Sosyal mühendislik, manipülasyonun karmaşık bir biçimidir, ancak yapay zekadaki ilerlemeler sayesinde kötü niyetli gruplar son derece karmaşık araçlara erişim elde etti; bu da gelecekte daha ayrıntılı sosyal mühendislik saldırılarıyla karşı karşıya kalabileceğimizi gösteriyor.
Mevcut “bağlantıya tıklamayın” eğitim yaklaşımının, sosyal mühendisliğin gelişen doğasıyla başa çıkmak için yeterli olmayacağı giderek daha açık hale geliyor.
LLM’lerin kötü niyetli aktörler tarafından uygulanması
ChatGPT gibi büyük dil modelleri (LLM), insan benzeri yanıtlar oluşturmak ve dille ilgili çeşitli görevleri gerçekleştirmek için çok miktarda metin verisi üzerinde eğitilir. Bu modellerin milyonlarca, hatta milyarlarca parametresi vardır ve metinleri tutarlı ve bağlamsal olarak uygun bir şekilde anlamalarına ve oluşturmalarına olanak tanır.
ChatGPT, kötü niyetli aktörlerin cephaneliğinde güçlü bir araç haline geldi. Kötü ifade edilmiş, hatalarla dolu e-postaların spam kutularımızı doldurduğu günler yakında sona erebilir. Metin artık geliştirilip iyileştirilebiliyor, böylece e-postalar daha ikna edici hale getirilebiliyor.
Pek çok kimlik avı e-postasının, anadili İngilizce olmayan kişiler tarafından oluşturulduğunu belirtmekte fayda var; çünkü çok sayıda bilgisayar korsanlığı organizasyonu İngilizce konuşulan ülkeler dışında faaliyet gösteriyor. ChatGPT gibi LLM’ler, bu kişilerin kimlik avı e-postalarını hedef kitlelerinin dil ve bağlamına daha iyi uyacak şekilde yeniden yazmasına olanak tanır.
Bu tür e-postaların alıcıları arasında sıklıkla finansal konulardan sorumlu veya kuruluş içinde işlem yapmalarına olanak sağlayan etkili pozisyonlara sahip kişiler bulunur. İyi hazırlanmış e-postalar daha yüksek başarı oranları sağlama eğilimindedir. WormGPT, karanlık ağda bulunan bir yapay zeka modelidir ve hackleme kampanyaları için metinler oluşturmak üzere tasarlanmıştır. Bu, kötü niyetli aktörlerin hesaplarının engellenmesi konusunda endişelenmelerine gerek olmadığı anlamına gelir; bununla her türlü içeriği üretebilirler.
Deepfake’ler iyidir ancak (henüz) kusursuz değildir
Deepfake videoları, son derece gerçekçi ancak sahte veya uydurma içerik oluşturmak için yapay zeka ve derin öğrenme tekniklerini kullanır. Deepfake’ler genellikle mevcut videolardaki bireylerin yüzlerini diğer insanların yüzleriyle değiştirmeyi içerir; tipik olarak üretken rakip ağlar (GAN’ler) olarak bilinen makine öğrenimi algoritmalarını kullanır. Bu gelişmiş algoritmalar, izleyicileri manipüle edilmiş videonun gerçek olduğuna inandıracak şekilde aldatabilecek oldukça ikna edici görsel ve işitsel içerik oluşturmak için çok miktarda veriyi analiz eder ve bunlardan öğrenir.
Deepfake teknolojisinin en etkili değerlendirmesi, “deepfake” edilen kişinin görsel olarak aşina olduğu bir ünlü ya da birey olduğu videoların izlenmesiyle yapılabilir. Mevcut deepfake teknolojisi alanında, tanınmış deepfake oluşturucu Deepfakes Web yetersiz kalıyor. Videolarda bir sorun olduğu hemen anlaşılıyor.
Ancak deepfake oluşturmaya yönelik başka bir yazılım olan DeepFaceLab’ın durumu farklı. Bu teknoloji, mevcut deepfake’lerin çoğu için bir araç görevi görüyor ve yaratıcının becerilerine bağlı olarak daha fazla inandırıcılık sunuyor. DeepFaceLab ile oluşturulan bu Lucy Liu deepfake’i özellikle etkileyici.
