Kimlik avı taarruzları, uzun yıllardır var olan bir siber hücum usulü olsa da hala kuruluşlara saldırmanın ve sızmanın en tesirli yollarından biri olarak görülüyor. Son yıllarda kimlik avı hücumları, yapay zeka teknolojilerinin siber kabahat formülü olarak kullanılmasıyla form değiştirdi. Deepfake kimlik avı atak teşebbüslerinin 2023 yılında %3.000 oranında arttığını lisana getiren Bitdefender Antivirüs Türkiye distribütörü Laykon Bilişim’in Operasyon Yöneticisi Alev Akkoyunlu, deepfake kimlik avı ataklarına nerelerde maruz kalınabileceğine ve karşı karşıya gelindiğinde neler yapılması gerektiğini paylaştı.
Deepfake derin öğrenme metoduyla geçersiz imajların, görüntülerin ve seslerin oluşturulması manasına geliyor. Kimlik avı atakları, siber hatalıların mağdurları alt etmek için kullandıklarını en tesirli yollardan biri olarak görülüyor. Deepfake kimlik avı atakları, toplumsal mühendislik teknikleri ve deepfake teknolojisinin birleşimiyle yeni bir siber atak metodu olarak hayata girdi. Deepfake kimlik avı ataklarındaki artış, derin öğrenme modellerinin daha erişilebilir hale gelmesinden kaynaklanıyor. Günümüzde artık yapay zeka algoritmaları düşük maliyetli yahut fiyatsız bir formda olduğu için ulaşabilir bir durumda. Deepfake kimlik avı atak teşebbüslerinin 2023 yılında %3.000 oranında arttığı gözlemlendi. En çok finans ve muhasebe alanındaki bireylerin hedeflendiğini ve CFO’ların taklit edidiğine dikkat çeken Bitdefender Antivirüs Türkiye distribütörü Laykon Bilişim’in Operasyon Yöneticisi Alev Akkoyunlu, siber hatalıların deepfake kimlik avı taarruzlarını kullandıkları alanları ve kuruluşların dikkat etmesi gereken noktaları anlattı.
1. E-postalar yahut iletiler. Kuruluşlar her yıl iş e-postası akınları nedeniyle milyarlarca dolar kaybediyor. Deepfake’ler e-posta akınlarını daha da tehlikeli hale getiriyor zira tehdit aktörleri bu yaklaşımı iletileri şahsileştirmek ve kimliklerini daha inandırıcı göstermek için kullanabiliyor. Örneğin, saldırganlar CEO’ların geçersiz LinkedIn profillerini oluşturabilir ve bunları çalışanları cezbetmek için kullanabilir.
2. Manzaralı aramalar. Bir siber hatalı, mağdurlarla etkileşime geçmek ve mağdurları kapalı bilgileri (kimlik bilgileri gibi) paylaşmaya ikna etmek yahut onları yetkisiz finansal süreçler gerçekleştirmeye yönlendirmek için bir Zoom görüşmesi üzerinden görüntü deepfake kullanabilir. Örneğin, Çin’deki bir dolandırıcı, birinin kimliğine bürünmek için yüz değiştirme teknolojisini kullandı ve mağduru 622.000 doları transfer etmeye ikna etti.
3. Sesli bildiriler. Bugünlerde rastgele birinin sesini kopyalamak son derece kolay. Tek gereken üç saniyelik bir klip. Bu deepfake’ler, sesli ileti bırakmak yahut insanları canlı sohbetlere dahil etmek için kullanılabilir; böylelikle gerçeklik ile aldatma ortasındaki çizgi daha da bulanıklaşır. 2022 yılında kuruluşların %37’sinin deepfake ses sahtekarlığı yaşadığına inanılıyor.
Kuruluşlar Deepfake Kimlik Avı Akınları Konusunda Neden Endişelenmeli?
1. Süratle büyüyen bir tehdit. Deepfake teknolojisi, üretken yapay zeka araçları sayesinde giderek daha erişilebilir hale geliyor. Deepfake kimlik avı ve dolandırıcılık olayları 2023 yılında %3.000 üzere şaşırtan bir oranda arttı.
