Son yıllarda yapay zeka (AI) ve makine öğrenimi teknolojilerinin yaygın olarak benimsenmesi, tehdit aktörlerine saldırılarını gerçekleştirebilecekleri yeni araçlar sağlıyor. Bunlardan biri de insan benzeri doğal konuşma veya gerçek insanların fotoğraf ve video kopyalarını içeren deepfake’ler. Bu saldırıları oluşturmak için harcanan zaman ve çaba genellikle potansiyel 'ödüllerinden' daha ağır bassa da Kaspersky, şirketlerin ve tüketicilerin deepfake'lerin gelecekte daha fazla endişe kaynağı olacağının farkında olmaları gerektiği konusunda uyarıyor.
Kaspersky araştırması, darknet pazarlarında deepfake oluşturma araçlarının ve hizmetlerinin yer aldığını tespit etti. Bu hizmetler dolandırıcılık, şantaj ve gizli verilerin çalınması gibi çeşitli amaçlar için yapay zeka yardımıyla video oluşturma imkanı sunuyor. Kaspersky uzmanlarının tahminlerine göre, bir dakikalık deepfake video 300 dolar gibi düşük bir fiyata satın alınabiliyor.
İnternet kullanıcıları arasında dijital okuryazarlık konusunda önemli bir uçurum olduğu konusunda da endişeler var. Yakın zamanda yapılan Kaspersky İş Dijitalleşme Anketine¹ göre Orta Doğu, Türkiye ve Afrika (META) bölgesinde ankete katılan çalışanların %51'i bir deepfake'i gerçek bir görüntüden ayırt edebileceklerini söyledi. Yapılan testte ise yalnızca %25'i gerçek bir görüntüyü yapay zeka tarafından oluşturulmuş bir görüntüden ayırt edebildi2. Kimlik avı ve diğer sosyal mühendislik saldırılarının birincil hedeflerinin genellikle çalışanlar olduğu düşünüldüğünde, bu durum kurumların risk altında olması demek.
Örneğin, siber suçlular CEO'nun bir banka havalesi talep ettiği veya ödemeyi onayladığı sahte bir video oluşturabilir ve bu video şirket varlıklarını çalmak için kullanılabilir. Bireylerden para ya da bilgi sızdırmak için kullanılabilecek tehlikeye atıcı videolar ya da görüntüler oluşturulabilir.
Kaspersky Baş Veri Bilimcisi Vladislav Tushkanov, şunları söylüyor: "Yüksek kaliteli deepfake yaratacak teknolojiler henüz yaygın olarak bulunmasa da, bu teknolojinin en olası kullanım alanlarından biri gerçek zamanlı sesler üreterek başka birinin kimliğine bürünmektir. Örneğin çok uluslu bir firmada çalışan bir finans görevlisi, deepfake teknolojisi sayesinde bir video konferans görüşmesinde şirketin finans müdürü gibi davranılarak dolandırıcılara 25 milyon dolar aktarmak üzere kandırıldı. Deepfake'lerin yalnızca işletmeler için değil, aynı zamanda bireysel kullanıcılar için de bir tehdit olduğunu unutmamak önemlidir. Yanlış bilgi yayarlar, dolandırıcılık amacıyla kullanılırlar veya rızası olmadan başka birinin kimliğine bürünürler. Bu korunulması gereken ve büyüyen bir siber tehdit."
Tushkanov deepfake'lerin oluşturduğu çeşitli tehditlere karşı korunmak için kişilere ve işletmelere aşağıdaki önlemleri öneriyor:
Şüpheli aramalara dikkat edin. Düşük ses kalitesi, sesin doğal olmayan monotonluğu, anlaşılmaz konuşma şekilleri ve gelen anlamsız gürültülere dikkat edin.
Deepfake videoların temel özelliklerini öğrenin. Bu özellikler arasında sarsıntılı hareketler, bir plandan diğerine geçişte ışıkta kaymalar, cilt tonunda farklılıklar, konuşmayla senkronize olmayan dudak hareketleri ve zayıf aydınlatma yer alır.
Asla duygulara dayalı kararlar vermeyin ve ayrıntıları kimseyle paylaşmayın. Sadece o kişinin bilebileceği bir şey sormak ya da aramayı durdurmak, alınan bilgileri birkaç kanaldan ayrıca doğrulamak her zaman daha iyidir. Bu noktada 'güven ama doğrula' protokolünü izleyin.
Kuruluşunuzun siber güvenlik uygulamalarını kontrol edin ve güncelleyin.
Bir güvenlik çözümü, bilgi güvenliği uzmanlarının deepfake konusundaki en son gelişmeler hakkında güncel kalmasına yardımcı olabilir.
Şirketler ayrıca çalışanlarının deepfake'lerin ne olduğunu, nasıl çalıştıklarını ve oluşturabilecekleri zorlukları anlamalarını sağlayarak insana dayalı güvenlik duvarını güçlendirmelidir. Bu, çalışanlara deepfake saldırılarını nasıl tespit edeceklerini öğretmek üzere uygulanacak sürekli farkındalık ve eğitim çalışmalarını kapsar.
