Şifre yönetimi devi LastPass, bir şirket çalışanının deepfake dolandırıcılığının hedefi olmasının ardından potansiyel bir güvenlik ihlalinden kıl payı kurtuldu. LastPass’ın bir blog yazısında ayrıntıları verilen olay, CEO Karim Toubba’yı taklit eden derin sahte bir sesin çalışanla WhatsApp aracılığıyla iletişim kurmaya çalışmasını içeriyordu.
Gerçekçi sahtecilikler oluşturmak için ses ve videoyu değiştirebilen Deepfake teknolojisi, siber suçlular tarafından ayrıntılı sosyal mühendislik planlarında giderek daha fazla kullanılıyor. Bu örnekte dolandırıcı, Toubba’nın sesini taklit etmek için ses değiştirme programı kullandı ve muhtemelen çalışanda aciliyet veya güven duygusu yaratmayı amaçladı.
Ancak herkes LastPass kadar şanslı değil. Şubat 2024’te, çok uluslu bir şirketin Hong Kong şubesinin bir çalışanı, dolandırıcıların deepfake teknolojisine sahip yapay zeka tarafından oluşturulan bir CFO’yu kullanmasının ardından kandırılarak 200 milyon HK $ (yaklaşık 25,6 milyon ABD Doları) ödeme yapması için kandırıldı.
Ağustos 2022’de bildirilen başka bir olayda dolandırıcılar, kullanıcıları çevrimiçi toplantılara katılmaya ikna etmek ve Binance müşterilerinin kripto projelerini hedef almak için Binance’in iletişim sorumlusu Patrick Hillmann’ın yapay zeka tarafından oluşturulan deepfake hologramını kullandı.
LastPass’a gelince, şirket, çalışanın durumun tehlike işaretlerini fark etme konusundaki dikkatliliğini övdü. Şirket içinde resmi iletişim için yaygın olarak kullanılmayan bir platform olan WhatsApp’ın alışılmadık kullanımı ve kimliğe bürünme girişimi, çalışanı olayı LastPass güvenliğine bildirmeye teşvik etti. Şirket, saldırının genel güvenlik duruşunu etkilemediğini doğruladı.
Darktrace Küresel Tehdit Analizi Başkanı Toby Lewis, Generative-AI’nin risklerini vurgulayarak konu hakkında yorum yaptı: “Günümüzde yapay zekanın yaygınlığı yeni ve ek riskleri temsil etmektedir. ancak tartışmasız en önemli risk, seçmenlerin düşüncelerini manipüle etmek ve etkilemek için geniş ölçekte yayınlanabilecek derin sahte ses, görüntü ve video üretmek için üretken yapay zekanın kullanılmasıdır.“
“Yapay zekanın deepfake üretimi için kullanımı artık oldukça gerçek olsa da, görüntü ve medya manipülasyonu riski yeni değil; “photoshop” 1990’lardan bu yana bir fiil olarak mevcut.“ Toby açıkladı. “Şimdiki zorluk, yapay zekanın girişin önündeki beceri engelini azaltmak ve üretimi daha yüksek kaliteye hızlandırmak için kullanılabilmesidir. AI deepfake’lerine karşı savunma, büyük ölçüde, özellikle çevrimiçi olarak gördüğünüz veya sosyal medya yoluyla yayılan materyallere karşı alaycı bir bakış açısına sahip olmakla ilgilidir.“ tavsiye etti.
Bununla birlikte, bu dolandırıcılık girişimi, siber suçluların saldırılarında ne kadar karmaşık hale geldiklerini göstermeye devam ediyor. Öte yandan LastPass, bu tür saldırıların azaltılmasında çalışanların farkındalık eğitimlerinin önemine vurgu yaptı. Sosyal mühendislik taktikleri genellikle aciliyet veya panik duygusu yaratmaya ve mağdurları aceleci kararlar almaya zorlamaya dayanır.
Olay aynı zamanda deepfake’lerin kurumsal alanda oluşturduğu potansiyel tehlikeleri de vurguluyor. Teknoloji gelişmeye devam ettikçe ve daha inandırıcı sahte ürünler yaratıldıkça, şirketlerin bu karmaşık dolandırıcılıkların önünde kalabilmek için sağlam güvenlik protokollerine ve çalışan eğitimine yatırım yapması gerekecek.
İşletmeleri hedef alan deepfake dolandırıcılıkları hâlâ nispeten nadir olsa da LastPass olayı büyüyen tehdidi vurguluyor. Şirketin bu girişimi duyurma kararı, diğer kuruluşlar için değerli bir uyarıcı hikaye görevi görüyor ve onları farkındalığı artırmaya ve önleyici tedbirleri uygulamaya teşvik ediyor.
İLGİLİ KONULAR
- Yapay Zeka Tarafından Oluşturulan Sahte Ölüm İlanı Web Siteleri Yaslı Kullanıcıları Etkiliyor
- Deepfake’ler Yüz Tanıma Sistemlerini Atlıyor
- Sahte Kilitleme Modu, iOS Kullanıcılarını Kötü Amaçlı Yazılım Saldırılarına Maruz Bırakıyor
- Deepfake Saldırısı Rusya’yı Vurdu: Sahte Putin Mesajı Yayınlandı
- QR Kod Dolandırıcılığı: Sahte Sesli Mesajlar Kullanıcıları Etkiliyor, 14 Günde 1000 Saldırı