2. Maksada yönelik. Saldırganlar son derece şahsileştirilmiş ataklar oluşturmak için deepfake’leri kullanabilir. İnsanları makul ilgi alanlarına, hobilerine ve arkadaş ağlarına nazaran hedefleyebilir. Makul kişi ve kuruluşlara has güvenlik açıklarından yararlanabilir.
3. Tespit edilmesi sıkıntı. Yapay zeka birinin yazı tarzını taklit edebilir, sesleri harikaya yakın bir doğrulukla klonlayabilir ve insan yüzlerinden ayırt edilemeyen yapay zeka tarafından oluşturulmuş yüzler yaratabilir. Bu da deepfake kimlik avı ataklarının tespit edilmesini son derece zorlaştırır.
Kuruluşlar Deepfake Kimlik Avı Hücumlarını Nasıl Önleyebilir?
1. Öncelikli olarak finans departmanlarında vazife alan çalışanları eğitin. Kuruluşların finans departmanlarında misyon alan çalışanlar, bilhassa para transferi üzere süreçleri yaparken dikkatli olmaları konusunda eğitilmeli. Bilhassa işverenleri yahut yöneticileri tarafından acil ve hızlı bir şekilde yapılması istenen para transferlerinde aceleci davranmak yerine, daha dikkatli bir davranış biçimi sergilemeleri gerekiyor. Genelde bu tür siber dolandırıcılık yöntemlerinde siber suçlular, psikolojik baskıyla para transfer işini aceleye getirmeye çalışıyor. Para transferi yapılacak hesabın gerçekten cari bir alacaklı olup olmadığını kontrol etmek gerekiyor. Hesap bilgisinin doğru kişi olduğundan emin olmak için para transferi yapılacak hesap numarası kontrol edilmeli. Yönetici, para transferi yapılacak kişi tarafından aranarak gerçekten böyle bir para transfer emri verip vermediği kontrol etmeli.
2. Çalışanların sahte içerik konusundaki farkındalığını artırın. Çalışanlar, sahte içeriğin giderek yaygınlaşması konusunda bilinçlendirilmeli. Çalışanlara, sadece çevrimiçi profillerinde bazı videolar, fotoğraflar veya ses klipleri olduğu için çevrimiçi bir kişiliğe, bireye veya kimliğe güvenmemeleri gerektiği öğretilmeli.
3. Çalışanları deepfake’i tanımaları ve raporlamaları için eğitin. Kimlik avını önleme ve tespit etme söz konusu olduğunda hiçbir şey insan sezgisinden daha güçlü olamaz. Çalışanları, sahte çevrimiçi kimlikleri, dudak senkronizasyonu tutarsızlıkları gibi görsel anormallikleri, sarsıntılı baş ve gövde hareketlerini, olağandışı ses işaretlerini ve düzensiz veya şüpheli istekleri tanıma ve raporlama konusunda eğitmek çok önemli. Bu eğitim uzmanlığına sahip olmayan kuruluşlar, gerçek, kullanıma hazır örnek sosyal mühendislik senaryolarını kullanan kimlik avı simülasyon programlarını da değerlendirebilir.
4. Kimlik sahtekarlığı riskini azaltmak için güçlü kimlik doğrulama yöntemleri kullanın. Kimlik avına dirençli çok faktörlü kimlik doğrulama ve sıfır güven gibi araçların kullanılması, kimlik hırsızlığı ve yanal hareket riskini kesinlikle bir dereceye kadar azaltabilir. Bununla birlikte, güvenlik liderleri saldırganların akıllıca deepfake tabanlı sosyal mühendislik teknikleri kullanarak kimlik doğrulama sistemlerini hacklemeye veya baypas etmeye çalıştıklarını görmeyi bekleyebilirler.
Deepfake kimlik avı saldırılarının başarısı ve etkinliği, özünde insanların güvenini ve saflığını kullanma becerisinde yatıyor. Kuruluşlar çalışanlarına internette gördükleri ya da duydukları her şeyi sorgulamayı öğretmeli ve düzenli sosyal mühendislik farkındalık egzersizleriyle altıncı bir savunma hissiyle birlikte bir şey fark ettikleri anda devreye giren bir kas hafızası oluşturmalı. Kuruluşların giderek yaygınlaşan bu tehditle etkili bir şekilde mücadele edebilmelerinin en iyi yolu insan sezgisi.
Kaynak: (BYZHA) Beyaz Haber Ajansı