Kulaklarınıza inanabilir misiniz? Cevap giderek hayır oluyor. İşte işletmeniz için telefon dolandırıcılığı riskleri ve deepfake’leri nasıl yenebileceğiniz.
Bir zamanlar gördüğümüz ve duyduğumuz her şeye inanabilirdik. Ne yazık ki o günler muhtemelen çoktan geride kaldı. Üretken yapay zekâ (GenAI), deepfake ses ve video oluşturmayı o kadar kolaylaştırdı ki sahte bir klip oluşturmak bir iki düğmeye basmak kadar kolay hâle geldi. Bu, işletmeler dâhil herkes için kötü bir haber.
Deepfake’ler, dolandırıcıların Müşterini Tanı ve hesap doğrulama kontrollerini atlatmasına yardımcı oluyor. Hatta kötü niyetli devlet aktörlerinin iş adayları kılığına girmesine bile olanak tanıyabilirler. Ancak bunların oluşturduğu en büyük tehdit, finansal/havale dolandırıcılığı ve yönetici hesaplarının ele geçirilmesidir.
Kuruluşlar, deepfake tehdidini kendi risklerine göre hafife almaktadır. İngiliz hükümeti, geçen yıl 2023’te sadece 500.000 olan sentetik klip sayısının sekiz milyona çıktığını iddia etmektedir. Gerçek rakam çok daha yüksek olabilir.
Telefon dolandırıcılığı saldırıları nasıl gerçekleşir?
ESET Global Güvenlik Danışmanı Jake Moore’un yaptığı bir deneyde görüldüğü gibi, işletmenize deepfake ses saldırısı düzenlemek hiç bu kadar kolay olmamıştı. Tek gereken, taklit edilecek kurbanın kısa bir klibi. Gerisini GenAI halleder. Saldırı şu şekilde gerçekleşebilir:
- Saldırgan, taklit edeceği kişiyi seçer. Bu kişi bir CEO, CFO veya hatta bir tedarikçi olabilir.
- Çevrimiçi olarak bir ses örneği bulurlar – bu, düzenli olarak kamuoyuna konuşan yüksek profilli yöneticiler için oldukça kolaydır. Bu örnek, bir sosyal medya hesabından, bir kazanç raporu konferansından, bir video/TV röportajından veya başka herhangi bir kaynaktan alınabilir. Birkaç saniyelik bir kayıt yeterli olacaktır.
- Arayacakları kişiyi seçerler. Bu, biraz masa başı araştırması gerektirebilir – genellikle LinkedIn’de IT yardım masası personeli veya finans ekibi üyeleri aranır.
- Kişiyi doğrudan arayabilir veya önceden bir e-posta gönderebilirler – örneğin, acil bir para transferi, parola/çok faktörlü kimlik doğrulama (MFA) sıfırlama talebi için CEO veya vadesi geçmiş bir fatura için ödeme talep eden bir tedarikçi.
- GenAI tarafından üretilen deepfake sesini kullanarak CEO/tedarikçiyi taklit ederek önceden seçilen hedefi ararlar. Araca bağlı olarak, önceden yazılmış konuşmaya sadık kalabilirler veya saldırganın sesinin kurbanın sesine neredeyse gerçek zamanlı olarak çevrildiği daha sofistike bir “konuşmadan konuşmaya” yöntemi kullanabilirler.
Duymak inanmaktır
Bu tür saldırılar giderek daha ucuz, daha kolay ve daha ikna edici hâle geliyor. Bazı araçlar, taklit edilen sesin daha inandırıcı olması için arka plan gürültüsü, duraklamalar ve kekemelikler bile ekleyebiliyor. Her konuşmacıya özgü ritimleri, tonlamaları ve sözel tikleri taklit etmede giderek daha başarılı hâle geliyorlar. Ve saldırı telefonla gerçekleştirildiğinde dinleyici için yapay zekâ ile ilgili aksaklıkları fark etmek daha zor olabilir.
Saldırganlar, hedeflerine ulaşmak için dinleyiciye taleplerine acilen yanıt vermesi için baskı yapmak gibi sosyal mühendislik taktikleri de kullanabilir. Bir başka klasik taktik ise dinleyiciyi talebi gizli tutması için zorlamaktır. Buna, saldırganların genellikle üst düzey bir yöneticiyi taklit ettiklerini de ekleyin, bazı kurbanların neden kandırıldığını anlamak kolaydır. Kim CEO’nun gözünden düşmek ister ki?
