Yapay Zeka Tabanlı Saldırılar, Yapay Zeka ve Makine Öğrenimi, Finans ve Bankacılık
Uzmanlar, Yapay Zeka Tabanlı Saldırıları Azaltma Stratejisi Olarak Multimodal Biyometriyi Öneriyor
Suparna Goswami (gsuparna), Rashmi Ramesh (raşmiramesh_) •
29 Mayıs 2024
Dolandırıcılar, kurbanlarını kandırmak için giderek daha fazla deepfake fotoğraflara, videolara ve ses kayıtlarına yöneliyor. Ortaya çıkan bu taktiklerle mücadele etmek için dolandırıcılık soruşturmacıları, çok modlu biyometri kullanan çok faktörlü bir kimlik doğrulama sistemini benimsemekle ilgileniyor.
Ayrıca bakınız: Uygulamalarınızı Güvenceye Alın: Yapay Zekanın Oluşturduğu Kod Riskini Nasıl Önleyeceğinizi Öğrenin
Yapay zeka, anormallik tespiti ve tahmine dayalı modelleme gibi kimlik doğrulama kontrollerinin büyümesini teşvik ederken, aynı zamanda ses klonlama ve video deepfake’lerinin çok daha ikna edici olmasını da sağladı. FIDO Alliance’ın genel müdürü ve CEO’su Andrew Shikiar, Information Security Media Group’a verdiği demeçte, geleneksel kimlik avı e-postaları ve sosyal mühendislik teknikleri daha ölçeklenebilir, ancak derin sahtekarlıkların “işletme üzerinde büyük ve orantısız bir etkiye” sahip olabileceğini söyledi.
Uzmanlar, kullanıcının tuş vuruşları, gezinme kalıpları ve parmak izleri gibi hem fiziksel hem de davranışsal biyometrik kalıpları inceleyerek, multimodal biyometrinin anormallikleri tespit etmek ve deepfake kullanan hesap ele geçirme olaylarını önlemek için daha iyi bahislerden biri olabileceğine inanıyor.
Şirketin yöneticisi Seth Ruden ISMG’ye, davranışların makineler için taklit edilmesi zor olduğunu ve BioCatch’in şu ana kadar gördüğü girişimlerin “insan olma konusunda en iyi ihtimalle beceriksiz ve tembel” olduğunu söyledi. Ama eninde sonunda gelişecekler; bu nedenle savunmacıların da gelişmesi gerektiğini söyledi.
Bu özellikle siber güvenlik-siber suç çatışması için geçerlidir. Kanada Kraliyet Bankası küresel siber güvenlik stratejik hizmetlerinden sorumlu başkan yardımcısı Melissa Carvalho, savunucuların güvenilir bir şekilde çalışan ve güvenlik güvencesi düzeyini artıran bir şey bulmasıyla, tehdit aktörlerinin de bunu atlatmanın yollarını bulduğunu söyledi.
Kullanıcı davranışı ve buluşsal yöntemler de yapay zeka tüketimine ve tekrar oynatılmasına karşı hassastır. Örneğin yapay zeka, davranışsal biyometriyi atlamak için yazma ritimleri gibi kullanıcı davranışlarını öğrenebilir ve taklit edebilir. Bir vakada, bilgisayar korsanları bir CEO’nun sesini taklit etmek ve sahte bir banka transferine izin vermek için yapay zekayı kullandı (bkz: Dolandırıcılar Toplantının Tamamını Deepfake Etti, 25,5 Milyon Doları Dolandırdı).
Hiçbir teknoloji tam koruma sağlayamasa da kuruluşların çalışanları ve müşterileri için yapabileceği en iyi şey riski en aza indirmektir.
Aynı anda birden fazla yöntemin kullanılmasının bu hedefe ulaşmanın gerçekçi bir yolu olduğunu söyleyen Carvalho, tüm parmakların kullanıldığı ve kullanıcıya rastgele iki veya daha fazla gösterim için uyarıda bulunulduğu multimodal biyometri konusunda umut verici araştırmalar yapıldığını da sözlerine ekledi.
“Parmak, avuç içi, damar izi, retina taraması ve EKG biyometrisinden ödün vermek o kadar kolay değil çünkü bu verilerin tehdit aktörü tarafından tekrar oynatılabilmesi için yakalanması gerekiyor” dedi.
