Kimlik avı saldırıları, uzun yıllardır var olan bir siber saldırı yöntemi olsa da halen kuruluşlara saldırmanın ve sızmanın en etkili yollarından biri olarak görülüyor.

Son yıllarda kimlik avı saldırıları, yapay zeka teknolojilerinin siber suç yöntemi olarak kullanılmasıyla şekil değiştirdi. Deepfake kimlik avı saldırı girişimlerinin 2023 yılında %3.000 oranında arttığını dile getiren Bitdefender Antivirüs Türkiye distribütörü Laykon Bilişim’in Operasyon Direktörü Alev Akkoyunlu, deepfake kimlik avı saldırılarına nerelerde maruz kalınabileceğine ve karşı karşıya gelindiğinde neler yapılması gerektiğini paylaştı. 

Deepfake derin öğrenme yöntemiyle sahte görüntülerin, videoların ve seslerin oluşturulması anlamına geliyor. Kimlik avı saldırıları, siber suçluların mağdurları alt etmek için kullandıklarını en etkili yollardan biri olarak görülüyor. Deepfake kimlik avı saldırıları, sosyal mühendislik teknikleri ve deepfake teknolojisinin birleşimiyle yeni bir siber saldırı yöntemi olarak hayata girdi.

Deepfake kimlik avı saldırılarındaki artış, derin öğrenme modellerinin daha erişilebilir hale gelmesinden kaynaklanıyor. Günümüzde artık yapay zeka algoritmaları düşük maliyetli veya ücretsiz bir şekilde olduğu için ulaşabilir bir durumda. Deepfake kimlik avı saldırı girişimlerinin 2023 yılında %3.000 oranında arttığı gözlemlendi. En çok finans ve muhasebe alanındaki kişilerin hedeflendiğini ve CFO’ların taklit edidiğine dikkat çeken Bitdefender Antivirüs Türkiye distribütörü Laykon Bilişim’in Operasyon Direktörü Alev Akkoyunlu, siber suçluların deepfake kimlik avı saldırılarını kullandıkları alanları ve kuruluşların dikkat etmesi gereken noktaları anlattı. 

1. E-postalar veya mesajlar. Kuruluşlar her yıl iş e-postası saldırıları nedeniyle milyarlarca dolar kaybediyor. Deepfake'ler e-posta saldırılarını daha da tehlikeli hale getiriyor çünkü tehdit aktörleri bu yaklaşımı mesajları kişiselleştirmek ve kimliklerini daha inandırıcı göstermek için kullanabiliyor. Örneğin, saldırganlar CEO'ların sahte LinkedIn profillerini oluşturabilir ve bunları çalışanları cezbetmek için kullanabilir.

2. Görüntülü aramalar. Bir siber suçlu, mağdurlarla etkileşime geçmek ve mağdurları gizli bilgileri (kimlik bilgileri gibi) paylaşmaya ikna etmek veya onları yetkisiz finansal işlemler gerçekleştirmeye yönlendirmek için bir Zoom görüşmesi üzerinden video deepfake kullanabilir. Örneğin, Çin'deki bir dolandırıcı, birinin kimliğine bürünmek için yüz değiştirme teknolojisini kullandı ve mağduru 622.000 doları transfer etmeye ikna etti.

3. Sesli mesajlar. Bugünlerde herhangi birinin sesini kopyalamak son derece kolay. Tek gereken üç saniyelik bir klip. Bu deepfake'ler, sesli mesaj bırakmak veya insanları canlı sohbetlere dahil etmek için kullanılabilir; böylece gerçeklik ile aldatma arasındaki çizgi daha da bulanıklaşır. 2022 yılında kuruluşların %37'sinin deepfake ses sahtekarlığı yaşadığına inanılıyor.

Kuruluşlar Deepfake Kimlik Avı Saldırıları Konusunda Neden Endişelenmeli?

1. Hızla büyüyen bir tehdit. Deepfake teknolojisi, üretken yapay zeka araçları sayesinde giderek daha erişilebilir hale geliyor. Deepfake kimlik avı ve dolandırıcılık vakaları 2023 yılında %3.000 gibi şaşırtıcı bir oranda arttı.

