Yapay Zeka Tabanlı Saldırılar, Yapay Zeka ve Makine Öğrenimi, Dolandırıcılık Yönetimi ve Siber Suçlar
Günümüz Gerçekliğinde Sıfır Güven İlkeleri Önemlidir, Doğrulama Zorunludur
Suparna goswami (Gsuparna) •
10 Ekim 2025
Bu ayın başlarında Kaliforniyalı bir yargıç, mahkeme salonunda daha önce hiç ortaya çıkmamış bir şeyi keşfettikten sonra 8,7 milyon dolarlık bir davayı iptal ederek tarih yazdı: derin sahte ifade. Video ilk bakışta ikna edici görünüyordu; bir tanığın doğrudan kameraya konuşması çok önemli kanıtlar sağlıyordu.
Ayrıca bakınız: Kimlik Koruması Başarısız Olduğunda: Modern Tehdit Ortamı İçin Dayanıklılığı Yeniden Düşünmek
Ancak çok geçmeden yargıç dudakların sesle uyumsuz hareket ettiğini ve gözlerin hiç kırpmadığını fark etti. Ardından gelenler daha da endişe vericiydi: Üzerinde oynanmış fotoğraflar ve sahte metin mesajları da dahil olmak üzere dokuz adet uydurma kanıtın tümü, hazır yapay zeka araçları kullanılarak oluşturuldu. Bu, gelişmiş siber suçluların işi değildi. Materyaller kendisini temsil eden davacı tarafından oluşturuldu. Hiçbir teknik uzmanlığı yoktu ve herkesin kullanabileceği tüketici sınıfı yapay zeka araçlarını kullanıyordu.
Hakim, üretken yapay zekanın mahkemede yalnızca büyük bir dikkatle kullanılması gerektiğini söyleyerek bir uyarı yayınladı. Ancak hukuk camiasına yönelik bu yeni dersler halihazırda iş dünyasının bir gerçeğidir ve her işlemin merkezinde yer almaktadır: Güven, doğrulama ve gerçek iletişim ihtiyacı.
Pek çok kişi, deepfake video ve ses oluşturma araçlarındaki son gelişmelerle birlikte deepfake dolandırıcılığının patlamasından korkuyor. Mayıs ayında Google, sinema kalitesinde bir metin-video oluşturucu olan Veo 3’ü piyasaya sürdü ve bu hafta OpenAI, senkronize diyalog ve “yüksek derecede gerçekçi” ses efektleri içeren, “fiziksel olarak daha doğru, gerçekçi ve önceki sistemlerden daha kontrol edilebilir” olarak tanımlanan bir video oluşturma modeli olan Sora 2’ye yalnızca davetle erişimi duyurdu.
OpenAI duyurusunda “Video modelleri çok hızlı bir şekilde çok iyi hale geliyor” dedi. “Genel amaçlı dünya simülatörleri ve robotik ajanlar, toplumu temelden yeniden şekillendirecek ve insanlığın ilerleme eğrisini hızlandıracak.”
Ancak yapay zeka araçlarının kurbanları kandırma konusunda zaten çok iyi olduğu biliniyor. Örneğin, Harvard araştırmacıları, altı büyük yapay zeka sohbet robotunun, kontrollü testlerde yaşlı vatandaşları kandıran ikna edici kimlik avı e-postaları yazmaya ikna edilebileceğini gösterdi. Myanmar’daki dolandırıcılık merkezlerinde suçlular, romantik dolandırıcılıklara yönelik içerik oluşturmak için yapay zeka araçlarına güveniyor; bu da bir dolandırıcının düzinelerce kurbanı sahte karakterler, aşk mesajları ve şiirlerle kandırmasına olanak tanıyor.
Artık işletmelerde devrim yaratmayı vaat eden aynı teknoloji, kötü aktörlere onları dolandırmaya yönelik gelişmiş yetenekler kazandırdı. Doğrulanmış kimlikler, doğrulanmış belgeler ve güvenilir iletişim üzerine kurulu işletmeler için bu, bir krizden başka bir şey değil.
Banka havalesi protokolleri sesli doğrulamanın çalıştığını varsayar. İşe alım kararları video görüşmeleri kullanılarak verilmektedir. Müşteri hizmetleri güvenlik sorularına ve geri arama numaralarına güvenir. Bu uygulamaların her biri artık geçerliliğini yitirmiştir.
Gerçek şu ki, insani hatalar yapan dolandırıcıları yakalamak için tasarlanmış doğrulama sistemleri oluşturmak için onlarca yıl harcadık. Çalışanlarımıza, kimlik avı e-postalarındaki yazım hatalarını tespit etmeleri, uygunsuz ifadeleri fark etmeleri ve olağandışı isteklerden şüphelenmeleri konusunda eğitim verdik. O eğitim programları artık işe yaramıyor. Yapay zekanın yarattığı dolandırıcılık, çalışanların tanıması öğretilen tüm tehlike işaretlerini atlıyor.
CISO’lar ve dolandırıcılık uygulayıcıları yeni sorunları çözmek için genellikle teknolojiye güvenirken, tespit araçları her zaman yapay zeka yeteneklerinin gerisinde kalacaktır. Sıfır güven ilkeleri – asla güvenme, her zaman doğrula – iş operasyonları için daha da önemli hale geldi.
Bu, tipik bir banka havalesi protokolünün, talepte bulunan kişi tarafından sağlanan bir numaranın sesli onayına güvenemeyeceği anlamına gelir. Bankalar ve diğer finansal hizmet firmalarının doğrulama için ayrı bir kanala ihtiyacı vardır. Evet, kullanıcıları hayal kırıklığına uğratır ve daha yavaş olabilir, ancak bunu yapmamız gerekiyor veya dolandırıcılık kayıplarını iş yapmanın bir maliyeti olarak kabul etmeye istekli olmalıyız. İşe alma süreci bile artık yalnızca görsel veya işitsel onaya dayanmıyor.
Başka bir deyişle, doğrulamanın bütünlüğü adına kolaylık ve hızdan fedakarlık etmeliyiz. İşletmelerin, günümüzün dolandırıcılık ortamıyla bağdaşmayan “hızlı doğrulama” kültürünü kutlamayı bırakması gerekiyor.
İlk adım zayıf yönlerinizi anlamaktır. Güvenlik açığı denetimleri gerçekleştirin ve kimlik ve belge doğrulamaya dayanan her süreci haritalandırın. Yüksek riskli süreçler için acil durum protokollerini uygulayın. Banka havaleleri, ödeme yetkileri, kimlik bilgileri değişiklikleri ve yasal kanıtların işlenmesi, bant dışı doğrulama gereksinimlerini anında karşılamalıdır. Çalışan eğitimi, her şey meşru görünse bile çalışanların doğrulama protokollerini takip etmesini sağlayacak şekilde gelişmelidir.
Kaliforniya’daki mahkeme salonunda kullanılan deepfake’ler beceriksizdi. Ancak yakında sahteler gerçeğinden ayırt edilemeyecek hale gelecek. Hala vaktimiz varken hemen harekete geçmeliyiz.