Geçen yıl, güvenlik şirketi KnowBe4, şirket tarafından işe alınan haydut bir Kuzey Kore operasyonunu nasıl ortaya çıkardığına dair kapsamlı ayrıntıları ortaya çıkardığında hileli işçilere ilgi dalgasına neden oldu.
Rogue North Koreli BT işçisi aldatmaca, İngiltere, ABD ve dünyadaki güvenlik uzmanlarının ve insan kaynakları (İK) profesyonellerinin ilgisini çekti. Ve en azından Google Tehdit İstihbarat Başkan Yardımcısı Sandra Joyce’a göre, son zamanlarda aldatmacanın küreselleştiği konusunda uyaran yayılıyor gibi görünüyor.
“Artık ABD ile ilgili değil. Avrupa’ya genişlediğini görüyoruz ve bazı durumlarda bazı gerçek istismarlar görüyoruz,” dedi, gazetecilere Nisan 2025’te Google Cloud’un saçaklarında konuşuyoruz.
Kapsamdaki bu genişleme, hedeflemede bir genişleme geliyor, hileli Kuzey Koreli işçiler, genellikle en temel hedefleri olan izole rejimin kasalarını artırmaya yardımcı olmak için maaşlarını çekmenin yanı sıra gasp operasyonları yapmayı bile gözlemlediler.
Ancak Kuzey Korelilerden önce ya da başka kim bir şirketi bu şekilde dolandırmaya çalışabilirse, bunu yapmaya başlayabilirler, önce işe alınmalıdır. Buna yardımcı olmak için, dolandırıcılar ve diğer tehdit aktörleri artık bir işe alım ağından kolayca kayabilen makul adaylar oluşturmak için büyük dil modelleri (LLMS) ve derin faka videoları kullanarak üretken yapay zekaya (Genai) yöneliyorlar.
Pindrop’un Deep Prafe adayıyla tanışın
Birçok durumda, işverenleri sadece bir kez değil, iki kez “uygulayan” bir derin asma adayıyla kendilerini yüz yüze bulduğunda keşfedildiklerinde, başarılı veya neredeyse başarılı oldukları için başarılı veya neredeyse başarılıdırlar.
Pindrop’a göre, tek bir iş ilanı için firma birkaç gün içinde 800’den fazla başvuru aldı ve aday profillerin 300’üne daha derin analiz uyguladığında, bunların 100’den fazlasının AI tarafından üretilen özgeçmişler, manipüle edilmiş kimlik bilgileri ve hatta derin röportaj teknolojilerini kullanan kimlikler olduğunu buldu.
Pindrop ekibi, Pindrop Pulse Deepfake algılama teknolojisini, Ivan X’in takma adını verdiği “kime” bir “birey” ile bir röportajda kullanmak için kullandı. Ivan, Pindrop ile ilk bakışta çok uygun görünen bir iş için başvurdu.
Bununla birlikte, Ivan’ın ilk röportajı sırasında Pindrop Pulse yazılımı, ekibin hemen bir derinlik adayı işe alma tehlikesi altında olduklarını söylemesini sağlayan üç kırmızı bayrak tanımladı.
Birincisi, Ivan’ın yüz hareketleri doğal olmayan görünüyordu ve söylediği kelimelerle senkronizasyondan biraz uzak görünüyordu, muhtemelen videonun manipüle edildiğini gösteriyor. İkincisi, röportaj görsel-işitsel gecikme tarafından desteklendi ve Ivan’ın sesi zaman zaman düştü veya dudak hareketleriyle uyumlu değildi. Son olarak, görüşmeci beklenmedik bir teknik soru sorduğunda, Pindrop Pulse sanki sistem geri oynamadan önce bir yanıt veriyormuş gibi “doğal olmayan” bir duraklama tespit etti.
Pindrop CEO’su Vijay Balasubramanyan şöyle diyor: “Bu gerçekleştiğinde, çılgın şey işe alım yapmıştı çünkü bir derin asma ile konuştuğu ve derin kek adayının açıkça bilmediği bir uyarısı var, ancak ‘başvurduğu konum sadece bir yazılım mühendisinde değil, yazılım mühendisiydi, bu da süper bir yazılım mühendisi değildi.
Saniye dışarıda… İkinci Tur
Pindrop şanslı bir kaçış geçirmişti. Ancak, sekiz gün sonra Ivan, farklı bir işverenden gelen yeni bir başvuru ile yeniden ortaya çıktı. Merak uyandırdı, ekip röportaj aşamasına girmesine izin vermeye karar verdi.
İkinci kez, röportaja katılan adayın görsel olarak tamamen farklı bir insan olduğu, ancak birinci ile aynı kimlik ve kimlik bilgilerine sahip olduğu hemen belliydi. Birkaç dakika içinde Ivan X 2.0 bağlantı sorunlarıyla karşılaştı, çağrıyı bıraktı ve yeniden birleşti, muhtemelen DeepFake yazılımını yeniden kalibre etme girişimi. Röportaj nihayet devam edebildiğinde, derin kaplamanın kendisi biraz iyileşmiş gibi görünse de, ortaya çıkmadan önce aynı sorunlar ortaya çıktı.
