Kurumsal sahtekarlığın yeni bir yüzü

   Temmuz 7, 2025  Posted in welivesecurity


Yapay zekanın kötü niyetli kullanımı, sahtekarlık manzarasını yeniden şekillendiriyor ve işletmeler için büyük yeni riskler yaratıyor

Phil Muncaster

10 Mar 2025


4 dk. Okumak

AI odaklı aldatma: Kurumsal sahtekarlığın yeni bir yüzü

Yapay Zeka (AI) birçok işletme için harika şeyler yapıyor. Verimlilik ve maliyet tasarrufu için tekrarlayan görevleri otomatikleştirmeye yardımcı oluyor. Müşteri hizmetlerini ve kodlamayı süper şarj ediyor. Ve gelişmiş iş karar alma süreçlerini sağlamak için içgörü ortaya çıkarmaya yardımcı oluyor. Ekim 2023’te Gartner, kuruluşların% 55’inin üretken AI (Genai) ile pilot veya üretim modunda olduğunu tahmin etti. Bu rakam bugün kesinlikle daha yüksek olacak.

Yine de suç işletmeleri de teknoloji ile yenilik yapıyor ve bu da BT ve iş liderleri için her yerde kötü haberler yazıyor. Bu montaj sahtekarlığı tehdidiyle başa çıkmak için, insanlara, süreçlere ve teknolojiye odaklanan katmanlı bir yanıta ihtiyacınız var.

En son AI ve Deepfee tehditleri nelerdir?

Siber suçlular AI ve derin dişlerin gücünü çeşitli şekillerde kullanıyor. Bunlar şunları içerir:

  • Sahte çalışanlar: Yüzlerce şirketin, Freelancers’ı uzaktan çalışan olarak poz veren Kuzey Koreliler tarafından sızdığı bildiriliyor. Arka plan kontrollerini geçmek için sahte özgeçmişleri ve AI-manipüle edilmiş görüntüler de dahil olmak üzere sahte belgeleri derlemek için AI araçları kullanırlar. Nihai hedef, Kuzey Kore rejimine geri göndermek için para kazanmak, veri hırsızlığı, casusluk ve hatta fidye yazılımı.
  • Yeni bir BEC Dolandırıcılığı Boyu: Deepfake ses ve video klipler, finans çalışanlarının dolandırıcının kontrol altındaki hesaplara kurumsal fonları aktarmak için kandırıldığı İşletme E-posta Uzlaşması (BEC) tipi sahtekarlığı güçlendirmek için kullanılıyor. Yakın zamanda rezil bir davada, bir finans çalışanı, bir video konferans görüşmesinde şirketin CFO’su ve diğer personel üyeleri olarak poz verecek olan dolandırıcılara 25 milyon dolar transfer etmeye ikna edildi. Bununla birlikte, bu hiçbir şekilde yeni değil – 2019’a kadar, bir Birleşik Krallık enerji yöneticisi, telefonda patronunun derin bir porse versiyonuyla konuştuktan sonra dolandırıcılara 200.000 £ kablolamaya kandırıldı.
  • Kimlik Doğrulama Bypass: Deepfores, Dolandırıcıların meşru müşterileri taklit etmesine, yeni kişiler oluşturmasına ve hesap oluşturma ve girişler için kimlik doğrulama kontrollerini atlamalarına yardımcı olmak için de kullanılmaktadır. Özellikle sofistike bir kötü amaçlı yazılım parçası olan Goldpickaxe, daha sonra derin peynir videoları oluşturmak için kullanılan yüz tanıma verilerini hasat etmek için tasarlanmıştır. Bir rapora göre, tüm küresel dijital hesap açılışlarının% 13,5’inin geçen yıl hileli faaliyetlerden şüpheleniliyor.
  • Deep Prama Feak Dolandırıcıları: Siber suçlular, daha fazla yatırım ve diğer dolandırıcılıklara, şirket CEO’larını ve sosyal medyadaki diğer yüksek profilli rakamları taklit etmek gibi daha az hedeflenen şekillerde de derin köpekler kullanabilirler. ESET’in Jake Moore’un gösterdiği gibi, teorik olarak herhangi bir kurumsal lider aynı şekilde mağdur edilebilir. Benzer bir notta, ESET’in en son tehdit raporunun açıkladığı gibi, siber suçlular, Nomani adlı yeni bir yatırım sahtekarlığının bir parçası olarak kurbanları cezbetmek için derin yapraklar ve şirket markalı sosyal medya yayınlarından yararlanıyorlar.
  • Şifre Çatlama: AI algoritmaları, veri hırsızlığı, fidye yazılımı ve kitle kimlik sahtekarlığı sağlayarak müşterilerin ve çalışanların şifrelerini kırarak çalışmaya ayarlanabilir. Böyle bir örnek olan Passgan, şifreleri yarım dakikadan daha kısa bir sürede kırabilir.
  • Sahtecilik belgesi: AI tarafından üretilen veya değiştirilmiş belgeler, bankalarda ve diğer şirketlerde müşterinizi (KYC) kontrollerinizi bilmenin başka bir yoludur. Ayrıca sigorta sahtekarlığı için de kullanılabilirler. Neredeyse tüm (% 94) iddia işleyicileri, iddiaların en az% 5’inin AI, özellikle daha düşük değer iddiaları ile manipüle edildiğinden şüphelenmektedir.
  • Kimlik avı ve keşif: İngiltere’nin Ulusal Siber Güvenlik Merkezi (NCSC), siber suçluların üretken ve diğer AI tiplerinden aldığı konusunda uyardı. 2024’ün başlarında, teknolojinin “siber saldırıların önümüzdeki iki yıl boyunca neredeyse kesinlikle artırılacağını ve siber saldırıların etkisini artıracağını” iddia etti. Sosyal mühendisliğin etkinliğinin ve hedeflerin keşiflerinin etkinliğini artırmada özellikle yüksek bir etkisi olacaktır. Bu, fidye yazılımlarını ve veri hırsızlığını ve müşterilere yönelik geniş kapsamlı kimlik avı saldırılarını artıracaktır.

