Hollandalı şirketler, ülkenin yüksek düzeyde dijitalleşmesi ve evden çalışması nedeniyle deepfake dijital dolandırıcılığa karşı savunmasız durumda.
Ali Niknam, CEO'su Hollandalı dijital banka ranza, yakın zamanda bir çalışanın kendisinden yüklü miktarda para transferi yapılması yönünde acil bir talep içeren bir video görüşmesi aldığını bildirdi. LinkedIn'de “İtiraf etmeliyim ki deepfake dublörümün bu kadar ikna edici olmasına gerçekten şaşırdım” diye yazdı. Neyse ki çalışan deepfake tuzağına düşmedi ve şirket önemli mali zarardan kurtuldu. “Neyse ki, bunq'ta bu durumlarda arızalara karşı koruma sağlayan süreçlerimiz var” dedi. “Dolandırıcılığı hızlı bir şekilde tespit etmekle kalmadık, aynı zamanda birkaç dakika içinde bunq'taki herkes bu son plan konusunda uyarıldı.”
Deepfake'leri CEO dolandırıcılığı için kullanmak yeni olmasa da Bunq halka açılan ilk şirketlerden biri.
“ [biggest] Son zamanlardaki gelişme, artık karanlık ağda sunulan ve bu teknolojiyi daha büyük bir siber suçlu grubuna uygulanabilir kılan her türlü araç ve hizmetin mevcut olmasıdır” dedi. Dennis de GeusOrange Cyberdefense Hollanda CEO'su. “Üstelik teknoloji daha iyi ve daha gerçekçi hale geliyor ve fark edilmesi zorlaşıyor. Daha önce, bir video görüşmesi şüpheliyse, birinden gözlüklerini çıkarmasını isteyebiliyordunuz, ancak artık bir deepfake bunu da yapabiliyor.”
De Geus, teknolojideki gelişmelerin yapay zekayla bir araya gelerek farklı dillerin kullanılmasına olanak sağlamasının bu dolandırıcılığın önemli ölçüde artmasına neden olduğunu söyledi. Hollandalı kuruluşlar endişelenmeli. “Siber suçlular ilk önce en çok kazanç elde edebilecekleri ülkelere bakıyor ve Hollanda'da çok yüksek düzeyde bir dijitalleşme var” dedi. “Hollanda, yarı zamanlı ve evden çalışmanın Avrupa şampiyonu, dolayısıyla Zoom ve Teams gibi dijital platformlar burada büyük ölçüde kuruluyor. Üstelik Hollandalılar pek çok şeyi çevrimiçi düzenlemeye alışkın, bu da siber suçluların bu tür dolandırıcılığa burada başlamalarını umut verici kılıyor.”
Yapay zeka ile diğer dilleri konuşmak bazen kusurlu olsa da, bu alanda önemli ilerlemelerin kaydedilmesi muhtemelen sadece bir zaman meselesidir. Theo Geversbilgisayarlı görme profesörü Amsterdam Üniversitesi'nden NOS haber sitesine, deepfake videoların yanı sıra çok gerçekçi sesleri de kopyalamanın artık mümkün olduğunu söyledi. Profesör, yıllardır deepfake teknolojisini ve bu tür manipüle edilmiş görüntülerin nasıl tanınacağını araştırıyor.
“Tespit araçları yeterli değil” dedi. “Artık hep çağın gerisindeyiz. Neredeyse her hafta bir şeyler üretmek için yeni bir araç çıkıyor. Bu bir problem.”
De Geus ayrıca tespit araçlarının hâlâ geliştirilmesi gerektiğini düşünüyor. “Bu, önemli yatırımların yapıldığı bir alan çünkü derin sahte siber suçlar gerçek bir tehdit” dedi. Ancak bu her kurum için geçerli olmayabilir. “Büyük nakit akışına sahip daha büyük şirketler siber suçlular için caziptir. Ayrıca uluslararası alanda çalışan kuruluşlar da var çünkü çoğunlukla dijital toplantılara alışkınlar.”
Her ne kadar şimdilik, derin sahte dolandırıcılık söz konusu olduğunda siber suçlular tarafından çok sayıda sağanak yağıyor gibi görünse de (başlangıçta fidye yazılımlarında olduğu gibi) De Geus ayrıca Hong Kong'da bir şubesi olan uluslararası bir şirketin de biliyor. finans çalışanı tüm yönetim kurulunun katılımıyla bir görüşmeye davet edildi.
