Her duyduğunuza inanmayın

Yapay zeka tuzağı | Her duyduğunuza inanmayın

Gördüğümüz ve duyduğumuz  şeylere inandığımız günler geride kaldı. Üretken yapay zekâ (GenAI), deepfake ses ve video oluşturmayı o kadar kolaylaştırdı ki sahte bir klip oluşturmak bir iki düğmeye basmak kadar kolay hâle geldi. Bu, işletmeler dâhil herkes için kötü bir haber. Siber güvenlik şirketi ESET işletmelerin karşılaşabileceği telefon dolandırıcılığı risklerini inceledi ve deepfake’lerin nasıl anlaşılabileceğine yönelik bilgiler paylaştı. 

Deepfake’ler, dolandırıcıların Müşterini Tanı ve hesap doğrulama kontrollerini atlatmasına yardımcı oluyor. En büyük tehditler arasında  finansal havale dolandırıcılığı ve yönetici hesaplarının ele geçirilmesi yer alıyor.

Telefon dolandırıcılığı saldırıları nasıl gerçekleşiyor?

Saldırgan, taklit edeceği kişiyi seçer. Bu kişi bir CEO, CFO veya hatta bir tedarikçi olabilir. Çevrimiçi olarak bir ses örneği bulurlar. Bu, düzenli olarak kamuoyuna konuşan yüksek profilli yöneticiler için oldukça kolaydır. Bu örnek, bir sosyal medya hesabından, bir kazanç raporu konferansından, bir video veya TV röportajından veya başka herhangi bir kaynaktan alınabilir. Birkaç saniyelik bir kayıt yeterli olacaktır. Arayacakları kişiyi seçerler. Bu, biraz masa başı araştırması gerektirebilir. Genellikle LinkedIn’de IT yardım masası personeli veya finans ekibi üyeleri aranır.  Kişiyi doğrudan arayabilir veya önceden bir e-posta gönderebilirler – örneğin, acil bir para transferi, parola veya çok faktörlü kimlik doğrulama (MFA) sıfırlama talebi için CEO veya vadesi geçmiş bir fatura için ödeme talep eden bir tedarikçi. GenAI tarafından üretilen deepfake sesini kullanarak CEO veya tedarikçiyi taklit ederek önceden seçilen hedefi ararlar. Araca bağlı olarak, önceden yazılmış konuşmaya sadık kalabilirler veya saldırganın sesinin kurbanın sesine neredeyse gerçek zamanlı olarak çevrildiği daha sofistike bir “konuşmadan konuşmaya” yöntemi kullanabilirler.

Duymak inanmaktır

Bu tür saldırılar giderek daha ucuz, daha kolay ve daha ikna edici hâle geliyor. Bazı araçlar, taklit edilen sesin daha inandırıcı olması için arka plan gürültüsü, duraklamalar ve kekemelikler bile ekleyebiliyor. Her konuşmacıya özgü ritimleri, tonlamaları ve sözel tikleri taklit etmede giderek daha başarılı hâle geliyorlar. Saldırı telefonla gerçekleştirildiğinde dinleyici için yapay zekâ ile ilgili aksaklıkları fark etmek daha zor olabilir. Saldırganlar, hedeflerine ulaşmak için dinleyiciye taleplerine acilen yanıt vermesi için baskı yapmak gibi sosyal mühendislik taktikleri de kullanabilir. Bir başka klasik taktik ise dinleyiciyi talebi gizli tutması için zorlamaktır. 

Bununla birlikte, sahtekârı tespit etmenin yolları vardır. Kullandıkları GenAI’nin ne kadar gelişmiş olduğuna bağlı olarak, aşağıdakileri ayırt etmek mümkün olabilir:

• Konuşmacının konuşmasında doğal olmayan bir ritim
• Konuşmacının sesinde doğal olmayan düz bir duygusal ton
• Doğal olmayan nefes alma veya hatta nefessiz cümleler
• Olağan dışı robotik ses (daha az gelişmiş araçlar kullandıklarında)
• Garip bir şekilde yok olan veya çok tekdüze olan arka plan gürültüsü 

Karşı koyma zamanı

Tehdit aktörlerinin bu tür dolandırıcılıklara daha fazla zaman ayırmalarının nedeni potansiyel kazançlardır.  En kötü senaryonun gerçekleşme olasılığını en aza indirmek için atabileceğiniz bazı önemli adımları yeniden gözden geçirmek faydalı olacaktır. İlk adım, çalışanların eğitimi ve bilinçlendirilmesidir. Bu programlar, çalışanların ne beklemeleri gerektiğini, nelerin risk altında olduğunu ve nasıl davranmaları gerektiğini bilmelerini sağlamak için deepfake ses simülasyonlarını içerecek şekilde güncellenmelidir. Çalışanlara, sosyal mühendisliğin belirgin işaretlerini ve yukarıda açıklananlar gibi tipik deepfake senaryolarını tespit etmeleri öğretilmelidir. 

• Telefonla yapılan tüm taleplerin bant dışı doğrulanması – yani, kurumsal mesajlaşma hesaplarını kullanarak göndereni bağımsız olarak kontrol etmek,
• Büyük finansal transferleri veya tedarikçinin banka bilgilerindeki değişiklikleri iki kişinin imzalaması,
• Yöneticilerin, telefonda kim olduklarını kanıtlamak için cevaplamaları gereken önceden kararlaştırılmış şifreler veya sorular.

Teknoloji de yardımcı olabilir. Sentetik sesin varlığını kontrol etmek için çeşitli parametreleri kontrol eden algılama araçları mevcuttur. Uygulaması daha zor olsa da başka bir önlem de yöneticilerin kamuya açık görünümlerini sınırlayarak tehdit aktörlerinin ses kaydına ulaşma fırsatlarını kısıtlamaktır.

İnsanlar, süreçler ve teknoloji

Deepfake’lerin üretimi basit ve maliyeti düşüktür. Dolandırıcıların elde edebileceği potansiyel olarak büyük meblağlar göz önüne alındığında sesli klonlama dolandırıcılıklarının yakın zamanda sona ereceğini düşünmek olası değil. Bu nedenle, insan, süreç ve teknolojiye dayalı üç yönlü bir yaklaşım, kuruluşunuzun riski azaltmak için sahip olduğu en iyi seçenektir.