Gördüğümüz ve duyduğumuz şeylere inandığımız günler geride kaldı. Üretken yapay zekâ (GenAI), deepfake ses ve görüntü oluşturmayı o kadar kolaylaştırdı ki düzmece bir klip oluşturmak bir iki düğmeye basmak kadar kolay hâle geldi. Bu, işletmeler dâhil herkes için makus bir haber. Siber güvenlik şirketi ESET işletmelerin karşılaşabileceği telefon dolandırıcılığı risklerini inceledi ve deepfake’lerin nasıl anlaşılabileceğine yönelik bilgiler paylaştı.
Deepfake’ler, dolandırıcıların Müşterini Teşhis ve hesap doğrulama denetimlerini atlatmasına yardımcı oluyor. En büyük tehditler ortasında finansal havale dolandırıcılığı ve yönetici hesaplarının ele geçirilmesi yer alıyor.
Telefon dolandırıcılığı taarruzları nasıl gerçekleşiyor?
Saldırgan, taklit edeceği kişiyi seçer. Bu kişi bir CEO, CFO yahut hatta bir tedarikçi olabilir. Çevrimiçi olarak bir ses örneği bulurlar. Bu, tertipli olarak kamuoyuna konuşan yüksek profilli yöneticiler için epey kolaydır. Bu örnek, bir toplumsal medya hesabından, bir kar raporu konferansından, bir görüntü veya TV röportajından yahut öbür rastgele bir kaynaktan alınabilir. Birkaç saniyelik bir kayıt kâfi olacaktır. Arayacakları kişiyi seçerler. Bu, biraz masa başı araştırması gerektirebilir. Ekseriyetle LinkedIn’de IT yardım masası işçisi yahut finans takımı üyeleri aranır. Kişiyi direkt arayabilir yahut evvelce bir e-posta gönderebilirler – örneğin, acil bir para transferi, parola yahut çok faktörlü kimlik doğrulama (MFA) sıfırlama talebi için CEO yahut vadesi geçmiş bir fatura için ödeme talep eden bir tedarikçi. GenAI tarafından üretilen deepfake sesini kullanarak CEO yahut tedarikçiyi taklit ederek evvelden seçilen maksadı ararlar. Araca bağlı olarak, evvelce yazılmış konuşmaya sadık kalabilirler yahut saldırganın sesinin kurbanın sesine neredeyse gerçek vakitli olarak çevrildiği daha sofistike bir “konuşmadan konuşmaya” metodu kullanabilirler.
Duymak inanmaktır
Bu cins taarruzlar giderek daha ucuz, daha kolay ve daha ikna edici hâle geliyor. Birtakım araçlar, taklit edilen sesin daha inandırıcı olması için art plan gürültüsü, duraklamalar ve kekemelikler bile ekleyebiliyor. Her konuşmacıya has ritimleri, tonlamaları ve sözel tikleri taklit etmede giderek daha başarılı hâle geliyorlar. Akın telefonla gerçekleştirildiğinde dinleyici için yapay zekâ ile ilgili aksaklıkları fark etmek daha sıkıntı olabilir. Saldırganlar, gayelerine ulaşmak için dinleyiciye taleplerine hemen cevap vermesi için baskı yapmak üzere toplumsal mühendislik taktikleri de kullanabilir. Bir öteki klasik taktik ise dinleyiciyi talebi bilinmeyen tutması için zorlamaktır.
Bununla birlikte, sahtekârı tespit etmenin yolları vardır. Kullandıkları GenAI’nin ne kadar gelişmiş olduğuna bağlı olarak, aşağıdakileri ayırt etmek mümkün olabilir:
- Konuşmacının konuşmasında doğal olmayan bir ritim
- Konuşmacının sesinde doğal olmayan düz bir duygusal ton
- Doğal olmayan nefes alma yahut hatta nefessiz cümleler
- Olağan dışı robotik ses (daha az gelişmiş araçlar kullandıklarında)
- Garip bir biçimde yok olan yahut çok tekdüze olan art plan gürültüsü
Karşı koyma zamanı
Tehdit aktörlerinin bu cins dolandırıcılıklara daha fazla vakit ayırmalarının nedeni potansiyel karlardır. En makus senaryonun gerçekleşme mümkünlüğünü en aza indirmek için atabileceğiniz kimi değerli adımları yine gözden geçirmek yararlı olacaktır. Birinci adım, çalışanların eğitimi ve bilinçlendirilmesidir. Bu programlar, çalışanların ne beklemeleri gerektiğini, nelerin risk altında olduğunu ve nasıl davranmaları gerektiğini bilmelerini sağlamak için deepfake ses simülasyonlarını içerecek biçimde güncellenmelidir. Çalışanlara, toplumsal mühendisliğin bariz işaretlerini ve üstte açıklananlar üzere tipik deepfake senaryolarını tespit etmeleri öğretilmelidir.
- Telefonla yapılan tüm taleplerin bant dışı doğrulanması – yani, kurumsal iletileşme hesaplarını kullanarak göndereni bağımsız olarak denetim etmek,
- Büyük finansal transferleri yahut tedarikçinin banka bilgilerindeki değişiklikleri iki kişinin imzalaması,
- Yöneticilerin, telefonda kim olduklarını kanıtlamak için cevaplamaları gereken evvelden kararlaştırılmış şifreler yahut sorular.
Teknoloji de yardımcı olabilir. Sentetik sesin varlığını denetim etmek için çeşitli parametreleri denetim eden algılama araçları mevcuttur. Uygulaması daha güç olsa da diğer bir tedbir de yöneticilerin kamuya açık görünümlerini sınırlayarak tehdit aktörlerinin ses kaydına ulaşma fırsatlarını kısıtlamaktır.
İnsanlar, süreçler ve teknoloji
Deepfake’lerin üretimi kolay ve maliyeti düşüktür. Dolandırıcıların elde edebileceği potansiyel olarak büyük meblağlar göz önüne alındığında sesli klonlama dolandırıcılıklarının yakın vakitte sona ereceğini düşünmek mümkün değil. Bu nedenle, insan, süreç ve teknolojiye dayalı üç taraflı bir yaklaşım, kuruluşunuzun riski azaltmak için sahip olduğu en yeterli seçenektir.
Kaynak: (BYZHA) Beyaz Haber Ajansı
