Üretken yapay zeka, sosyal mühendislik saldırılarını çok daha karmaşık ve kişiselleştirilmiş hale getirme potansiyeline sahiptir. Teknoloji, çok düzeyli kampanyalar oluşturmak için bir şirket, bireyler, sorumlulukları ve belirli alışkanlıklar hakkında bilgi edinmek için siteleri hızlı bir şekilde araştırabilir. Teknoloji, bilgilerin otomatik olarak toplanması yoluyla fotoğraflar, videolar ve ses kayıtları elde edebilir ve bunlar daha sonra e-postalar (kimlik avı), sesli saldırılar (vishing) ve güçlü konumdaki kişilere yönelik hedef odaklı kimlik avı saldırıları için derin sahte videolar ve resimler oluşturmak için kullanılabilir. örneğin.
Bu tür saldırıların kanıtlarını zaten eylem halinde görüyoruz. Şubat ayında Hong Kong polisi, Birleşik Krallık’taki bir mühendislik firması olan Arup’taki bir finans çalışanının, CFO da dahil olmak üzere her katılımcının tamamen sahtekar olduğu bir video görüşmesine katıldığında 25 milyon dolar transfer etmek üzere kandırıldığını ortaya çıkardı. WhatsApp platformunda da benzer saldırılar gerçekleştirildi; LastPass, Nisan ayında şirketin CEO’su ve reklam firmasının üst düzey bir yöneticisinin kimliğine bürünen aramalar, mesajlar ve sesli postalarla hedef alındı. WPP, kendilerinden bir video görüşmesi kurmalarının istendiği bir video görüşmesine davet edildi. CEO’nun YouTube videolarından ve ses klonlama teknolojisinden hazırlanmış bir kopyası tarafından yapılan yeni iş.
Derin sahtekarlıklar genişliyor
Bunlar artık münferit olaylar değil; Arup’un CIO’su Rob Greig, yaptığı açıklamada deepfake dolandırıcılıklarının sayısının ve karmaşıklığının son aylarda keskin bir şekilde arttığına dair uyarıda bulundu. Bu, ISMS.Online’ın Bilgi Güvenliği Durumu 2024 raporuyla da doğrulanan bir görüştür; bu rapor, Birleşik Krallık’taki işletmelerin %32’sinin, son 12 ayda en yaygın saldırı türü olan Ticari E-posta Güvenliğinin (BEC) olduğu, derin sahte siber güvenlik olayları yaşadığını ortaya koymaktadır. Gerçekten de raporlar, 2022-23 yılları arasında Avrupa çapında derin sahte saldırılarda %780 artış olduğunu gösteriyor.
GenAI, derin sahtekarlıklar oluşturmada ezber bozan bir rol oynuyor çünkü yapay zeka kendi üretimini geliştirerek hiper gerçekçi içerik sunuyor. Fiziksel tavırlar, hareketler, ses tonlamaları ve diğer incelikler, bireyleri klonlamak için bir AI kodlama algoritması veya Üretken Antagonistik Ağ (GAN) aracılığıyla işlenir. Bu GANS, giriş engelini önemli ölçüde azalttı; dolayısıyla, İç Güvenlik Bakanlığı’na göre bugün derin sahtekarlık oluşturmak çok daha düşük düzeyde beceri ve kaynak gerektiriyor.
Bu tür saldırılara karşı savunma yapmak zor olabilir çünkü kullanıcılar başka bir kişiyi taklit eden kimlik avına karşı çok daha duyarlıdır. Bununla birlikte, derin sahte teknolojisinin genellikle ağzın içini doğru bir şekilde yakalamakta zorlandığı ve bunun sonucunda bulanıklaşmaya neden olduğu bazı noktalar da vardır. Ayrıca yanıp sönme gibi daha az hareket veya beklediğinizden daha fazla ekran yanıp sönmesi olabilir. Genel olarak konuşursak, şu anda en kolay olanı sahte ses, ardından fotoğraf, en zoru ise videodur.
Neden ateşe ateşle karşılık veremiyoruz?
