesi ve son zamanlarda giderek daha fazla kişinin kullanımına sunulmasıyla birlikte, teknolojinin suçlulara her zamankinden daha verimli bir şekilde yardım etmeye başladığı bir çağa doğru ilerliyoruz. Suçluların kimliklerini ve bulundukları yerleri gizlemeye yardımcı olan mevcut tüm araçları geliştirmek de buna dahildir.  

Güvende olmak 

Deney örneğimize dönersek, işletme sahiplerinin ses klonlama ve diğer sahtekarlıklardan yararlanan saldırıların kurbanı olmamak için alması gereken birkaç temel önlemi burada bulabilirsiniz: 

• İşletme politikalarında kısa yolları tercih etmeyin 
• Kişileri ve süreçleri doğrulayın; örneğin, herhangi bir ödeme talebini (iddia edilen) talepte bulunan kişiyle tekrar kontrol edin ve mümkün olduğu kadar çok transferin iki çalışan tarafından imzalanmasını sağlayın 
• Teknolojideki en son trendleri takip edin, eğitim ve savunma önlemlerini buna göre güncelleyin 
• Tüm personele özel farkındalık eğitimi verin 
• Çok katmanlı güvenlik yazılımı kullanın 

SIM takası, kişisel verilerinizi veya paranızı çalmayı amaçlayan diğer saldırılara karşı korunmanıza yardımcı olacak birkaç ipucunu aşağıda bulabilirsiniz: 

• Çevrimiçi olarak paylaştığınız kişisel bilgileri sınırlandırın; mümkünse adresiniz veya telefon numaranız gibi ayrıntıları yayımlamaktan kaçının 
• Sosyal medyadaki gönderilerinizi veya diğer paylaşımlarınızı görebilecek kişi sayısını sınırlayın 
• Kimlik avı saldırılarına ve sizi hassas kişisel verilerinizi paylaşmaya yönlendiren diğer girişimlere karşı dikkatli olun 
• Telefon sağlayıcınız telefon hesabınız için PIN kodu veya parola gibi ek koruma sunuyorsa bunu kullandığınızdan emin olun
• İki faktörlü kimlik doğrulama (2FA), özellikle bir kimlik doğrulama uygulaması veya donanım kimlik doğrulama cihazı kullanın

Gerçekten de 2FA kullanmanın önemi küçümsenemez. Bunu WhatsApp hesabınızda (buna iki adımlı doğrulama denir) ve bu özelliği sunan diğer çevrimiçi hesaplarda da etkinleştirdiğinizden emin olun.