Bir Zoom görüşmesinde olsaydınız ve yöneticiniz sizinle göz göze gelerek finansal bir işlem gerçekleştirmenizi söyleseydi, ekranınızdaki kişinin gerçek olup olmadığını anlamak için durur, düşünür müydünüz? Deepfake, (derin sahtekarlık) bir kişiyi hiç yapmadığı veya söylemediği bir şeyi yapıyormuş veya söylüyormuş gibi göstermek için ikna edici bir şekilde değiştirilmiş ve manipüle edilmiş görüntüler veya kayıtlar demektir. Eğlence için olduğu kadar siber suçlar için de kullanılabilen bu modern teknoloji hakkında daha fazla bilgi edinin.
Gerçek mi?
Derin öğrenme (bir tür makine öğrenimi) sayesinde insanlar, birinin yüzünü, vücudunu ya da sesini farklı bir ortama yerleştirerek ve aslında hiç olmamış şeyleri söylemiş ya da yapmış gibi göstererek görüntüleri, videoları ve ses kayıtlarını değiştirebiliyor. Sonuç, deepfake!
Bir bilgisayarın, bir insanın sesinin yalnızca 10-20 saniyesini dinledikten sonra taklidini oluşturabileceğini biliyor muydunuz?
Bu dikkat çekici teknoloji artık halk tarafından geniş çapta erişilebilir hale geldi. FaceApp gibi uygulamalar insanların neredeyse herkesin deepfake videolarını oluşturmasına olanak tanıyor. Örneğin, yüzünüzü popüler bir müzik videosuna yerleştirebilir ya da eğlenceli bir film sahnesinde başrol oyuncusu olabilirsiniz. İnternetteki bazı deepfake’ler eğlenceli olabilir, ancak yanlış ellerde, uydurma video veya ses kayıtları da bireylere veya işletmelere saldırmak için kullanılan siber suç araçları haline gelmiştir.
Bir zorba, siyasi manipülatör ve siber saldırgan olarak deepfake
Deepfake’ler eğlence amaçlı olmanın yanı sıra ciddi hukuki sonuçlar da doğurabilir, kişisel ve hatta siyasi etkileri olabilir. Ayrıca, siber suçluların artık kolayca ses veya video kayıtları üretebilmeleri, sosyal mühendisliği daha da çetrefilleştirmekte.
Siber güvenlik alanında, deepfake’ler gasp, dolandırıcılık ve manipülasyon için kullanılabilir. Örneğin, birisi sahte bir video kullanarak bir CEO’ya şantaj yapabilir ve videonun imhası için ödeme yapmasını ya da şirketinin itibarını tehlikeye atmasını isteyebilir. Daha yaygın olarak, şirketler, çalışanları işverenlerinin emirlerini yerine getirdiklerine inandırarak manipüle etmek için deepfake ses kullanabilen belirli bir kimlik avı türü olan “vishing” ile karşılaşabilirler.
En ünlü deepfake saldırı vakalarından biri 2019 yılında, İngiltere merkezli bir enerji firmasının CEO’sunun patronundan bir telefon alması ve patronun kendisine neredeyse çeyrek milyon poundu Macaristan’daki bir tedarikçiye aktarmasını söylemesi üzerine yaşandı. Ses Alman patronun sesine benzediği için CEO emirleri yerine getirdi. Kısa bir süre sonra, CEO’yu daha fazla para göndermeye çağıran başka bir telefon geldi. Bu durum onu daha da şüphelendirdi ve yetkililerle temasa geçmeye karar verdi. Kısa bir süre sonra CEO’nun, büyük olasılıkla Alman patronun sesini kopyalamak için deepfake teknolojisini kullanan vishing‘in kurbanı olduğu ortaya çıktı.
2022’deki bir başka deepfake vakasında, kripto para borsası Binance’in baş iletişim sorumlusu Patrick Hillmann, kendisiyle bizzat temas halinde olduklarını iddia eden birkaç kişiden telefon almaya başladı. Bu insanlar, varlıklarını Binance’ta değerlendireceklerdi fakat paralarının bir kısmı karşılığında bir Binance tokenı almaları gerektiği bizzat Hillmann tarafından söylenmişti. Hillmann, arayanlardan hiçbirini tanımadığı ve onlarla hiç temas kurmadığını düşündü. Hillmann daha sonra siber suçluların kendi kişiliğinin deepfake bir kopyasını oluşturmak ve görünüşte işle ilgili Zoom aramalarını simüle etmek için geçmişte yayınlanmış bazı röportajlarını kullandığını keşfetti. Bu durumda, deepfake’in kurbanı olan insanlar paralarını kaybetti, ancak sorun şirketin itibarını da ciddi şekilde etkileyebilirdi.
