Siber suçlular artık yüz tanıma verilerini çalabilir ve kimlik doğrulama için deep fake oluşturmak üzere yapay zekâyı kullanabilir. Bu, tüketiciler ve işletmeler için ne anlama geliyor?
Son zamanlarda, yüz tanıma teknolojileri güvenli kimlik doğrulama için giderek daha popüler bir araç haline geldi ve kolaylığı nedeniyle oldukça tercih ediliyor. Apple gibi teknoloji devleri de genel olarak statik fotoğraflarla kandırılamayan ve kullanıcıların yüz verilerini şifreleyen kimlik doğrulaması için Face ID teknolojisinin popüler olmasına katkı sağladı. Güvenlik kaygıları doğal olarak bankaların ve daha geniş finans sektörünün de endişelendiği noktaya geldi. Artık yüz tanıma sistemleri bir yetkilendirme biçimi olarak kullanılıyor.
Ancak teknolojik ilerlemeyle ilgili bu “iyi haber” güvenli kimlik doğrulama için nihai araç olarak biyometrik tanımanın yanlış bir kullanımına da neden olabilir. Artık parola yok, dolandırıcılık yok, kimse doğal yüzünüzün 3D görüntüsünü çalamaz değil mi? Peki deep fake?
Ne zaman ne de siber güvenlik uygulamaları durur, bu nedenle yüz tanıma doğrulamasının tek başına dolandırılmanızı veya cihazınızın ihlal edilmesini önleyeceğini düşünüyorsanız yanılıyorsunuz. Sağlayabileceği güvenliğin sınırlarını anlamak için okumaya devam edin. Son paylaşılan ESET Tehdit Raporu H1 2024‘te ESET araştırmacıları, saldırganların yapay zekâ yüz değiştirme hizmetlerini kullanarak kendi yüzlerini kurbanlarınınkiyle değiştirmek için sahte mobil uygulamaları nasıl kullandıklarını açıklıyor. Bu yöntem, siber suçlular tarafından kurbanların hesaplarına yetkisiz erişim elde etmek için kullanılabiliyor.
Tercih edilen yüz tanıma kimlik doğrulaması
Biyometri, büyük ölçüde kullanım kolaylığı nedeniyle hem tüketiciler hem de işletmeler arasında popülerlik kazandı. 2023 yılında, parmak izi veya yüz tanıması gibi biyometrikler, kullanıcıların çevrimiçi hesaplarına, uygulamalarına ve akıllı cihazlarına erişmek için en çok tercih edilen güvenlik kimlik doğrulama yöntemleriydi. Biyometrik kimlik doğrulama, çeşitli ülkelerdeki tüketiciler arasında katılımcıların yüzde 27’si tarafından kullanıldı.
Bir başka anket, ABD’deki BT ve siber güvenlik liderleri arasındaki katılımcıların yaklaşık yüzde 60’ının, iş yeri şifrelerini ne ile değiştirdikleri veya değiştirmeyi bekledikleri sorulduğunda biyometriden bahsettiğini ortaya koydu.
Biyometri pazarının bir parçası olan yüz tanıma, bu yeni teknolojiye yönelik kamu talebini aşağıdaki rakamlarla ortaya koyuyor. 2022 yılında yaklaşık 5 milyar dolar olarak tahmin edilen pazarın, on yılın sonunda 19,3 milyar dolara ulaşması bekleniyor.
Apple’ın kamera ve lazer tabanlı 3D yüz haritalamasının 2017’de tanıtılmasından bu yana, Samsung gibi büyük piyasa oyuncuları da Metalenz’in polarize fotonları okuyabilen ve belirli bir yüzün görüntüsünü oluşturabilen ve hatta kısa bir video görünüm imzası kaydedebilen araçlar gibi yeni teknolojileri değerlendiriyor.
Yeni saldırı vektörü
Günümüzde bazı finansal uygulamalar, güvenli bir kimlik doğrulama yöntemi olması açısından kullanıcıların mobil cihazlarının ön kamerasını kullanarak yüzlerinin çeşitli açılardan kısa bir videosunu kaydetmelerini gerektiriyor. Ancak kimlik hırsızlığı ve dolandırıcılık faaliyetlerini önlemek için ekstra bir güvenlik katmanı olarak tasarlanan bu uygulama, son zamanlarda siber suçlular için başka bir saldırı vektörü haline geldi.