Ancak multimodal biyometrinin benimsenmesi kuruluşlar arasında bile gerçekleşmeyecek. Ruden, bazı kurumların daha yumuşak hedefler olacağını ve güvenliğin daha zayıf olacağını ve bu noktada botların kullanım fırsatını tespit edip kimlik doğrulamayı kolayca atladığını söyledi.
Shikiar, canlılık tespitinin biyometrik kimlik doğrulamanın önemli bir bileşeni olabileceğini söyledi. Kuruluşların, kullanıcının fotoğraf, video veya deepfake değil, gerçek bir kişi olduğunu doğrulamak için sensörler, ivmeölçerler ve sorgulama-cevap etkileşimlerini kullanarak canlılık tespitini sağlaması gerekir.
Birkaç yıl önce, aktif canlılık kontrolleri kullanıcıdan yukarıya bakmasını ve göz kırpmasını istemeyi içeriyordu, ancak Biyometri Enstitüsü ISMG’ye verdiği demeçte, bu yöntemlerin tekrar saldırıları ve üretken yapay zeka yoluyla engellendiğini söyledi. Artık en iyi savunma, canlı görüntülerin neye benzediğini belirlemek için makine öğrenimi tekniklerini kullanan pasif canlılık kontrolleridir. Bu, bir selfienin canlı bir kişi olup olmadığının yanı sıra sunulan kimlik belgesinin canlı bir anlık görüntü aracılığıyla alınıp alınmadığını da kontrol edebilir.
Multimodal Biyometrinin Uygulanması
Biyometri Enstitüsü, multimodal biyometriyi uygularken biyometrinin üç kanununa uymanızı önerir. Bunlar: Algoritmanızı bilin, verilerinizi bilin ve işletim ortamınızı bilin. Kuruluş ISMG’ye bunun, kuruluşların mevcut tehditleri yönetirken gelişen yeni tehditlere daha iyi hazırlanmalarına yardımcı olduğunu söyledi.
Deepfake oluşturmak için kullanılan sinir ağı mimarileri aynı zamanda bunları tespit edecek şekilde de tasarlanabilir. Ancak bu teknoloji her zaman bir adımdan fazla ileride değildir, bu nedenle kuruluşların ek stratejilere ihtiyacı vardır. Biyometri Enstitüsü, örneğin yapay zeka tarafından oluşturulan görüntülerde, orijinalleri etiketleyip koruyabilen dijital filigranlara ve diğer görüntü kaynağı izleme tekniklerine sahip olabileceğini söyledi.
Ruden, savunucuların ağları, cihazları ve arka plan sinyallerini izlemek için makine öğrenimi modellerini kullanabileceğini ve güvenlik önlemlerini katmanlandırmak için yerel uzlaşma göstergelerini, biyometriyi ve canlılık kontrollerini kullanabileceğini söyledi. “Bu bizi ikili modelden, en zayıf halkanın, yani kullanıcının aşılamayacağı daha gelişmiş bir dinamik modele götürecektir” dedi.
Shikiar, biyometrinin, multimodal veya başka türlü, denklemin sadece bir parçası olduğunu söyledi. Kuruluşlar, biyometriyi geçiş anahtarlarının kullanımıyla birleştirerek kimlik doğrulama yöntemlerini basit ve daha güvenli bir oturum açma süreciyle en iyi şekilde güçlendirebileceklerini söyledi.
Ruden, deliği kapatamayanların sürekli saldırıya uğrayacağını söyledi. “Benim düşüncem, yapay zekanın bu kurumları ve bunların sömürülebilir unsurlarını daha kolay bulma yeteneğine sahip olacağı, dolayısıyla dünyanın yapay zekaya göre nükleer gerilimi artırma modelinde olacağı yönünde” dedi. “Dinamik bir teknoloji yığınına olan bağlılığı artırmanın zamanı geldi.”
Biyometri Enstitüsü’ne göre, riskleri ve sonuçları dengelemek isteyen kuruluşların koruma eklemek için para harcaması ve müşteri deneyiminde daha fazla sürtüşmeyi beklemesi gerekiyor.