Yapay zekâ ile ses klonlama, siber saldırganların size ulaşmasını çok kolay hale getirebilir. ESET Global Güvenlik Danışmanı Jake Moore, bunu ilk elden WhatsApp üzerinden deneyimledi.
ESET’in İngiltere şubesinden Jake Moore, “Meslektaşlarımdan biri tarafından oluşturulan klonlanmış sesin kalitesi beni o kadar şaşırttı ki aynı yazılımı ‘şüpheli’ amaçlar için kullanmaya ve ne kadar ileri gidebileceğimi ve küçük bir işletmeyi dolandırıp dolandıramayacağımı test etmeye karar verdim, tabii ki izin alarak” diyor.
Spoiler uyarısı: Uygulama şaşırtıcı derecede kolaydı ve neredeyse hiç zaman almadı.
Yapay zekâ kavramı Blade Runner ve The Terminator gibi filmler sayesinde popüler hale geldiğinden beri insanlar bu teknolojinin bir sonraki adımda neler yaratabileceğinin potansiyelini merak ediyor.
Ancak şimdi, daha güçlü bilgisayar teknolojisi ve medyanın ilgisi sayesinde, yapay zekânın küresel bir kitleye ulaştığına tanık oluyoruz ve bu sayede muhtemelen çok zararlı sonuçları olan yaratıcı ve oldukça sofistike saldırılar görmeye başlayacağız.
Para istemek için ses klonlama kullanılması
Jake Moore uzun yıllar polis için çalışmış, bu da ona bir suçlu gibi düşünmeyi öğretmiştir. Bu yaklaşımın birçok somut ve küçümsenmeyecek avantajı vardır: Kişi ne kadar çok suçlu (suçlu olmadan) gibi düşünür ve davranırsa kendini o kadar iyi koruyabilir. Bu, en son tehditlere ayak uydurmak ve gelecekteki eğilimleri öngörmek için gereklidir.
Mevcut yapay zekânın bazı olanaklarını test etmek için Jake’in kendisini bir kez daha dijital bir suçlunun zihniyetine sokması ve bir şirkete etik olarak saldırması gerekiyordu.
Gelelim hikâyeye
İlk olarak, tanıdığına (ona Harry diyelim) sesini klonlayıp şirketine saldırmak için kullanıp kullanamayacağını sordu. Harry kabul etti ve Jake’in hazır bir yazılım kullanarak sesinin bir klonunu yaratarak deneye başlamasına izin verdi. Harry’nin sesini elde etmek oldukça kolaydı; Harry sık sık YouTube kanalında şirketi için kısa tanıtım videoları hazırlıyordu. Jake’in tek yapması gereken bu videolardan birkaçını birleştirmekti ve elinde üzerinde çalışabileceği iyi bir ses örneği vardı. Birkaç dakika içinde Harry’nin sesinin tıpatıp ona benzeyen bir klonunu oluşturdu ve ardından okunacak her şeyi onun sesiyle yazabildi.
Saldırıyı daha inandırıcı kılmak için Jake, Harry’nin WhatsApp hesabını da ele geçirmeye karar verdi (tabii ki izin alarak). SIM kartları değiştirerek hesaba erişim sağlayan Jake, daha sonra şirketin finans müdürüne (ona Sally diyelim) bir sesli mesaj gönderdi. Mesajda “yeni bir tedarikçiye” 250 sterlinlik bir ödeme yapılması isteniyordu. Jake saldırıyı Harry’nin iş yemeğinde olduğu sırada gerçekleştirmeyi seçti ve bu da mükemmel bir zamanlama sağladı.
Sahte sesli mesajda Harry nerede olduğunu belirtiyor ve “yeni bir mimara” ödeme yapması gerektiğinden bahsederek banka bilgilerini bir sonraki mesajda ayrıca göndereceğini söylüyordu. WhatsApp sesli mesajından sonra gönderilen ek bilgiler Sally’yi talebin gerçek olduğuna ikna etmeye yetti. İlk mesajdan sonraki 16 dakika içinde 250 sterlin Jake’in kişisel hesabına aktarılmıştı.
Jake, bu kadar basit olması ve Sally’yi, Harry’nin klonlanmış sesinin gerçek olduğuna bu kadar çabuk ikna etmesi karşısında şok olduğunu itiraf etti.
Bu düzeyde bir manipülasyon, birbiriyle bağlantılı faktörlerin bir araya gelmesiyle gerçekleşmiştir:
- Kullanılan telefon numarası müdürün
- Uydurma hikâye o günkü olaylarla örtüşüyordu
- Sesli mesaj tabii ki patronun sesi gibiydi.