Group-IB’nin Tehdit İstihbarat birimi, Tayland için Dijital Emeklilik gibi yasal Tayland hükümet uygulamalarının bir taklidi olan ve daha önce bilinmeyen bir iOS Truva Atı GoldPickaxe.iOS keşfetti. Bu kötü niyetli uygulamalar kimlik belgeleri, SMS ve yüz tanıma verilerini topluyor. Muhtemelen kişisel verilerin en iyi şekilde yakalanmasını sağlamak için GoldPickaxe kötü amaçlı yazılım ailesinin bazı üyeleri hem iOS hem de Android platformları için mevcut. Bu kampanyayı Group-IB, GoldFactory adlı Çince konuşan bir siber suç grubuna atfetti.
Çok aşamalı bir sosyal mühendislik
GoldPickaxe Android sürümü, resmi Google Play mağazası gibi görünen web siteleri aracılığıyla dağıtılmaktadır. Tehdit aktörleri iOS sürümünü dağıtmak için kurbanın iOS cihazı üzerinde tam kontrol sahibi olmalarını sağlayan bir mobil cihaz yönetimi (MDM) profili yüklemeye ikna etmek için çok aşamalı bir sosyal mühendislik planı kullanmaktadır.
Örneğin saldırganlar Tayland Maliye Bakanlığı’ndan yetkililer gibi davranarak vatandaşlara yaklaşmış ve hedeflenen kullanıcıların yaşlı akrabalarının ek emeklilik yardımı almaya hak kazandığını iddia etmiştir. Kurbanlar daha sonra bir MDM profili indirmek için suçlular tarafından web sitelerine giden bağlantılara tıklamaya ikna edilmiştir.
Bu şekilde saldırganlar, hassas kullanıcı verilerini saklamak için tasarlanmış donanım tabanlı güvenli bir ortam olan Secure Enclave gibi Apple’ın gizlilik koruma önlemlerini kırmadan kurbanların yüz tanıma verilerine erişebilirler.
Yüz tanıma ile deep fake videolar oluşturmak
GoldPickaxe, yüklendikten sonra kurbandan sahte uygulamada onaylama yöntemi olarak bir video kaydetmesini ister. Kaydedilen video daha sonra yüz değiştirme yapay zekâ hizmetleri tarafından kolaylaştırılan deepfake videoların oluşturulması için ham madde olarak kullanılır.
Ancak hepsi bu kadar değil çünkü sahte video bir bankanın güvenlik ve kimlik doğrulama sistemlerini kandırmak için tek başına yeterli olmayacaktır. Kötü amaçlı yazılım ayrıca kurbanın kimlik belgelerini talep eder, SMS’leri engeller ve trafiği proxy sunucusu üzerinden yönlendirir.
GoldPickaxe doğrudan kurbanın telefonundan yetkisiz işlemler gerçekleştirmez. Bunun yerine, kurbanın bankacılık uygulamasına otonom olarak erişmek için kurbandan gerekli tüm bilgileri toplar.
Group-IB araştırmacıları, siber suçluların banka hesaplarına giriş yapmak için kendi cihazlarını kullandıklarını varsayıyor ki bu taktik Tayland polisi tarafından da doğrulandı.
Önlem almanın önemi
Siber suçlular artık operasyonları için çağrı merkezleri, zararlı yazılımlar ve yapay zekânın kombinasyonunu kullanıyorlar bu da saldırıları için oldukça fazla çaba harcadıkları anlamına geliyor. Ancak bu, bu tür tehditlerin özellikle iyi bir önlemeyle durdurulamayacağı anlamına gelmez.
Temel farkındalık ilkeleri ile başlayalım:
- Ödüller, indirimler veya GoldPickaxe örneğinde olduğu gibi emeklilik ikramiyeleri hakkındaki iddiaları her zaman doğrulamaya çalışın. Eğer gerçek olamayacak kadar iyi görünüyorsa muhtemelen değildir.
- Mobil uygulama dağıtan web sitelerine dikkat edin ve yalnızca resmi uygulama mağazalarını kullanın.
- Kimlik avı web sitelerine aldanmayın. Kimlik avının detaylarını buradan öğrenin.
- Akıllı telefonunuzda şüpheli bir aktivite olduğunu düşünüyorsanız saygın bir güvenlik uygulaması ile güvenlik taraması yapın.
