Güvenlik uzmanları, iş ortamlarında sosyal mühendisliğin bir sonraki evrimi için tetikte: derin sahte istihdam görüşmeleri. En son trend, veri çalmak ve dolandırıcılık yapmak için iş kullanıcılarına karşı inandırıcı, sahte kişilikler kullanan suçluların gelecekteki cephaneliğine bir bakış sunuyor.
Endişe, bu hafta FBI İnternet Suçları Şikayet Merkezi’nin (IC3) uzaktan çalışma pozisyonları için çevrimiçi görüşme sürecini oynamaya çalışan dolandırıcıların artan faaliyeti konusunda uyardığı yeni bir tavsiyenin ardından geliyor. Danışmanlık, suçluların kendilerini yanlış tanıtmak ve bilgi teknolojisi, bilgisayar programlama, veritabanı bakımı ve yazılımla ilgili iş işlevlerini içeren bir dizi evden çalışma pozisyonlarında istihdam sağlamak için derin sahte videolar ve çalınan kişisel verilerin bir kombinasyonunu kullandığını söyledi.
Federal yasa uygulayıcı yetkililer, danışma belgesinde işletmelerden çok sayıda şikayet aldıklarını söylediler.
“Bu görüşmelerde, kamerada görüşülen kişinin hareketleri ve dudak hareketleri konuşan kişinin sesiyle tam olarak koordineli değil” danışma dedi. “Bazen öksürme, hapşırma gibi eylemler veya diğer işitsel eylemler görsel olarak sunulanlarla uyumlu değildir.”
Şikayetler ayrıca, suçluların başvuranları daha iyi taklit etmek için bu sahte videolarla birlikte çalıntı kişisel tanımlayıcı bilgileri (PII) kullandığını ve daha sonra arka plan kontrollerinin görüşülen kişi ile başvuruda sunulan kimlik arasındaki tutarsızlıkları ortaya çıkardığını kaydetti.
Deepfake Saldırılarının Potansiyel Nedenleri
Danışmanlık, bu saldırıların nedenlerini belirtmese de, bu dolandırıcıların başvurduğu pozisyonların, hassas verilere veya sistemlere belirli düzeyde kurumsal erişimi olan pozisyonlar olduğunu belirtti.
Bu nedenle, güvenlik uzmanları, bir kişinin uzaktan görüşme yoluyla sahtekarlık yapmadaki en bariz hedeflerinden birinin, bir suçluyu kurumsal casusluktan ortak hırsızlığa kadar herhangi bir şey için bir organizasyona sızacak bir konuma getirmek olduğuna inanıyor.
Danışman, “Özellikle, bildirilen bazı pozisyonlar arasında müşteri PII’sine, finansal verilere, kurumsal BT veritabanlarına ve/veya özel bilgilere erişim yer alıyor” dedi.
Piiano’nun kurucu ortağı ve CEO’su Gil Dabah, “Uzaktan bir işe giren bir dolandırıcı, kuruluşun veri taç mücevherlerini çalmak veya fidye yazılımı için kilitlemek için birkaç dev adım atıyor” diyor. “Artık içeriden bir tehdit ve tespit edilmesi çok daha zor.”
Armorblox’un kurucu ortağı ve CEO’su DJ Sampath, ayrıca, kısa süreli kimliğe bürünme, “kusurlu kişisel profili” olan başvuru sahiplerinin güvenlik kontrollerini geçmelerinin bir yolu olabilir, diyor.
“Bu derin sahte profiller, şirketin işe alım politikasını aşmak için kontrolleri ve dengeleri atlamak için ayarlandı” diyor.
Yabancı aktörlerin, bilgi çalmak için erişim elde etmenin yanı sıra, diğer bilgisayar korsanlığı girişimlerini finanse etmek için ABD şirketlerine girerek derin sahtecilik yapmaya çalışıyor olma potansiyeli var.
“Bu FBI güvenlik uyarısı, son birkaç ay içinde federal kurumlar tarafından bildirilen birçok uyarıdan biri. Son zamanlarda, ABD Hazinesi, Dışişleri Bakanlığı ve FBI piyasaya sürülmüş şirketlerin, şirketlere sızmak ve ülkeleri için gelir toplamak için serbest çalışan müteahhitler gibi davranan Kuzey Koreli BT çalışanlarına karşı dikkatli olmaları gerektiğini belirten resmi bir uyarı,” diye açıklıyor Jumio’nun CTO’su Stuart Wells. “Kuzey Koreli bilgisayar korsanlarına bilmeden ödeme yapan kuruluşlar, potansiyel olarak yasal sonuçlarla karşı karşıya kalır ve hükümet yaptırımlarını ihlal eder.”
