Bu, bir patronun yer aldığı deepfake’in bir şirketten milyonları zimmetine geçirdiği ilk olay değil. tarafından bildirilen son örnek Hong Kong Özgür Basın yaklaşık 24 milyon euroluk (200 milyon Hong Kong doları) bir dolandırıcılık bildirdi.
Bu tür bir saldırı şu anda münferit bir durumsa, başkana yönelik e-posta veya BEC saldırıları yoluyla yapılan dolandırıcılıkların aksine, prensip nispeten aynıdır. Tercihen finans bölümünden bir çalışan, şirket yönetiminden bir miktar parayı gizli bir şekilde bir hesaba aktarma talimatı alır. Belirtilen neden önemli değil; bu bir işlemin sonuçlandırılması, bir iş satın alınması veya daha küçük ölçekte personel için hediyelik eşya satın alınması olabilir.
Bu senaryoların her birinde ortak nokta, işlemin hızlı bir şekilde tamamlanması ve şirketteki hiç kimsenin bilgilendirilmesinin gerekliliğidir. Video konferans sırasında patronu böyle bir talimat verdiğinde kim ona itaat etmeyi reddeder ki? Şu anki tartışmanın odağı da burası.
Deepfake: güven sorgulanıyor
“Başkan dolandırıcılığı”, “güven ihlali” veya “güven dolandırıcılığı”, yani mağdurun manipülasyonuna dayalı dolandırıcılık kategorisine girmektedir.
Çalışmak için hikaye ve genel his tutarlı olmalıdır. Çoğu zaman, yönetim hesabından gönderilen (veya öyle görünen) basit bir e-posta ikna etmek için yeterlidir. Hong Kong vakasında aslında hiçbir etkileşim gerçekleşmediği için oldukça ikna edici bir deepfake video kullanılmış olurdu. Bir şirketteki mevcut yetki ilişkisine dayanan ve hiyerarşik ortamdan yararlanan bir hile.
“Bakın, acelem var” diye ısrar eden bir amirin talebini reddetmek zordur. » Kendini ortaya koyan bir yön sonuçta yöntemin başarısı için çok önemlidir.
Deepfake sanatının son durumu
Deepfake, bir kişinin video ve/veya ses kayıtlarının, yapay zeka (AI) kullanılarak bir görsele veya videoya dijital olarak yerleştirilmesidir. Bir video veya fotoğraf durumunda, yüz özellikleri diğerininkilerin üzerine bindirilebilir. Muhtemelen Taylor Swift’in internette dolaşan sahte fotoğraflarını, hatta İkinci Dünya Savaşı sırasında bir film setinde Indiana Jones’u oynayacak Harrison Ford’un dijital olarak yenilenmiş halini görmüşsünüzdür. Sonuçlar o kadar ikna edici ki, video görüntüsü ve ses mükemmel şekilde senkronize olduğu sürece pratikte “derin sahte” kişinin herhangi bir şey söylemesini sağlayabilirsiniz. Bunun için bir kişinin röportaj veya konuşma gibi yeterli sayıda kaydının yanı sıra fotoğraf ve/veya ses kaydının da olması gerekir.
Ancak bir toplantıda yapay olarak oluşturulmuş bir kişi için canlı bir görünüm oluşturmak farklıdır. Yapay olarak oluşturulmuş bir görüntü ve sesin, anında tepki verilmesini gerektiren bir formatta ortaya konulmaya çalışılması teorik olarak mümkündür. Ancak sonuç pek ikna edici değil. Daha uzun duraklamalar var, yüz ifadeleri ve ses tonu kelimelerle uyuşmuyor ve yanlış gibi görünüyor.
Bu özel vakada daha da çarpıcı olan şey, video konferans sırasında birçok “deepfake” olayının yaşanması ve yalnızca banka havalesini yapan çalışanın gerçek olmasıydı. Aslında, deepfake video konferansı önceden kaydedilmişti ve kurbanla herhangi bir diyalog veya etkileşim içermiyordu; yalnızca video konferanstaki diğer insanlar arasındaki diyaloglar (ayrıca deepfake).
Kendinizi nasıl korursunuz?
Bu tür bir dolandırıcılıkla karşı karşıya kalan şirketin, iç ödeme süreçlerini, tanımlanmış kişilerden gelen basit bir talep veya talimatla yetkilendirilemeyecek, daha karmaşık bir onay sürecini takip edecek şekilde yapılandırmış olması gerekir. Çifte kontrol, tuzağa düşmekten kaçınmanın mükemmel bir yolu olmaya devam ediyor. Bir çağrı veya e-posta yoluyla yapılan talebin, aldatılmayı ve gelecekteki saldırıların kurbanları arasında görünme riskini önlemek için kazanılmış bir refleks olması gerektiğini onaylamaktan çekinmeyin.
Deepfake saldırıları bazı ek dersler almamıza olanak tanır. Son Hong Kong vakasında görüntülü ve sesli doğrulama gerçekleşti ancak gerçek bir etkileşim olmadı. Çalışan sadece “lideri” olduğunu düşündüğü kişiden gelen mesajı dinledi ve baktı. Çalışanı kandırmayı ve para transferini tamamlamayı mümkün kılan uydurma bir dolandırıcılık.
Bu tür saldırıların tekrarlanmasını ve başarılı olmasını önlemek için çalışanların üstlerine hem kimliklerini hem de verilen görevin doğruluğunu sorgulama konusunda kendilerini rahat hissetmeleri; Saldırganların işini zorlaştıracak kadar basit ve etkili bir yol. Bu yüzden “patron kim” diye sormaktan çekinmeyin!