- Kötü amaçlı bir uygulamayı keşfettikten sonra silin ve telefonunuzu yeniden başlatın. Android cihazınızı fabrika ayarlarına sıfırlamak gerekebilir.
Ancak unutmayın hiç kimse kimlik avına karşı %100 bağışık değildir ve BT uzmanları bile dolandırıcılıklara kanabilir. Mobil cihazınızı güvende tutmak için güvenilir bir siber güvenlik korumasına da ihtiyacınız var.
Mobil korumayı es geçmeyin
ESET Mobile Security (EMS) proaktif bir yaklaşım benimser ve indirme işlemi sırasında hatta yükleme gerçekleşmeden önce tehditleri algılayabilir ve engelleyebilir. EMS, indirme klasörlerindeki tüm dosyaları tarar ve mevcut olanları taramak için de kullanılabilir. ESET Mobile Security Premium, Anti-Phishing, Anti-Theft, Ödeme Koruması ve Uygulama Kilidi ile daha da fazla koruma sunar.
Ve unutmayın, ne kadar güvenli olursa olsun (yerleşik güvenlik özelliklerine sahip kapalı bir sistem olan iOS‘ta bile) tek bir gelişmiş kimlik doğrulama yöntemine sahip olmak güvenliğin garantisi değildir. Siber suçlular yaratıcıdır ve bazı savunma katmanlarının atlatılabileceği durumlarda çok katmanlı güvenliğe sahip olmak önemlidir.
İşletmelerin korunması
GoldPickaxe şu ana kadar yalnızca tüketicileri hedef almıştır. Ancak yüz tanıma teknolojisini yüz değiştirme yapay zekâsıyla birlikte kullanan benzer tehditler potansiyel olarak şirketlerin finans departmanlarını veya işletme yöneticilerini hedef almak için kullanılabilir.
C-seviye yöneticilerin deepfake videolarını içeren ve büyük mali kayıplara yol açan saldırılar bile oldu. BlackCloak ve Ponemon Enstitüsü tarafından yürütülen 2023 araştırması, üst düzey şirket yöneticilerinin, çevrimiçi taklitçilik de dahil olmak üzere giderek daha sofistike siber saldırıların hedefi haline geldiğini gösteriyor.
Kapsamlı siber farkındalık eğitimlerine rağmen çalışanların kurumsal mobil cihazlarını açığa çıkaran sofistike saldırıların kurbanı olma ve şirketlerine karşı daha fazla saldırının önünü açma ihtimali hala yüksektir. İşletmelerin çalışanın mobil cihazlarından kaynaklanan saldırı yüzeyi vektörleri konusu hakkında daha fazla bilgi edinmek için bu yazıya göz atın.
Bu durumun farkında olan ESET, kapsamlı iş çözümü ESET PROTECT’e Mobil Tehdit Savunması ekledi ve Advanced ve üzeri kullanıcılar için avantaj sağladı: ESET PROTECT Advanced ve üstü kullanıcılar, bir ücretli kullanıcı başına bir ücretsiz mobil cihaz koruması fırsatından yararlanabiliyorlar.
Yüz tanıma tek başına yeterli değildir
Dolandırıcılık için yapay zekâ kullanarak sahte videolar oluşturmak kulağa korkutucu geliyor (ve bu fikri kullanan gerilim filmleri zaten var) ancak ESET Research, bu ayrıntılı saldırıların bile uygun siber güvenlik çözümleriyle önlenebileceğini veya durdurulabileceğini açıkça gösteriyor.
Bu vaka, hiçbir teknolojinin her şey için nihai cevap olmadığını ve güvenilir siber güvenliğin, önleme öncelikli bir yaklaşımla birlikte çok katmanlı bir savunmadan oluştuğunu hatırlatsın.
En güçlü koruma, güvenlik yaklaşımlarının kombinasyonlarını kullanmakta yatıyor: Örneğin, saldırıları herhangi bir zarar vermeden önce önlemek için çok faktörlü kimlik doğrulama (MFA) dahil, çok katmanlı siber güvenlik teknolojileriyle yüz kimlik doğrulamasından yararlanmak. ESET, yapay zekâ, insan uzmanlığı ve önleme öncelikli yaklaşımı bir araya getiren mobil cihaz koruması ile hem tüketicileri hem de kurumsal kullanıcıları kapsıyor.
Siber güvenlik güncelleme süreçlerinin karmaşıklığı
MaaS ve daha fazlası ile siber suçların demokratikleşmesi