AI tehditlerinin etkisi nedir?

AI özellikli sahtekarlığın etkisi, nihayetinde değişen derecelerde finansal ve itibar hasarıdır. Bir raporda, geçen yıl sahtekarlıktan kaynaklanan gelirin% 38’inin AI odaklı sahtekarlıktan kaynaklandığını tahmin ediyor. Nasıl olduğunu düşünün:

  • KYC Bypass, dolandırıcıların kredi vermesine ve meşru müşteri hesaplarını tahliye etmesine izin verir.
  • Sahte çalışanlar hassas IP çalabilir ve finansal, itibar ve uyumluluk baş ağrıları oluşturarak müşteri bilgilerini düzenleyebilir.
  • BEC dolandırıcıları büyük bir defalık kayıplar üretebilir. Kategori sadece 2023’te 2,9 milyar doların üzerinde siber suçlu kazandı.
  • Kişim kimlikleri dolandırıcılık müşteri sadakatini tehdit eder. Müşterilerin üçte biri, sadece bir kötü deneyimden sonra sevdikleri bir markadan uzaklaşacaklarını söylüyor.

AI özellikli sahtekarlığa karşı geri dönmek

Bu artışla AI özellikli sahtekarlıkta mücadele etmek, insanlara, süreçlere ve teknolojiye odaklanan çok katmanlı bir yanıt gerektirir. Bu şunları içermelidir:

  • Sık sahtekarlık risk değerlendirmeleri
  • AI ile ilgili hale getirmek için kaçınma karşıtı politikaların güncellenmesi
  • Personel için kapsamlı eğitim ve farkındalık programları (örn.
  • Müşteriler için Eğitim ve Farkındalık Programları
  • Tüm hassas kurumsal hesaplar ve müşteriler için çok faktörlü kimlik doğrulamayı (MFA) açma
  • Kariyer tutarsızlıkları için tarama özgeçmişleri gibi çalışanlar için geliştirilmiş arka plan kontrolleri
  • İşe almadan önce tüm çalışanların videoda görüştüğünden emin olun
  • İK ve siber güvenlik ekipleri arasındaki işbirliğini geliştirin

AI Tech de bu dövüşte de kullanılabilir: Örneğin:

  • Derin dişleri tespit etmek için AI ile çalışan araçlar (örn. KYC kontrollerinde).
  • Personel ve müşteri verilerinde şüpheli davranış kalıplarını tespit etmek için makine öğrenme algoritmaları.
  • Genai, yeni sahtekarlık modellerinin geliştirilebileceği, test edilebileceği ve eğitilebileceği sentetik veriler üretmek için.

Kötü niyetli ve hayırsever yapay zeka arasındaki savaş yeni bir aşamaya girdikçe, kuruluşlar gelişen tehdit manzarasına ayak uydurmalarını sağlamak için siber güvenliklerini ve kavga karşıtı politikalarını güncellemelidir. Bu kadar çok tehlikede olan, bunun yapılmaması uzun vadeli müşteri sadakatini, marka değerini etkileyebilir ve hatta önemli dijital dönüşüm girişimlerini raydan çıkarabilir.

AI, rakiplerimiz için oyunu değiştirme potansiyeline sahiptir. Ancak bunu kurumsal güvenlik ve risk ekipleri için de yapabilir.



Source link