Her duyduğunuza inanmayın

Gördüğümüz ve duyduğumuz  şeylere inandığımız günler geride kaldı. Üretken yapay zekâ (GenAI), deepfake ses ve görüntü oluşturmayı o kadar kolaylaştırdı ki düzmece bir klip oluşturmak bir iki düğmeye basmak kadar kolay hâle geldi. Bu, işletmeler dâhil herkes için makûs bir haber. Siber güvenlik şirketi ESET işletmelerin karşılaşabileceği telefon dolandırıcılığı risklerini inceledi ve deepfake’lerin nasıl anlaşılabileceğine yönelik bilgiler paylaştı. 

Deepfake’ler, dolandırıcıların Müşterini Teşhis ve hesap doğrulama denetimlerini atlatmasına yardımcı oluyor. En büyük tehditler ortasında  finansal havale dolandırıcılığı ve yönetici hesaplarının ele geçirilmesi yer alıyor.

Telefon dolandırıcılığı hücumları nasıl gerçekleşiyor?

Saldırgan, taklit edeceği kişiyi seçer. Bu kişi bir CEO, CFO yahut hatta bir tedarikçi olabilir. Çevrimiçi olarak bir ses örneği bulurlar. Bu, tertipli olarak kamuoyuna konuşan yüksek profilli yöneticiler için epey kolaydır. Bu örnek, bir toplumsal medya hesabından, bir yarar raporu konferansından, bir görüntü veya TV röportajından yahut diğer rastgele bir kaynaktan alınabilir. Birkaç saniyelik bir kayıt kâfi olacaktır. Arayacakları kişiyi seçerler. Bu, biraz masa başı araştırması gerektirebilir. Ekseriyetle LinkedIn’de IT yardım masası işçisi yahut finans grubu üyeleri aranır.  Kişiyi direkt arayabilir yahut evvelden bir e-posta gönderebilirler – örneğin, acil bir para transferi, parola yahut çok faktörlü kimlik doğrulama (MFA) sıfırlama talebi için CEO yahut vadesi geçmiş bir fatura için ödeme talep eden bir tedarikçi. GenAI tarafından üretilen deepfake sesini kullanarak CEO yahut tedarikçiyi taklit ederek evvelce seçilen amacı ararlar. Araca bağlı olarak, evvelce yazılmış konuşmaya sadık kalabilirler yahut saldırganın sesinin kurbanın sesine neredeyse gerçek vakitli olarak çevrildiği daha sofistike bir “konuşmadan konuşmaya” sistemi kullanabilirler.

Duymak inanmaktır

Bu çeşit taarruzlar giderek daha ucuz, daha kolay ve daha ikna edici hâle geliyor. Birtakım araçlar, taklit edilen sesin daha inandırıcı olması için art plan gürültüsü, duraklamalar ve kekemelikler bile ekleyebiliyor. Her konuşmacıya has ritimleri, tonlamaları ve sözel tikleri taklit etmede giderek daha başarılı hâle geliyorlar. Taarruz telefonla gerçekleştirildiğinde dinleyici için yapay zekâ ile ilgili aksaklıkları fark etmek daha güç olabilir. Saldırganlar, gayelerine ulaşmak için dinleyiciye taleplerine hemen karşılık vermesi için baskı yapmak üzere toplumsal mühendislik taktikleri de kullanabilir. Bir öteki klasik taktik ise dinleyiciyi talebi bâtın tutması için zorlamaktır. 

Bununla birlikte, sahtekârı tespit etmenin yolları vardır. Kullandıkları GenAI’nin ne kadar gelişmiş olduğuna bağlı olarak, aşağıdakileri ayırt etmek mümkün olabilir:

• Konuşmacının konuşmasında doğal olmayan bir ritim
• Konuşmacının sesinde doğal olmayan düz bir duygusal ton
• Doğal olmayan nefes alma yahut hatta nefessiz cümleler
• Olağan dışı robotik ses (daha az gelişmiş araçlar kullandıklarında)
• Garip bir halde yok olan yahut çok tekdüze olan art plan gürültüsü 

Karşı koyma zamanı

Tehdit aktörlerinin bu cins dolandırıcılıklara daha fazla vakit ayırmalarının nedeni potansiyel yararlardır.  En berbat senaryonun gerçekleşme mümkünlüğünü en aza indirmek için atabileceğiniz birtakım kıymetli adımları tekrar gözden geçirmek yararlı olacaktır. Birinci adım, çalışanların eğitimi ve bilinçlendirilmesidir. Bu programlar, çalışanların ne beklemeleri gerektiğini, nelerin risk altında olduğunu ve nasıl davranmaları gerektiğini bilmelerini sağlamak için deepfake ses simülasyonlarını içerecek biçimde güncellenmelidir. Çalışanlara, toplumsal mühendisliğin besbelli işaretlerini ve üstte açıklananlar üzere tipik deepfake senaryolarını tespit etmeleri öğretilmelidir. 

• Telefonla yapılan tüm taleplerin bant dışı doğrulanması – yani, kurumsal iletileşme hesaplarını kullanarak göndereni bağımsız olarak denetim etmek,
• Büyük finansal transferleri yahut tedarikçinin banka bilgilerindeki değişiklikleri iki kişinin imzalaması,
• Yöneticilerin, telefonda kim olduklarını kanıtlamak için cevaplamaları gereken evvelce kararlaştırılmış şifreler yahut sorular.

Teknoloji de yardımcı olabilir. Sentetik sesin varlığını denetim etmek için çeşitli parametreleri denetim eden algılama araçları mevcuttur. Uygulaması daha sıkıntı olsa da diğer bir tedbir de yöneticilerin kamuya açık görünümlerini sınırlayarak tehdit aktörlerinin ses kaydına ulaşma fırsatlarını kısıtlamaktır.

İnsanlar, süreçler ve teknoloji

Deepfake’lerin üretimi kolay ve maliyeti düşüktür. Dolandırıcıların elde edebileceği potansiyel olarak büyük meblağlar göz önüne alındığında sesli klonlama dolandırıcılıklarının yakın vakitte sona ereceğini düşünmek mümkün değil. Bu nedenle, insan, süreç ve teknolojiye dayalı üç istikametli bir yaklaşım, kuruluşunuzun riski azaltmak için sahip olduğu en âlâ seçenektir.

 

 

Kaynak: (BYZHA) Beyaz Haber Ajansı