Derin sahtekarlıklara (deepfake) aldanmayın
Daha ayrıntılı deepfake’lerden bazılarına baktığınızda, çevrimiçi gördüğünüz şeyin sahte mi yoksa gerçek mi olduğunu belirlemenin bir yolu yokmuş gibi hissedebilirsiniz. Aslında biraz şüpheci olmakta fayda var. Ekranınızda gördükleriniz hakkında biraz bile şüpheniz varsa, güvende kalmaya zaten bir adım daha yaklaşmışsınız demektir.
Peki bir deepfake’i nasıl tespit edebilirsiniz? Ses kayıtları söz konusu olduğunda, deepfake’lerin ortaya çıkarılması daha zordur çünkü sesleri normal bir insan sesine tıpatıp benzeyebilir. Ancak bazı programlar artık deepfake sesleri tespit edebiliyor. Nasıl mı? İnsan sesi sınırlı bir ses yelpazesi üretebilir. Ancak bir “bilgisayarın sesi” bu kadar sınırlı değildir ve bu nedenle çok az da olsa farklı sesler çıkarır.
Özel bir yazılım olmadan bir deepfake tespit edebilir misiniz? Zor olabilir ama mümkündür. Bir video veya ses kaydının gerçekliğini doğrulamaya çalışırken kendinize sormanız gerekenler:
- Kayıt inanılması zor görünüyor mu? İçerik skandal niteliğinde mi ve açıkça izleyicilerden/dinleyicilerden duygusal bir tepki uyandırmaya mı çalışıyor? Eğer öyleyse, bu şüpheci yaklaşmanız ve gördüğünüz ya da duyduğunuz bilgileri doğrulamanız için ilk işaret olabilir.
- Ayrıntılarda şüpheli bir şeyler yok mu? Deepfake yaratıcıları genellikle göz kırpma, nefes alma veya hassas saç ve yüz hareketleri gibi daha ince ifadeleri kopyalamakta sorun yaşarlar. Bazen, en çok hareket eden bölgelerde hafif aksaklıklar da olabilir. Ses kayıtlarında, kelimeler arasında doğal olmayan duraklamalar veya tam tersine aşırı mükemmel konuşma fark edebilirsiniz.
- Vücut doğal bir şekilde hareket ediyor mu? Birisi bizimle konuştuğunda, vücudundan ziyade yüzüne bakma eğilimindeyizdir. Deepfake yaratıcıları da öncelikle yüz ifadelerini kopyalamaya odaklanır, bu nedenle videodaki kişinin vücut şekli veya hareketleri biraz farklı görünüyorsa, bir deepfake’e bakıyor olabilirsiniz.
- Ses videoya uyuyor mu? Bazen deepfake yaratıcıları ses kaydını kişinin hareketleriyle eşleştirmekte başarısız olurlar. Ağız hareketlerinin ağızdan çıktığı iddia edilen kelimelerle eşleşip eşleşmediğini görmek için yüzü dikkatlice gözlemleyin.
- Işıklandırma tutarlı mı? Yoksa kişinin başı doğal olmayan bir şekilde aydınlık veya karanlık mı görünüyor? Işıklandırma tutarsızlıkları bir ipucu olabilir.
Dijital güvenlik eğitimini eğlenceli hale getirin
IT ekipleri şirketlerini deepfake’ler ve riskleri hakkında bilgilendirmelidirler. Deepfake’ler hem eğlendiriciler hem de siber suçlular tarafından kullanılabilen bir teknoloji örneği olduğundan, çalışan eğitimini etkileşimli ve eğlenceli hale getirmeye çalışmalısınız. Örneğin, çalışanlara bazı videolar gönderin ve hangilerinin gerçek hangilerinin gerçek olmadığını tahmin etmelerini sağlayın. Aktif katılımı teşvik ederseniz, çalışanların öğrendiklerini hatırlamaları ve bilgilerini şirketinizi daha güvenli tutmak için kullanmaları daha olasıdır.
İlgili makale: SVB: Her dolandırıcının hayalini süsleyen iflas haberi!
Taramadan önce düşünün! QR kodları ne kadar güvenli?
