Gördüğümüz ve duyduğumuz şeylere inandığımız günler geride kaldı. Üretken yapay zekâ (GenAI), deepfake ses ve görüntü oluşturmayı o kadar kolaylaştırdı ki geçersiz bir klip oluşturmak bir iki düğmeye basmak kadar kolay hâle geldi. Bu, işletmeler dâhil herkes için berbat bir haber. Siber güvenlik şirketi ESET işletmelerin karşılaşabileceği telefon dolandırıcılığı risklerini inceledi ve deepfake’lerin nasıl anlaşılabileceğine yönelik bilgiler paylaştı.
Deepfake’ler, dolandırıcıların Müşterini Teşhis ve hesap doğrulama denetimlerini atlatmasına yardımcı oluyor. En büyük tehditler ortasında finansal havale dolandırıcılığı ve yönetici hesaplarının ele geçirilmesi yer alıyor.
Telefon dolandırıcılığı akınları nasıl gerçekleşiyor?
Saldırgan, taklit edeceği kişiyi seçer. Bu kişi bir CEO, CFO yahut hatta bir tedarikçi olabilir. Çevrimiçi olarak bir ses örneği bulurlar. Bu, sistemli olarak kamuoyuna konuşan yüksek profilli yöneticiler için hayli kolaydır. Bu örnek, bir toplumsal medya hesabından, bir yarar raporu konferansından, bir görüntü veya TV röportajından yahut öbür rastgele bir kaynaktan alınabilir. Birkaç saniyelik bir kayıt kâfi olacaktır. Arayacakları kişiyi seçerler. Bu, biraz masa başı araştırması gerektirebilir. Ekseriyetle LinkedIn’de IT yardım masası çalışanı yahut finans takımı üyeleri aranır. Kişiyi direkt arayabilir yahut evvelden bir e-posta gönderebilirler – örneğin, acil bir para transferi, parola yahut çok faktörlü kimlik doğrulama (MFA) sıfırlama talebi için CEO yahut vadesi geçmiş bir fatura için ödeme talep eden bir tedarikçi. GenAI tarafından üretilen deepfake sesini kullanarak CEO yahut tedarikçiyi taklit ederek evvelden seçilen gayesi ararlar. Araca bağlı olarak, evvelce yazılmış konuşmaya sadık kalabilirler yahut saldırganın sesinin kurbanın sesine neredeyse gerçek vakitli olarak çevrildiği daha sofistike bir “konuşmadan konuşmaya” prosedürü kullanabilirler.
Duymak inanmaktır
Bu cins taarruzlar giderek daha ucuz, daha kolay ve daha ikna edici hâle geliyor. Kimi araçlar, taklit edilen sesin daha inandırıcı olması için art plan gürültüsü, duraklamalar ve kekemelikler bile ekleyebiliyor. Her konuşmacıya mahsus ritimleri, tonlamaları ve sözel tikleri taklit etmede giderek daha başarılı hâle geliyorlar. Hücum telefonla gerçekleştirildiğinde dinleyici için yapay zekâ ile ilgili aksaklıkları fark etmek daha güç olabilir. Saldırganlar, gayelerine ulaşmak için dinleyiciye taleplerine ivedilikle cevap vermesi için baskı yapmak üzere toplumsal mühendislik taktikleri de kullanabilir. Bir öbür klasik taktik ise dinleyiciyi talebi kapalı tutması için zorlamaktır.
Bununla birlikte, sahtekârı tespit etmenin yolları vardır. Kullandıkları GenAI’nin ne kadar gelişmiş olduğuna bağlı olarak, aşağıdakileri ayırt etmek mümkün olabilir:
- Konuşmacının konuşmasında doğal olmayan bir ritim
- Konuşmacının sesinde doğal olmayan düz bir duygusal ton
- Doğal olmayan nefes alma yahut hatta nefessiz cümleler
- Olağan dışı robotik ses (daha az gelişmiş araçlar kullandıklarında)
- Garip bir halde yok olan yahut çok tekdüze olan art plan gürültüsü
Karşı koyma zamanı
Tehdit aktörlerinin bu cins dolandırıcılıklara daha fazla vakit ayırmalarının nedeni potansiyel karlardır. En makus senaryonun gerçekleşme mümkünlüğünü en aza indirmek için atabileceğiniz kimi değerli adımları tekrar gözden geçirmek yararlı olacaktır. Birinci adım, çalışanların eğitimi ve bilinçlendirilmesidir. Bu programlar, çalışanların ne beklemeleri gerektiğini, nelerin risk altında olduğunu ve nasıl davranmaları gerektiğini bilmelerini sağlamak için deepfake ses simülasyonlarını içerecek biçimde güncellenmelidir. Çalışanlara, toplumsal mühendisliğin bariz işaretlerini ve üstte açıklananlar üzere tipik deepfake senaryolarını tespit etmeleri öğretilmelidir.
- Telefonla yapılan tüm taleplerin bant dışı doğrulanması – yani, kurumsal iletileşme hesaplarını kullanarak göndereni bağımsız olarak denetim etmek,
- Büyük finansal transferleri yahut tedarikçinin banka bilgilerindeki değişiklikleri iki kişinin imzalaması,
- Yöneticilerin, telefonda kim olduklarını kanıtlamak için cevaplamaları gereken evvelce kararlaştırılmış şifreler yahut sorular.
Teknoloji de yardımcı olabilir. Sentetik sesin varlığını denetim etmek için çeşitli parametreleri denetim eden algılama araçları mevcuttur. Uygulaması daha güç olsa da öteki bir tedbir de yöneticilerin kamuya açık görünümlerini sınırlayarak tehdit aktörlerinin ses kaydına ulaşma fırsatlarını kısıtlamaktır.
İnsanlar, süreçler ve teknoloji
Deepfake’lerin üretimi kolay ve maliyeti düşüktür. Dolandırıcıların elde edebileceği potansiyel olarak büyük meblağlar göz önüne alındığında sesli klonlama dolandırıcılıklarının yakın vakitte sona ereceğini düşünmek muhtemel değil. Bu nedenle, insan, süreç ve teknolojiye dayalı üç taraflı bir yaklaşım, kuruluşunuzun riski azaltmak için sahip olduğu en âlâ seçenektir.
Kaynak: (BYZHA) Beyaz Haber Ajansı