2. Hedefe yönelik. Saldırganlar son derece kişiselleştirilmiş saldırılar oluşturmak için deepfake'leri kullanabilir. İnsanları belirli ilgi alanlarına, hobilerine ve arkadaş ağlarına göre hedefleyebilir. Belirli kişi ve kuruluşlara özgü güvenlik açıklarından yararlanabilir.

3. Tespit edilmesi zor. Yapay zeka birinin yazı stilini taklit edebilir, sesleri mükemmele yakın bir doğrulukla klonlayabilir ve insan yüzlerinden ayırt edilemeyen yapay zeka tarafından oluşturulmuş yüzler yaratabilir. Bu da deepfake kimlik avı saldırılarının tespit edilmesini son derece zorlaştırır.

Kuruluşlar Deepfake Kimlik Avı Saldırılarını Nasıl Önleyebilir?

1. Öncelikli olarak finans departmanlarında görev alan çalışanları eğitin.  Kuruluşların finans departmanlarında görev alan çalışanlar, özellikle para transferi gibi işlemleri yaparken dikkatli olmaları konusunda eğitilmeli. Özellikle patronları veya yöneticileri tarafından acil ve hızlı bir şekilde yapılması istenen para transferlerinde aceleci davranmak yerine, daha dikkatli bir davranış biçimi sergilemeleri gerekiyor. Genelde bu tür siber dolandırıcılık yöntemlerinde siber suçlular, psikolojik baskıyla para transfer işini aceleye getirmeye çalışıyor. Para transferi yapılacak hesabın gerçekten cari bir alacaklı olup olmadığını kontrol etmek gerekiyor. Hesap bilgisinin doğru kişi olduğundan emin olmak için para transferi yapılacak hesap numarası kontrol edilmeli. Yönetici, para transferi yapılacak kişi tarafından aranarak gerçekten böyle bir para transfer emri verip vermediği kontrol etmeli. 

2. Çalışanların sahte içerik konusundaki farkındalığını artırın.  Çalışanlar, sahte içeriğin giderek yaygınlaşması konusunda bilinçlendirilmeli. Çalışanlara, sadece çevrimiçi profillerinde bazı videolar, fotoğraflar veya ses klipleri olduğu için çevrimiçi bir kişiliğe, bireye veya kimliğe güvenmemeleri gerektiği öğretilmeli.

3. Çalışanları deepfake’i tanımaları ve raporlamaları için eğitin.  Kimlik avını önleme ve tespit etme söz konusu olduğunda hiçbir şey insan sezgisinden daha güçlü olamaz. Çalışanları, sahte çevrimiçi kimlikleri, dudak senkronizasyonu tutarsızlıkları gibi görsel anormallikleri, sarsıntılı baş ve gövde hareketlerini, olağandışı ses işaretlerini ve düzensiz veya şüpheli istekleri tanıma ve raporlama konusunda eğitmek çok önemli. Bu eğitim uzmanlığına sahip olmayan kuruluşlar, gerçek, kullanıma hazır örnek sosyal mühendislik senaryolarını kullanan kimlik avı simülasyon programlarını da değerlendirebilir.

4. Kimlik sahtekarlığı riskini azaltmak için güçlü kimlik doğrulama yöntemleri kullanın.  Kimlik avına dirençli çok faktörlü kimlik doğrulama ve sıfır güven gibi araçların kullanılması, kimlik hırsızlığı ve yanal hareket riskini kesinlikle bir dereceye kadar azaltabilir. Bununla birlikte, güvenlik liderleri saldırganların akıllıca deepfake tabanlı sosyal mühendislik teknikleri kullanarak kimlik doğrulama sistemlerini hacklemeye veya baypas etmeye çalıştıklarını görmeyi bekleyebilirler.

Deepfake kimlik avı saldırılarının başarısı ve etkinliği, özünde insanların güvenini ve saflığını kullanma becerisinde yatıyor. Kuruluşlar çalışanlarına internette gördükleri ya da duydukları her şeyi sorgulamayı öğretmeli ve düzenli sosyal mühendislik farkındalık egzersizleriyle altıncı bir savunma hissiyle birlikte bir şey fark ettikleri anda devreye giren bir kas hafızası oluşturmalı. Kuruluşların giderek yaygınlaşan bu tehditle etkili bir şekilde mücadele edebilmelerinin en iyi yolu insan sezgisi.