Deepfake videolarda inanılırlığa ulaşmanın zorluğu, saç ve yüz özelliklerinin doğru şekilde kopyalanmasında yatmaktadır. Deepfake’in tuvali önemli ölçüde farklı bir saç çizgisine veya yüz yapısına sahip olduğunda, ortaya çıkan deepfake daha az ikna edici görünür.
Ancak kötü niyetli aktörler bu konuda kendilerini şanslı görüyor. Videolarının kaydedilmesini ve görünüşlerinin değiştirilmesini isteyen çok sayıda oyuncu adayı var. Dahası, özellikle kimliklerinin hiçbir zaman açığa çıkmayacağından emin olduklarında, çeşitli faaliyetlerde bulunurken kayıt altına alınmaya açık bireylerin sayısı da hiç eksik değil.
Deepfake’lerin mevcut kullanımı, bunları oluşturacak araçların bulunmasından daha da endişe verici. Şaşırtıcı bir şekilde, deepfake’lerin yaklaşık %90’ı rıza dışı pornografi için, özellikle de intikam amacıyla kullanılıyor. Sorunu daha da karmaşıklaştıran şey, Avrupa’da mağdurları korumaya yönelik özel yasaların bulunmaması.
Şantaj için etkili bir yöntem
Birinin sahte gizli kamera görüntüleri yakaladığını ve katılımcıların yüzlerini kurbanın yüzleriyle değiştirmek için yapay zekayı kullandığını hayal edin. Her ne kadar görüntüler uydurma olsa da eşe ya da patrona durumu anlatmak inanılmaz derecede zor bir iş haline geliyor. Bireylerin uzlaşma olasılıkları sınırsızdır.
Kötü niyetli aktörler üstünlük sağladıkça kendimizi en becerikli ve yenilikçi tehdit aktörlerinin geliştiği yeni bir casusluk çağına adım atarken bulabiliriz. Yapay zekanın kullanıma sunulması, suç faaliyetleri de dahil olmak üzere çeşitli alanlarda yeni bir yaratıcılık düzeyi getiriyor.
Kritik soru hâlâ ortada: Kötü niyetli aktörler sınırları ne kadar zorlayacak? Siber suçların milyarlarca doların söz konusu olduğu son derece kârlı bir sektör olduğu gerçeğini gözden kaçırmamalıyız. Bazı suç örgütleri, kendi çalışan ve kaynak altyapılarına sahip olarak yasal şirketlere benzer şekilde çalışır. Kendi deepfake oluşturucularını geliştirmeye başlamaları an meselesi (eğer henüz yapmamışlarsa).
Önemli mali kaynaklarıyla, mesele bunun uygulanabilir olup olmadığı değil, daha ziyade bunun değerli olup olmayacağı meselesi. Ve bu durumda muhtemelen öyle olacaktır.
Şu anda hangi önleyici tedbirler sunuluyor? Deepfake’leri tespit etme yeteneklerini öne süren çeşitli tarama araçları ortaya çıktı. Böyle bir araç Microsoft’un Video Kimlik Doğrulama Aracıdır. Ne yazık ki, şu anda demokratik sürece dahil olan bir avuç kuruluşla sınırlıdır.
Diğer bir ücretsiz araç ise YouTube videolarıyla test edilen ve bilinen deepfake’leri tarama ve tanıma konusundaki yeterliliğini ortaya koyan Deepware ücretsiz deepfake tarayıcısıdır. Ancak gerçek içerik sunulduğunda doğru taramalar yapmakta zorluk çekiyor ve genel etkinliği hakkında şüpheler uyandırıyor. Görünüşe göre esas olarak bilinen deepfake’ler ve başka her şeyi tanıma çabaları üzerine eğitilmiş.
Ayrıca Intel, FakeCatcher tarayıcısının deepfake tespitinde %96 doğruluğa sahip olduğunu iddia ediyor. Ancak mevcut deepfake’lerin çoğunun insanlar tarafından zaten tanınabildiği göz önüne alındığında, bu iddianın gerçek önemi sorgulanabilir.
