Hızla ilerleyen derin sahte teknolojisi ve COVID sonrası çalışma düzenlemeleri nedeniyle sanal işbirliği araçlarına artan güven ışığında, kuruluşların kötü niyetli aktörlerin kimliğe bürünme girişimlerinde daha karmaşık hale gelmesine hazırlıklı olmaları gerekiyor. 2021’de C düzeyindeki bir e-posta hesabından akıllıca yazılmış bir kimlik avı e-postası, 2022 ve sonrasında aynı hassas bilgileri ve kaynakları istemeye çalışan iyi hazırlanmış bir video veya ses kaydı haline gelebilir.
Deepfake’ler, gerçek olmadıkları halde gerçek gibi görünmelerini sağlamak için bilgisayarlar ve makine öğrenimi yazılımları kullanılarak oluşturulan görüntü ve videolardır. Son birkaç yılda birkaç yüksek profilli derin sahte saldırılar çalıntı fonlarla sonuçlanır. Son zamanlarda, Hong Kong merkezli bir banka, 35 milyon dolarlık bir transfer arayan güvenilir bir müdürün sesini klonlayan yapay zeka destekli bir “derin ses” saldırısıyla aldatıldı. Ne yazık ki, bu örnekler giderek daha yaygın hale geliyor. Siber suçluların sürekli olarak kurumsal kuruluşları hedef almasıyla, yüzeyde ne kadar geçerli görünseler de tüm içeriği doğrulamak artık daha önemli.
Deepfake’in Yeni Hibrit İş Gücündeki Tehlikeleri
Siber suçlular, günlük kimlik avı saldırıları yoluyla onlarca yıldır şirket e-postalarının kimliğine büründü. Ancak şimdi, siber suçlular sesli ve görüntülü aldatma ile bunu bir adım daha ileri götürdüler. Klasik bir derin sahtekarlık örneği, nüfuz sahibi bir kişinin bir tür parasal bağış istemesidir. Bir yönetici, görünen o ki, bir çalışana e-posta yoluyla sesli mesaj göndererek hayır kurumuna bağışta bulunmasını isteyebilir, ancak kaydın sahte olduğunu ve paranın bir offshore hesabına verildiğini öğrenebilir. Çalışanın, bunun doğru olup olmadığını doğrulamak yerine hemen tepki vermesi kolaydır.
Patronunuz sizden bir şey yapmanızı isterse, genellikle uymanız için baskı hissedersiniz. Ve hibrit çalışma çağında, birçok kuruluş yüz yüze iletişime daha az güvendiğinden bu etkileşimleri doğrulamak daha zor. Dijital iletişim saldırı yüzeyleri hızla artıyor ve aldatma teknolojisi ayak uyduruyor – bu onu çok tehlikeli bir kombinasyon ve derin sahte saldırılar için olgunlaştırıyor.
Yapay Zeka Derin Sahte Tehditlerle Nasıl Mücadele Edebilir?
Neyse ki AI, video ve ses analizinde önemli ilerlemeler kaydetti. Örneğin, YouTube otomatik olarak sesten altyazı oluşturur ve anahtar kelimeleri tarayan ve içeriği kategorilere ayıran bir yapay zeka sistemi olarak metin işleme özelliğine sahiptir. Aynı tür teknoloji, kimlik avı videolarının şifresini çözmek için kullanılabilir. Bir CEO, çalışanlarından hayır kurumuna bağış yapmalarını isterse, bir AI siber güvenlik sistemi metni dönüştürebilir ve analiz edebilir ve talebin para için olup olmadığını ve ödemenin bir hayır kurumu web sitesi yerine Zelle aracılığıyla gönderilmesi gerekip gerekmediğini anlayabilir.
Bir AI sistemi ayrıca bu verileri soyutlayabilir ve bir insanı ödemeyi onaylaması veya müdahale etmesi için tetikleyecek olan onaylanmış ödeme için yasal bir uyumluluk çerçevesine girebilir. AI bir ilk savunma katmanı olabilir ve düzensizlikleri insan gözünden daha hızlı bir şekilde işaretleyebilir. Örneğin, bir AI sistemi, mesajın manipüle edilmiş ve birbirine eklenmiş bir dizi klipten oluşturulmadığından emin olmak için sesli/video mesajını mevcut bilinen orijinal görüntülerle hızlı bir şekilde karşılaştırabilir ve bir insan için zaman alıcı bir görevi ortadan kaldırabilir. Bu tür algılamada daha fazla gelişme vardır ve birkaç AI sistemi, bağlam için video ve sesi işleyebilir ve bu bilgiyi bir insana iletebilir veya otomatik olarak algılanabilir.
Orijinallik Deepfake’lerle Savaşıyor
Kuruluşların, video ve ortak çalışmaya dayalı içerik için orijinallik sertifikası atamasını manuel veya otomatik olarak belirlemesinin önemi giderek artıyor. Blok zinciri dahil olmak üzere kimlik doğrulama yöntemleri, derin sahte saldırılarla mücadelede önemli bir faktör olabilir. Blockchain, kimliği doğrulamak için yasal uygulamalardan oylamaya kadar çeşitli uygulamalarda kullanılabilir. Blockchain birkaç şekilde kullanılabilir. Bir kullanıcıdan kendi adları altında içerik yaymadan önce kimliğini kanıtlamasını istemek için kullanılabilir. Blok zinciri uygulamaları, belirli bir dosyadaki içeriğin orijinal versiyonundan taklit edilip edilmediğini veya değiştirilip değiştirilmediğini doğrulamak için de kullanılabilir.
İster blok zincirine ister diğer kimlik doğrulama yöntemlerine dayalı olsun, bir ses veya video dosyasının meşruluğunu belirlemek için kimlik doğrulama şemaları uygulanabilir. Kimlik doğrulamanın dağıtılması kritik öneme sahiptir, bu nedenle bir varlığın içeriği doğrulamak için tam yetkisi yoktur. Blok zincirine ek olarak, çok faktörlü kimlik doğrulama veya imzaların kullanılması, kimlik doğrulama çevresinde güvenliği artırmanın uygun yollarıdır.
Kuruluşlar derin sahtekarlıklarla savaşmak için blok zinciri ve yapay zekayı kullanabilirken, en önemli yöntemlerden biri siber güvenlik farkındalık eğitimini içerebilir. Daha fazla kuruluş, çalışanlarını kendilerini ve kuruluşu çeşitli siber saldırılara karşı daha iyi korumak için eğitiyor. Kuruluşlar, insanlara iletişimin gerçek olup olmadığını doğrulamayı öğreten siber güvenlik farkındalığı eğitimi uygulamalıdır. Yeni derin sahte siber saldırılar ortaya çıktıkça, farkındalık eğitimi, çeşitli saldırılarla mücadele etmek için yakın vadede önemli bir adımdır.