Bu doğrulama, ekibin izole edilmiş bir olayla uğraşmadığına dair şüphesini destekledi, daha ziyade Deepfake Tech kullanarak Pindrop işe alım sürecine kasıtlı ve koordineli bir saldırı.
Balasubramaniyan, o zamandan beri işe alım ekibinin birçoğunu yan taraftaki derinlik adaylarıyla röportaj yapmaya görevlendirdiğini ve şirketin hızla gelişen derin yaprak tespit teknolojisini test etme konusunda gerçekten hevesli olduğunu söylüyor.
“Pindrop ile ilgili harika bir şey, bir ipliği çekiyoruz ve derinlere iniyoruz – ürünlerimiz böyle yaratıldı – bu yüzden bu tavşan deliğine derinden geçtik ve şimdi Kuzey Kore’den açıkça belgelenmiş vekalet röleleri görüyoruz. Ve hepsiyle röportaj yaptık – şimdi onlarla röportaj yapmak için honeypotlar kuruyoruz” diyor.
Geleceklere hazır değiliz
Pindrop’un deneyimi komik bir hikaye yaratıyor, ancak Getreal Security’nin CEO’su Matt Moynahan’a göre, genişleme algılaması alanında genişleyen başka bir başlangıç, ölümcül ciddi. Ne geldiğinden inanılmaz endişeli ve Computer Weekly’ye bu sorunun ne kadar kötü olabileceği hakkında hiçbir fikrimiz olmadığını söylüyor.
“Güvenlik tarihi tamamen kimliğe bürünme ile ilgilidir ve her zaman olmuştur” diyor. “Bu sonsuza dek sürüyor. Ama şimdi olan şey, inanılmaz derecede sofistike yeteneklere sahip olmanız.
“Sadece kimlik bilgilerinizi değil, her gün bildiğinizi ve gördüğünüzü düşündüğünüz ve size karşı döndüğünüzü düşündüğünüz ve size karşı döndüğünüzü düşündüğünüz biri arasındaki fark, gerçek olduğunu düşündüğünüz ve güven duyduğunuz zoom çağrısı olan bir düşmana karşı bu dünyayı düşündüğünüzde, neredeyse daha kötüsü.
“Yani, bu hile ve kimliğe bürünme kavramını düşündüğünüzde, kontrolden çıkacak. Bu şeyin nerede durduğunu bilmiyorum. Bu tam bir karmaşa” diyor. “Ve sadece Kuzey Koreliler değil, yakalanmış olanlar.”
Balasubramaniyan şunları ekliyor: “Sahtekarlık yüzde güdümlü bir oyundur ve en iyi sahtekarlık kampanyaları% 0,1 başarı oranında çalışır. Ama mesele, büyük çalışırlar. Bazen ikramiyeyi kazanırsınız. Kesinlikle gelişmekte olan bir ülkedeki birisinin bundan çok hoş bir yaşam sürmesi için, bu noktaya izin verdiklerini gördük. Aday sahtekarlık ve kişisel olarak bunun özel olduğumuz için olduğunu düşünmüyorum, bence bunun baktığımız için. ”
Pindrop’un kendisi bu kadar çok girişim gördüğü temelinde, Balasubramaniyan çoğu kuruluşun DeepFake adayları tarafından vurulduğunu düşünüyor. Geniş işe alım görevlileri olan büyük işletmeler durumunda, bu günün birkaç kez gerçekleşmesi muhtemeldir.
Gartner Tahminlerine göre, dünya çapında dört aday profilden biri 2028 yılına kadar sahte olacak ve ABD Çalışma İstatistikleri Bürosu’na göre, ABD’de her bir kiralama için her bir kira görüşmesi için ortalama bir işe alma oranı, Amerikan HR profesyonelleri bu yıl sadece 45 ve 90 milyon derinliktü adayı aday profili ile karşılaşacak.
Bu hiperscaling, iş için benzeri görülmemiş bir risk sunuyor, diyor Balasubramaniyan, bir vampir bir korku filminde evinize girmeye davet etmeyi sevmeye benziyor. “Temelde işiniz bitti” diyor.
Sorunu birleştirmek, Moynahan, İK’ya saldırmanın dolandırıcılar için bir kazan-kazan olduğu gerçeğidir, çünkü bu tür departmanlar sadece kale kapılarının anahtarlarını tutmakla kalmaz, aynı zamanda tüm amacının yeni yaklaşımlara açık ve açık olacağı insanlar tarafından görevlendirilir. Yetkili, Covid-19 pandeminin işe alım sürecinin sanaline dönüştüğünü de eklemedi.
Moynahan, “Hiç kimseyi göremeyeceğiniz uzak bir ortamda işe almak çok kolay” diyor. “Ve bu saldırıların bir kısmı çok yüzsüz. Afrikalı-Amerikalı bir adayın bulunduğu bir şirketteydim ve sonra gerçek işe alım olarak bırakılan bir Asyalı kişi vardı-şirket çok büyük olduğu için yakalamadılar. Tüm siber pazar arka kapıya odaklandı ve ön kapı aynı derecede kolay. Daha da kolay olabilir.”