“Birkaç arama düzenlendi ve ardından finans çalışanı 15 işlemde 25 milyon dolar aktardı” dedi. “Bu, suçluların hedefli saldırıları olabildiğince gerçek göstermek için çok ileri gittiğini gösteriyor.” Bu, örneğin çalışanların sosyal ağlarda paylaştığı bilgileri veya kuruluşun web sitesinde bulunan verileri ve görüntüleri kullanan sosyal mühendisliği içerir.
Bu nedenle, derin sahtekarlık tehdidiyle başa çıkmak, yalnızca bir tespit aracından daha fazlasını gerektirir; özellikle çalışanlar arasında farkındalık ve doğrulama prosedürlerinin oluşturulması. Hollanda'daki birçok güvenlik sağlayıcısı, tehdidin müşterilerini ilgilendirdiğini fark etti.
Orange Cyberdefense de müşterilerle bu konuda görüşmeler yapıyor. De Geus, “Farkındalığa ve bu yeni tehditle baş etmeye odaklanan ek eğitim kursları sunuyoruz” dedi. “Kuruluşlara birdenbire çok tedirgin olmalarına gerek olmadığını, her şeyden önce sağduyularını kullanmaya devam etmeleri gerektiğini belirtiyoruz. CFO'nun acil bir para transferi talebiyle birini aradığını varsayalım; daha sonra, örneğin kod sözcükleri kullanarak veya başka bir telefon hattından geri arama yaparak, ilk aramanın dışında ekstra kontrollerle basit prosedürler belirleyebilirsiniz.
KnowBe4'ün güvenlik farkındalığı savunucusu Jelle Wieringa, yapay zekanın erişilebilirliği ve kullanım kolaylığının insanları dolandırmayı ve dezenformasyon yaymayı giderek daha kolay hale getirdiğini görüyor. “Siber suçlular aynı zamanda hassas ticari bilgilerin arkasına geçmek için deepfake'leri kullanıyor” dedi. “Dolandırıcılık yapmak veya veri çalmak için kurbanlarını manipüle etmeye çalışıyorlar. Genellikle bunu kimlik avı e-postalarıyla yapıyorlar, ancak deepfake üretme teknolojisi giderek daha iyi hale geldikçe, bunun için ses kullandıklarını da görüyoruz.”
Wieringa, bir süre önce bir BT yardım masası çalışanının sesini yeniden üreten bir bilgisayar korsanıyla uğraşmak zorunda kalan Retool şirketini örnek verdi. “Meslektaşının hatta olduğunu düşünen başka bir çalışan bu şekilde dolandırıldı” dedi.
Seçim sahtekarlığı
De Geus ayrıca kuruluşlara bu tehdide karşı farkındalık, eğitim ve prosedürlere dikkat etmeleri çağrısında bulundu. “Elbette, çok fazla uluslararası ve uzaktan çalışmanın olduğu veya büyük para akışının olduğu yerlerde riskin arttığı kuruluşlarda, bunu risk değerlendirmenize dahil etmeniz çok önemlidir” dedi.
Bir şirket derin sahtekarlıkla karşı karşıya kaldığında bunun nasıl olabileceğini belirlemelidir. Kimlik avı ve fidye yazılımı saldırılarıyla bir karşılaştırma yapan De Geus, “Ağın çok daha önceden ele geçirilmiş olması muhtemeldir” dedi. “Daha sonra çoğu zaman tehdit aktörünün saldırıdan önce zaten ağda mevcut olduğu ortaya çıkıyor.”
Bu arada, deepfake'ler yalnızca finansal dolandırıcılık açısından değil aynı zamanda örneğin seçimler için de risk oluşturuyor. “Sahte videolarla seçmenleri ve seçim davranışlarını etkileyebilirsiniz” dedi. “Bu gerçekçi bir tehdit.”
Son zamanlarda deepfake videoların sosyal medyada dolaştığı Slovakya'da da durum böyleydi. Bu görüntülerde sanki siyasi partilerden birinin lideri bir gazeteciyle oy satın alma konusunu tartışıyormuş gibi görünüyordu. AFP haber ajansının teyitçileri, uzmanların da yardımıyla videonun sahte olduğu sonucuna vardı.