Bununla birlikte, sahtekârı tespit etmenin yolları vardır. Kullandıkları GenAI’nin ne kadar gelişmiş olduğuna bağlı olarak, aşağıdakileri ayırt etmek mümkün olabilir:
- Konuşmacının konuşmasında doğal olmayan bir ritim
- Konuşmacının sesinde doğal olmayan düz bir duygusal ton
- Doğal olmayan nefes alma veya hatta nefessiz cümleler
- Olağan dışı robotik ses (daha az gelişmiş araçlar kullandıklarında)
- Garip bir şekilde yok olan veya çok tekdüze olan arka plan gürültüsü
Karşı koyma zamanı
Tehdit aktörlerinin bu tür dolandırıcılıklara daha fazla zaman ayırmalarının nedeni basit: Sunulan potansiyel kazançlar. İbretlik hikâyeler giderek artıyor. En büyük hatalardan biri, 2020 yılında Birleşik Arap Emirlikleri’ndeki bir şirketin çalışanı, müdürünün birleşme ve satın alma anlaşması için 35 milyon dolarlık fon transferi talep etmek üzere aradığına inanmaya ikna edildiğinde yaşandı.
Deepfake teknolojisinin o zamandan bu yana altı yıl içinde önemli ölçüde geliştiği göz önüne alındığında en kötü senaryonun gerçekleşme olasılığını en aza indirmek için atabileceğiniz bazı önemli adımları yeniden gözden geçirmek faydalı olacaktır.
İlk adım, çalışanların eğitimi ve bilinçlendirilmesidir. Bu programlar, çalışanların ne beklemeleri gerektiğini, nelerin risk altında olduğunu ve nasıl davranmaları gerektiğini bilmelerini sağlamak için deepfake ses simülasyonlarını içerecek şekilde güncellenmelidir. Çalışanlara, sosyal mühendisliğin belirgin işaretlerini ve yukarıda açıklananlar gibi tipik deepfake senaryolarını tespit etmeleri öğretilmelidir. Çalışanların bu bilgileri ne kadar iyi özümsediklerini test etmek için kırmızı takım egzersizleri yapılmalıdır.
Sırada süreç var. Aşağıdakileri göz önünde bulundurun:
- Telefonla yapılan tüm taleplerin bant dışı doğrulanması – yani, kurumsal mesajlaşma hesaplarını kullanarak göndereni bağımsız olarak kontrol etmek,
- Büyük finansal transferleri veya tedarikçinin banka bilgilerindeki değişiklikleri iki kişinin imzalaması,
- Yöneticilerin, telefonda kim olduklarını kanıtlamak için cevaplamaları gereken önceden kararlaştırılmış şifreler veya sorular.
Teknoloji de yardımcı olabilir. Sentetik sesin varlığını kontrol etmek için çeşitli parametreleri kontrol eden algılama araçları mevcuttur. Uygulaması daha zor olsa da başka bir önlem de yöneticilerin kamuya açık görünümlerini sınırlayarak tehdit aktörlerinin ses kaydına ulaşma fırsatlarını kısıtlamaktır.
İnsanlar, süreçler ve teknoloji
Ancak sonuç olarak deepfake’lerin üretimi basit ve maliyeti düşüktür. Dolandırıcıların elde edebileceği potansiyel olarak büyük meblağlar göz önüne alındığında sesli klonlama dolandırıcılıklarının yakın zamanda sona ereceğini düşünmek olası değildir. Bu nedenle, insan, süreç ve teknolojiye dayalı üç yönlü bir yaklaşım, kuruluşunuzun riski azaltmak için sahip olduğu en iyi seçenektir.
Plan onaylandıktan sonra, yapay zekâ yenilikleri ilerledikçe planın amacına uygunluğunu korumak için düzenli olarak gözden geçirmeyi unutmayın. Yeni siber dolandırıcılık ortamı sürekli dikkat gerektirir.
Çocuklar selfie paylaşırken risklerin farkında mı?
Veri güvenliği için tam görünürlük sağlamanın önemi
