Gördüğümüz ve duyduğumuz şeylere inandığımız günler geride kaldı. Üretken yapay zekâ (GenAI), deepfake ses ve video oluşturmayı o kadar kolaylaştırdı ki sahte bir klip oluşturmak bir iki düğmeye basmak kadar kolay hâle geldi. Bu durum, işletmeler dâhil herkes için kötü bir haber. Siber güvenlik şirketi ESET, işletmelerin karşılaşabileceği telefon dolandırıcılığı risklerini inceledi ve deepfake’lerin nasıl anlaşılabileceğine yönelik bilgiler paylaştı.
Telefon Dolandırıcılığı ve Deepfake Tehdidi
Deepfake’ler, dolandırıcıların Müşterini Tanı ve hesap doğrulama kontrollerini atlatmasına yardımcı oluyor. En büyük tehditler arasında finansal havale dolandırıcılığı ve yönetici hesaplarının ele geçirilmesi yer alıyor.
Saldırgan, taklit edeceği kişiyi seçer. Bu kişi bir CEO, CFO veya tedarikçi olabilir. Çevrimiçi olarak bir ses örneği bulurlar. Bu, düzenli olarak kamuoyuna konuşan yüksek profilli yöneticiler için oldukça kolaydır. Örnekler sosyal medya hesaplarından, kazanç raporu konferanslarından, video veya TV röportajlarından alınabilir. Birkaç saniyelik kayıt yeterlidir.
Arayacakları kişiyi seçerler. Bu, biraz masa başı araştırması gerektirebilir. Genellikle LinkedIn’de IT yardım masası personeli veya finans ekibi üyeleri aranır. Kişiyi doğrudan arayabilir veya önceden bir e-posta gönderebilirler. Örneğin, acil bir para transferi, parola veya çok faktörlü kimlik doğrulama (MFA) sıfırlama talebi için CEO veya vadesi geçmiş bir fatura için ödeme talep eden bir tedarikçi olabilir.
GenAI tarafından üretilen deepfake sesini kullanarak CEO veya tedarikçiyi taklit ederler. Araca bağlı olarak, önceden yazılmış konuşmaya sadık kalabilirler veya sesin kurbanın sesine neredeyse gerçek zamanlı olarak çevrildiği daha sofistike bir “konuşmadan konuşmaya” yöntemi kullanabilirler.
Deepfake Seslerin İkna Ediciliği ve Tespit Yöntemleri
Bu tür saldırılar giderek daha ucuz, kolay ve ikna edici hâle geliyor. Bazı araçlar, taklit edilen sesin inandırıcılığını artırmak için arka plan gürültüsü, duraklamalar ve kekemelikler ekleyebiliyor. Konuşmacıya özgü ritimleri, tonlamaları ve sözel tikleri taklit etmede giderek daha başarılı oluyorlar.
Saldırı telefonla gerçekleştirildiğinde dinleyici için yapay zekâ aksaklıklarını fark etmek zorlaşabilir. Saldırganlar, hedeflerine ulaşmak için dinleyiciye taleplerine acilen yanıt vermesi için baskı yapmak gibi sosyal mühendislik taktikleri kullanabilir. Ayrıca, dinleyiciyi talebi gizli tutması için zorlamak da yaygın bir taktiktir.
Sahtekârı tespit etmenin yolları şunlardır:
- Konuşmacının konuşmasında doğal olmayan ritim
- Konuşmacının sesinde doğal olmayan düz bir duygusal ton
- Doğal olmayan nefes alma veya nefessiz cümleler
- Olağan dışı robotik ses (daha az gelişmiş araçlarda)
- Garip şekilde yok olan veya çok tekdüze arka plan gürültüsü
Karşı Koyma Stratejileri
Tehdit aktörleri bu tür dolandırıcılıklara daha fazla zaman ayırıyor çünkü potansiyel kazançlar büyüktür. En kötü senaryonun gerçekleşme olasılığını en aza indirmek için şu adımlar önemlidir:
Çalışanların eğitimi ve bilinçlendirilmesi: Programlar deepfake ses simülasyonlarını içermeli, sosyal mühendislik işaretleri ve tipik deepfake senaryoları öğretilmelidir.
Bant dışı doğrulama: Telefonla yapılan tüm talepler, kurumsal mesajlaşma hesapları kullanılarak bağımsız şekilde doğrulanmalıdır.
İki imza kuralı: Büyük finansal transferler veya tedarikçi banka bilgisi değişiklikleri iki kişinin imzası ile onaylanmalıdır.
Önceden kararlaştırılmış şifreler: Yöneticiler, telefonda kim olduklarını kanıtlamak için bu şifreleri veya soruları kullanmalıdır.
Teknoloji de yardımcı olabilir. Sentetik sesin varlığını kontrol eden algılama araçları mevcuttur. Ayrıca, yöneticilerin kamuya açık görünümlerini sınırlamak, tehdit aktörlerinin ses kaydına ulaşma fırsatlarını azaltabilir.
İnsan, Süreç ve Teknoloji Üçlüsü
Deepfake’lerin üretimi basit ve maliyeti düşüktür. Dolandırıcıların elde edebileceği potansiyel büyük meblağlar göz önüne alındığında, sesli klonlama dolandırıcılıklarının yakın zamanda sona ereceğini düşünmek olası değildir. Bu nedenle, insan, süreç ve teknolojiye dayalı üç yönlü bir yaklaşım, kuruluşların riski azaltmak için en iyi seçeneğidir.
ESET Hakkında
Avrupa merkezli ESET, dünya çapında ofisleri bulunan bölgenin önde gelen siber güvenlik sağlayıcısıdır. Saldırıları gerçekleşmeden önlemek için en son teknolojiye sahip çözümler sunar. Yapay zekâ ve insan uzmanlığını birleştirerek, bilinen ve bilinmeyen küresel siber tehditlerin önünde yer alır. İşletmeleri, kritik altyapıları ve bireyleri güvence altına alır.
ESET’in yapay zekâ tabanlı, bulut öncelikli çözümleri son derece etkili ve kullanımı kolaydır. Teknoloji “AB’de üretilmiştir” ve sağlam algılama, yanıt, ultra güvenli şifreleme ile çok faktörlü kimlik doğrulama özelliklerini içerir. 7/24 gerçek zamanlı savunma ve güçlü yerel destek sağlar.
Sürekli gelişen dijital ortam, güvenlikte ilerici bir yaklaşım gerektirir. ESET, Ar-Ge merkezleri ve güçlü küresel iş ortağı ağıyla desteklenen, dünya çapında güçlü tehdit istihbaratı sunmaya kendini adamıştır.
ESET hakkında daha fazla bilgi için www.eset.com.tr adresini ziyaret edebilirsiniz.
Yorumlar kapalı.