Sahte ses aynı zamanda kuruluşlar için de önemli bir tehdit oluşturuyor
Sahte ses, birinin sesini taklit etmeyi veya taklit etmeyi amaçlayan, yapay olarak oluşturulmuş veya değiştirilmiş ses kayıtlarıdır. Deepfake videolarında olduğu gibi, ses sahteleri de gelişmiş makine öğrenimi teknikleriyle, özellikle de konuşma sentezi ve ses dönüştürme algoritmalarıyla oluşturulur. Sonuç, belirli bir kişinin konuşma modelini, tonunu ve nüanslarını taklit eden oldukça ikna edici bir sestir.
Ses taklitleri yalnızca birkaç saniyelik sese dayanarak oluşturulabilir. Ancak kişiyi iyi tanıyan birini etkili bir şekilde kandırmak için daha uzun kayıtlara ihtiyaç vardır. Hedeflenen kişi güçlü bir çevrimiçi varlığa sahip olduğunda bu tür kayıtların alınması daha kolay hale gelir.
Alternatif olarak, usta sosyal mühendisler, bireyleri bir dakikadan fazla süren konuşmalara ustalıkla dahil edebilir ve ses örneklerinin elde edilmesini nispeten zahmetsiz hale getirebilir. Şu anda ses sahtekarlıkları, hedefin konuşma kalıplarının araştırılmasının yalnızca başarılı bir saldırı olasılığını artırdığı derin sahtekarlıklardan daha yüksek bir inanılırlığa sahiptir.
Sonuç olarak kendimizi bu tür saldırıların başarısının, kötü niyetli aktörlerin yatırım yapmaya istekli oldukları çabanın boyutuna bağlı olduğu bir durumda buluyoruz. Bu gelişen manzara, yüksek profilli kişilerin hedef alındığı balina kimlik avı saldırıları için derin etkilere sahip olabilir. Bu tür sosyal mühendislik saldırıları, en üst düzeyde ilgiyi toplar ve kötü niyetli kuruluşlar içindeki kaynakların tahsisini sağlar.
Sahte seslerin yarattığı tehditle birlikte, işlemlerin veya hassas bilgilerin paylaşımının gerçekleştiği hassas telefon görüşmeleri için iki faktörlü kimlik doğrulamanın uygulanmasının zorunlu olduğu ortaya çıkıyor. Her türlü iletişimin gerçekliğinin sorgulanabileceği bir dijital iletişim ortamına giriyoruz.
İnsanları kalemle test etmeli miyiz?
Yapay zeka günlük hayata giderek daha fazla entegre hale geldikçe, doğal olarak siber güvenlik ortamıyla da iç içe geçiyor. Sahte ses ve deepfake tarayıcıların varlığı umut verici olsa da bunların doğruluğu kapsamlı bir şekilde test edilmelidir. Pen testi çabalarının giderek yapay zekaya odaklanacağını ve bunun bazı güvenlik değerlendirmelerinde değişikliğe yol açacağını tahmin etmek mantıklı olacaktır.
Yüksek profilli kişilerin çevrimiçi varlığını değerlendirmek ve ikna edici deepfake oluşturma kolaylığı, yakında siber güvenlik ve kırmızı ekip çalışmalarının ayrılmaz bir parçası haline gelebilir. Hatta özellikle sosyal mühendislik saldırılarıyla mücadeleye adanmış olay önleme ve müdahale ekipleri bile görebiliriz.
Şu anda birisi deepfake yoluyla şantajın kurbanı olursa yardım için nereye başvurabilir? Kesinlikle işverenlerine yaklaşıp, “Ortada hassas bir video dolaşıyor olabilir ama merak etmeyin, bu sadece bir deepfake” demeyecekler. Ancak bu konuyu gizlilik içinde ele alabilecek ve bu tür saldırıların bireyler üzerindeki etkisini azaltabilecek bir ekibe sahip olmak, şirketlerin dikkate alması gereken hayati bir hizmet haline gelebilir.
Yeni yapay zeka odaklı dünyanın siber güvenlik alanında dönüştürücü gücü açık olsa da, bu değişikliklerin kesin doğası belirsizliğini koruyor.