CISO’lar için Bu Ne Anlama Geliyor?
Son birkaç yılın derin sahte uyarılarının çoğu, öncelikle siyasi veya sosyal meselelerle ilgiliydi. Bununla birlikte, suçlular tarafından sentetik medya kullanımındaki bu son gelişme, iş ortamlarında derin sahte algılamanın artan önemine işaret ediyor.
Riverside’daki California Üniversitesi’nde elektrik ve bilgisayar mühendisliği profesörü olan Dr. Amit Roy-Chowdhury, “Bunun geçerli bir endişe olduğunu düşünüyorum” diyor. “Bir toplantı süresince derin sahte video yapmak zor ve tespit edilmesi nispeten kolay. Ancak küçük şirketler bu tespiti yapabilecek teknolojiye sahip olmayabilir ve bu nedenle deepfake videolarına aldanabilir. Deepfakes, özellikle de görüntüler çok inandırıcı olabilir ve kişisel verilerle eşleştirilirse işyeri sahtekarlığı oluşturmak için kullanılabilir.”
Sampath, bu saldırının en endişe verici kısımlarından birinin, kimliğe bürünmeye yardımcı olmak için çalınan PII’nin kullanılması olduğu konusunda uyarıyor.
“Güvenliği ihlal edilmiş DarkNet’in yaygınlığı artmaya devam ettikçe, bu kötü niyetli tehditlerin ölçekte devam etmesini beklemeliyiz” diyor. “CISO’lar, işe alımda arka plan kontrolleri söz konusu olduğunda güvenlik duruşlarını yükseltmek için ekstra yol kat etmek zorundalar. Çoğu zaman bu süreçler dış kaynaklıdır ve bu riskleri azaltmak için daha sıkı bir prosedür garanti edilir.”
Gelecek Deepfake Endişeleri
Bundan önce, kurumsal ortamlarda derin sahtekarlıkların suç amaçlı kullanımının en genel örnekleri, iş e-posta güvenliğini aşma (BEC) saldırılarını desteklemek için bir araç olarak olmuştur. Örneğin, 2019’da bir saldırgan, bir Alman şirketinin CEO’sunun sesini taklit ederek şirketteki başka bir yöneticiyi, ticari bir acil durumu desteklemek için acilen 243.000 dolarlık bir banka havalesi göndermeye ikna etmek için derin sahte yazılım kullandı. Daha da önemlisi, geçen sonbaharda bir suçlu, bir Birleşik Arap Emirlikleri şirketinin çalışanını kötü adamların sahip olduğu bir hesaba 35 milyon dolar transfer etmeye ikna etmek için derin sahte ses ve sahte e-posta kullandı ve kurbanı bunun bir şirket satın alımını desteklediğini düşünmesi için kandırdı.
Beyond Layer 7 CEO’su ve George Mason Üniversitesi’nde öğretim üyesi olan Matthew Canham’a göre, saldırganlar, sosyal mühendislik girişimlerini daha etkili hale getirmek için cephaneliklerinde yaratıcı bir araç olarak derin sahte teknolojisini giderek daha fazla kullanacaklar.
Geçen yıl Black Hat’te çalışan Canham, “Deepfakes gibi sentetik medya, sosyal mühendisliği başka bir düzeye taşıyacak” diyor. sunulan araştırma Deepfake teknolojisiyle mücadele için karşı önlemler hakkında.
İyi haber şu ki, Canham ve Roy-Chowdhury gibi araştırmacılar, derin sahtekarlıkların tespiti ve karşı önlemleri konusunda ilerleme kaydediyor. Mayıs ayında Roy-Chowdhury’nin takımı bir çerçeve geliştirdi Derin sahte videolarda manipüle edilmiş yüz ifadelerini eşi görülmemiş düzeyde doğrulukla tespit etmek için.
Bunun gibi yeni tespit yöntemlerinin siber güvenlik topluluğu tarafından nispeten hızlı bir şekilde kullanıma sunulabileceğine inanıyor.
“Araştırmayı yazılım ürünü aşamasına taşıyabilecek profesyonel yazılım geliştirme ile işbirliği ile kısa vadede – bir veya iki yıl içinde – operasyonel hale getirilebileceğini düşünüyorum” diyor.