Video, ses ve metnin olası manipülasyonunu tarayıp değerlendiren ve yüzde olarak bir güvenilirlik puanı veren bağımsız ve açık kaynaklı teknolojik çözümler artık mevcut olsa da, başarı oranları karışıktır. Doğruluğunu doğrulamak zordur çünkü çok az kişi puana nasıl ulaştıkları, kullanılan veri seti veya en son ne zaman güncellendikleri konusunda şeffaftır. Yaklaşımları GAN’lar konusunda eğitimli kişilerden, bir içerik parçasının belirli bir araçla üretilip üretilmediğini tespit edebilen sınıflandırıcılara kadar farklılık gösterir; ancak bir yazılım parçasında orijinal olarak yaratıldığı kabul edilen içerik bile manipüle edilebilir. Pek çok video uygulaması, mesajlaşma ve ortak çalışmaya dayalı platform, filtreler açısından zaten yapay zekayı kullanıyor ve bu da tespit etmeyi daha da sorunlu hale getiriyor.
Mevcut teknolojik boşluk göz önüne alındığında, günümüzün ana azaltma biçimi çalışanların güvenlik farkındalığıdır; %47’si ISMS.Online anketinde eğitime daha fazla önem verdiklerini belirtmektedir. Ancak anket, iyi eğitimli çalışanların bile derin sahtekarlıkları tespit etmekte zorlanabileceğini ve bunun politika uygulama eksikliğiyle daha da kötüleştiğini belirtiyor; anket, %34’ünün BYOD cihazlarında yeterli güvenliği kullanmadığını ve %30’unun hassas bilgileri korumadığını ortaya çıkardı. Sıfır güven girişimleri bu tür hassas bilgilere erişimin sınırlandırılmasına yardımcı olabilir ancak çok az kuruluş olgun dağıtımlara sahiptir.
Deloitte, Dijital manipülasyona karşı mücadele raporunda, derin sahte saldırı tehdidinin nasıl azaltılacağına dair bir dizi öneride bulunuyor. Eğitim ve erişim kontrollerine ek olarak, iş süreçlerinde bir doğrulama katmanının uygulanmasını ve ödemelerin onaylanması söz konusu olduğunda doğrulama protokollerinin netleştirilmesini savunuyor. Bu, işlemleri onaylamak için birden fazla katman şeklinde olabilir; örneğin kod sözcüklerinden token tabanlı sistemlere veya bankacılık sektöründe kullanıcı için halihazırda kullanımda olan “selfie” veya video kaydı gibi canlı tespit doğrulamaya kadar. doğrulama.
Politika ve süreç
Ancak tüm bunları kapsayan, insanları, süreçleri ve teknolojiyi yapay zeka perspektifinden kapsayan kapsamlı bir güvenlik politikası görmemiz gerekiyor. Bu, örneğin şüpheli bir Gen-AI saldırısının raporlanması veya bir ödeme yapılıp yapılmadığının bildirilmesi için kanalların mevcut olması amacıyla AI saldırı tespitini ve yanıtını ele almayı amaçlamalıdır. Burada yapay zeka yönetimine yardımcı olmak için kullanılabilecek ISO/IEC 42001:2023 ve NIST Yapay Zeka Risk Yönetimi Çerçevesi gibi çok sayıda yapay zeka standardı zaten mevcuttur.
Bu nedenle, derin sahtekarlıklara karşı savunma yapmak, farkındalık eğitimini erişim ve kullanıcı doğrulamayı içeren güvenlik kontrollerinin yanı sıra GenAI’nin iş içinde nasıl kullanıldığını ve iyileştirme ve müdahaleyi yöneten çerçevelerle birleştiren üç yönlü bir yaklaşım gerektirecektir. İroniktir ki bu, teknolojiden ziyade insanlar ve süreç tarafından en iyi şekilde çözülebilecek bir sorundur.
Geleceğe bakıldığında, bazıları derin sahtekarlıkların, üst düzey yöneticilerin benzerlerinin yakalanmasını sınırlamak amacıyla çevrimiçi olarak daha düşük bir profil benimsemeye karar verebileceğini öne sürüyor. Ancak tam tersine, Zoom’un CEO’su gibi bazıları da tam tersi uç noktaya gideceğimize ve teknolojiyi benimseyerek kendimizin dijital klonlarını yaratacağımıza ve daha sonra bizim adımıza toplantılara katılacağımıza inanıyor. Bunlar bireysel kayıtlardan davranışlarımızı yeniden üretmeyi öğrenecek, tarafımızdan bilgi alacak ve bir çağrı özeti ve eylemlerle geri rapor verecek. Bu yaklaşım geniş çapta benimsenirse, tespit teknolojilerinin başlangıç seviyesinde olmadığı ortaya çıkacak ve savunmanın birincil yöntemleri doğrulama süreçleri ve etkili bir yapay zeka politikası haline gelecektir.
Reklam