Bu konuda ne yapabiliriz?
İlerlemenin ve buluşun durdurulamayacağını veya geri döndürülemeyeceğini kabul etmeliyiz – ya da en temel güvenlik terimlerine koymak için, kimse sadece onları seçmek mümkün olduğu için kilidin yatırımını tartışmayacaktı.
Daha tanıdık Rogue Insider Angle – à la Edward Snowden – Moynahan, güvenlik endüstrisinin içeriden tehdit braketi kavramını yeniden icat etmesi gerektiğini savunuyor. Siber teknolojiyi kullanarak haydut olan güvenilir insanların tehdidini ele almak her zaman zor olmuştur, çünkü bu gerçekten bir teknoloji sorunu değildir. Buna ek olarak, Moynahan, özellikle ciddiye alınmadı çünkü zımni güven eksikliği birçok iş kültürü için antitetiktir.
“Alex’i işe aldın. Bir çok insan Alex’i tanıyor. Alex’i seviyorlar. Ama ona güvenemezsin. Bu zor bir satış – insanlar kırılgan” diyor,
“Ama şimdi bahsettiğimiz şey bu değil. Şimdiye kadar Genai’ye güvenemeyeceğinizi söyleyebiliriz, çünkü Genai Alex’i bir kalp atışında çoğaltabilir – bu farklı konuşma, kimlik için bir tehdit ve bu yüzden derin dişler ve kimlik aynı madalyonun iki tarafıdır.”
Balasubramaniyan, sorunun bazı sorumluluğunun AI modellerinin geliştiricileri ile ilgili olması gerektiğine inanıyor. “Bu şeyleri güvenlik konusunda herhangi bir endişe duymadan geliştiriyorlar,” diyor, “ve bu değişmek zorunda.”
Ancak Moynahan ile daha geniş güvenlik endüstrisinin de oyununu yükseltmesi gerektiğini kabul ediyor. “Tespit yeteneklerine ihtiyacınız var,” diyor ve “bu önyargılı bir cevap olduğunu biliyorum, ama o kadar uzun zamandır güvenlik içindeyim, her yeni teknolojinin kötüye kullanıldığında, bunu kötüye kullanmayı önlemek için karşı zekayı ve karşı teknolojileri geliştirmeniz gerekiyor.”
Her şey yolunda ve iyi, ancak güvenlik liderleri ve karar vericiler için, kuruluşlarını Deepfake adaylarından nasıl koruyabilecekleri sorusunun cevabı oldukça zor.
Peki, bir güvenlik lideri ne yapmalı? Balasubramaniyan’ın Cisos’a tavsiyesi aktif olarak derin birleşme adayları aramaya başlamak ve her şeyden önce doğru soruları sormaktır.
“Konferanslarınızda ne gördüğünüze gerçekten bakın. Çağrıdaki herkesin gerçekten olduklarını söyledikleri kim olduğundan ne kadar eminsiniz? Ve İK. Cisos çalışanları önemsiyorlar, ancak çalışanları çalışan olduktan sonra önemsiyorlar.
Moynahan, ABD’nin Mevcut Ulaştırma Güvenliği İdaresi (TSA) Precheck Hizmetine “güvenilir” broşürler için benzer bir gelecek modelini öneriyor, bu da diğer avantajların yanı sıra havaalanı güvenliğinin 9/11 sonrası yönlerinden bazılarını atlamalarını sağlıyor. PRECHECK statüsüne ulaşmak için, insanlar herhangi bir ceza geçmişinin ifşa edilmesi de dahil olmak üzere makul derecede titiz bir arka plan kontrolüne boyun eğmelidir ve ödüllü precheck statüsü herhangi bir zamanda yetkililer tarafından herhangi bir zamanda geri çekilebilir.
“Zaten yaptığımız şey bu [at GetReal]”Diyor Moynahan.[We] Ortaya çıkan varlığın kim olduklarını söylediklerinden ve kimsenin kandırılmadığından ve sahte olmadığından emin olmaya çalışın. Dijital adli tıp kalp atışına sahip bir siber güvenlik şirketi olarak, bu veri kırılganlığına geri dönüyoruz. ”
Bu modelde, sorulan soru basitçe, ‘Bu kişi derin bir desen midir?’, Belirli bir bireyin neden sahte olarak seçildiğini, başka kimin aynı çağrıda bulunduğunu, söylediklerini ve yaptıklarını, diğer hak ve ayrıcalıklara sahip oldukları vb.
Moynahan, “Bu zorluk bu”. “Bu sadece gerçek ya da sahte değil. Telemetri ve siber güvenlik hakkında düşünmeli ve dijital iletişim sistemlerinize sızan ve ciddi zararlar veren rakipleriniz olmaz, böylece bunu taşımalısınız.”