Dalış Özeti:
- Finans yazılımı sağlayıcısı Medius’un yaptığı bir ankete göre, ABD ve İngiltere’deki işletmelerin yarısından biraz fazlası “deepfake” teknolojisiyle desteklenen finansal dolandırıcılıkların hedefi oldu ve bunların %43’ü bu tür saldırıların kurbanı oldu.
- Medius tarafından ankete katılan 1.533 ABD ve İngiltere finans uzmanının %85’i, geçen ay yayınlanan bulgulara ilişkin bir rapora göre bu tür dolandırıcılıkları kuruluşlarının finansal güvenliği için “varoluşsal” bir tehdit olarak görüyor. Deepfake’ler, sahte ancak ikna edici olan yapay zeka tarafından manipüle edilmiş görüntüler, videolar veya ses kayıtlarıdır.
- Medius’un baş dönüşüm ve bilgi sorumlusu Ahmed Fessi, bir röportajında, “Giderek daha fazla suçlu, deepfake dolandırıcılıklarını işletmelerden para almanın etkili bir yolu olarak görüyor,” dedi. Bu dolandırıcılıklar “kimlik avı tekniklerini sosyal mühendislikle ve yapay zekanın gücüyle birleştiriyor.”
Dalış İçgörüsü:
Büyük Dörtlü muhasebe firması Deloitte, Mayıs ayında yayınladığı raporda, üretken yapay zekanın ABD’de 2027 yılına kadar dolandırıcılık kayıplarının 40 milyar dolara ulaşmasını sağlayabileceğini söyledi.
Raporda, “Karanlık ağda 20 ABD dolarından binlerce dolara kadar dolandırıcılık yazılımı satan koca bir ev endüstrisi zaten var,” denildi. “Bu kötü niyetli yazılımların demokratikleştirilmesi, mevcut dolandırıcılık karşıtı araçların birçoğunu daha az etkili hale getiriyor.”
Mayıs ayında, dolandırıcıların deepfake teknolojisini kullanarak kuruluşun CFO’su gibi davranarak şirketten 25 milyon doları başarıyla zimmete geçirdiğine dair haberlerin ardından İngiliz mühendislik grubu Arup ilgi odağı oldu. Sahte CFO ve diğer AI tarafından oluşturulan çalışanlarla yapılan bir video konferansın ardından, bir Arup personeli dolandırıcılığı keşfetmeden önce beş farklı Hong Kong banka hesabına bir dizi işlem yaptı.
Başka bir örnekte, Guardian gazetesi Mayıs ayında reklam grubu WPP’nin başarısız bir deepfake dolandırıcılığının hedefi olduğunu bildirmişti.
Fessi, bir CEO veya CFO’nun yer aldığı YouTube videosu veya podcast gibi çevrimiçi içeriklerin, suçlulara ikna edici bir deepfake için malzeme sağlayabileceğini ve daha sonra bu malzemenin, şirket fonlarını devretmesi için finans ekibi üyesi gibi kişileri kandırmak amacıyla sahtecilik dolandırıcılığında kullanılabileceğini söyledi. Dolandırıcılık eyleminin bir parçası olarak, dolandırıcı, şüphelenmeyen çalışanı hızlı hareket etmeye zorlamak için sahte bir aciliyet duygusu yaratmaya çalışabilir.
Başka bir deepfake dolandırıcılık türünde ise saldırgan, şirketle çalışan bir satıcı veya tedarikçiyi taklit etmeye çalışabilir.
Deepfake’lerin oluşturduğu artan tehditler ışığında Fessi, şirketleri üç ana sütuna dayanan savunma önlemleri almaya çağırdı:
- Eğitim: “Kurumdaki herkesin deepfake’in ne olduğu, nasıl tespit edileceği ve hedef alınırlarsa hangi adımların atılması gerektiği konusunda temel bir anlayışa sahip olması gerekir,” dedi. Şirketler ayrıca bunu üst düzey yöneticiler ve müdürler ile yüksek riskli bölümlerdeki çalışanlar için özel eğitimle tamamlamayı da düşünmelidir.
- Süreç: Fessi’ye göre şirketlerin, çalışanların dolandırıcılara yanlışlıkla ödeme yapma riskini en aza indirmek için denetim ve denge mekanizmalarına sahip olması gerekiyor; örneğin, bir havale işleminde en az iki kişinin imza atmasını gerektirmesi gibi. Kuruluşların ayrıca başarılı bir deepfake saldırısı durumunda nasıl tepki vereceklerine de hazırlıklı olmaları gerekiyor. “Bu süreçlerin belgelenmesi ve iş gücüyle, özellikle de finans personeliyle paylaşılması önemli” dedi.
- Teknoloji: Fessi, yapay zeka ve makine öğrenimi gibi araçların, çok seviyeli doğrulama süreci ve görev ayrımı ile birleştirildiğinde, işletmelerin anormal işlemleri tespit etmesine yardımcı olabileceğini söyledi.