Sally daha sonra tüm bunların talebi yerine getirmesi için fazlasıyla yeterli olduğunu belirtti. Söylemeye gerek yok, şirket o zamandan beri mali durumunu korumak için ek güvenlik önlemleri aldı. Ve elbette Jake 250 Sterlini iade etti.
Sahte işletme WhatsApp hesabı
SIM takas saldırısı yoluyla bir başkasının WhatsApp hesabını çalmak, bir saldırıyı daha inandırıcı hale getirmek için biraz uzun bir yöntem olabilir ancak düşündüğünüzden daha sık gerçekleşir. Elbette, siber suçluların aynı sonucu elde etmek için bu kadar ileri gitmeleri gerekmez.
Jake de başlangıçta inandırıcı görünen bir saldırının hedefi oldu. Birisi ona bir bilişim şirketinde üst düzey yönetici olan bir arkadaşının kimliğine bürünerek bir WhatsApp mesajı gönderdi.
Saldırının ilginçliği, Jake’in bilgileri doğrulamaya alışkın olmasına rağmen bu mesajın bir numara olarak görünmek yerine bağlantılı bir kişi adıyla gelmesiydi. Bu özellikle ilgi çekiciydi çünkü mesajın geldiği numara Jake’in kişi listesinde kayıtlı değildi ve Jake bunun bir isim olarak değil bir cep telefonu numarası olarak görüntüleneceğini varsaymıştı.
Görünüşe göre saldırganlar bunu, hesaba herhangi bir isim, fotoğraf ve e-posta adresi ekleyerek hemen gerçek görünmesini sağlayan bir WhatsApp Business hesabı oluşturarak yapabildiler. Buna yapay zekâ kullanarak ses klonlama da eklediğimizde işte yeni nesil sosyal mühendisliğe girmiş oluyoruz.
Neyse ki Jake bunun bir aldatmaca olduğunu en başından beri biliyordu ancak birçok insan bu basit numaraya kanabilir ve sonuçlar mali kayba yol açabilir.
Makine öğrenimi ve yapay zekâ büyük bir hızla ilerleyip kitleler için giderek daha erişilebilir hale geldikçe suçluların kimliğini ve nerede olduğunu gizlemeye yardımcı olan mevcut tüm araçların iyileştirilmesi sayesinde teknolojinin suçlulara her zamankinden daha etkili bir şekilde yardımcı olmaya başladığı bir döneme giriyoruz.
Ses klonlama dolandırıcılığına karşı nasıl güvende kalınır?
Deneylerimize geri dönelim ve şirket sahiplerinin ses klonlama veya diğer dolandırıcılıkların kurbanı olmamak için benimsemeleri gereken birkaç temel önlemi gözden geçirelim.
- İş ve onay süreçlerini takip edin
- Kişileri ve süreçleri doğrulayın; örneğin tüm ödeme taleplerini (sözde) talebi gönderen kişiyle doğrulayın hatta gerekirse iki kez doğrulayın ve transferlerin şirketinizdeki iki çalışan tarafından onaylanmasını sağlayın
- Teknoloji dünyasındaki son trendleri takip edin ve çalışanlarınızın eğitimini ve güvenlik özelliklerini buna göre ayarlayın.
- Çalışanlarınız için özel bilgilendirme eğitimleri düzenleyin.
- Çok katmanlı güvenlik yazılımı kullanın.
İşte sizi kişisel bilgilerinizden veya paranızdan ayırmayı hedefleyen SIM kart takasları ve diğer saldırılara karşı nasıl güvende kalacağınıza dair birkaç ipucu:
- Çevrimiçi paylaşılan kişisel bilgilerinizin miktarını sınırlayın. Mümkünse adresinizi veya telefon numaranızı yayımlamaktan kaçının.
- Gönderilerinizi ve sosyal medyadaki diğer içeriklerinizi görebilecek kişi sayısını sınırlayın.
- Kimlik avı dolandırıcılıklarına ve kişisel bilgilerinizi sizden almaya yönelik diğer girişimlere karşı dikkatli olun.
- Kimlik doğrulama uygulaması veya donanım kimlik doğrulama cihazı gibi iki faktörlü kimlik doğrulama (2FA) kullanın.
2FA’nın önemi yeterince vurgulanamaz – WhatsApp hesabınızda ve bunu sunan diğer tüm hesaplarda da kullanmayı unutmayın.
Ses klonlama saldırılarına bakıldığında insan korkabilir ancak gerçek şu ki bu gelişmiş dolandırıcılıklar bile atlatılabilir. Yukarıda belirtilen ipuçlarını takip etmek ve uyanık kalmak, tanıdığınız bir kişinin gerçek sesini aldatıcı bir robottan ayırt etmenize yardımcı olabilir.
Yapay zekâ güvenlik balonu hızla hava kaçırıyor
