Yapay Zeka Tabanlı Saldırılar, Finans ve Bankacılık, Dolandırıcılık Yönetimi ve Siber Suçlar
Visa, Yapay Zekanın Geleneksel Dolandırıcılıkları Daha İkna Edici Hale Getirdiği Uyardı
Rashmi Ramesh (raşmiramesh_) •
21 Mart 2024
Üretken yapay zeka gibi yapay zeka teknolojileri, dolandırıcıların yeni ve yenilikçi dolandırıcılık türleri oluşturmasına yardımcı olmuyor. Visa'daki dolandırıcılık araştırmacılarına göre, geleneksel dolandırıcılık yöntemleriyle gayet başarılılar ancak yapay zekanın gelişi, saldırıları artırmalarına ve daha fazla kurbanı tuzağa düşürmelerine yardımcı oluyor.
Ayrıca bakınız: İsteğe Bağlı | Bankacılıkta İçeriden Gelen Tehditlerle Mücadelenin Sınırlamalarını Aşmak: Gerçek Güvenlik Sorunlarına Gerçek Çözümler
Organize tehdit aktörleri, ödeme ekosistemindeki en savunmasız nokta olan insanları hedeflemeye devam ediyor. Visa'nın risk ve müşteri hizmetleri sorumlusu Paul Fabara, dolandırıcılıklarını daha inandırıcı hale getirmek için yapay zekayı kullandıklarını ve bu durumun kurbanlar için “benzeri görülmemiş kayıplara” yol açtığını söyledi.
Dolandırıcılar, tehdit aktörlerinin hedefli saldırılar başlatmasını, büyük ölçekli sosyal mühendislik saldırıları gerçekleştirmesini ve insan davranışını analiz edip taklit ederek çok büyük ölçekte ikna edici kimlik avı e-postaları oluşturmasını kolaylaştırmak amacıyla sistemdeki güvenlik açıklarını belirleme sürecini otomatikleştirmek için yapay zekayı kullanabilir. Üretken yapay zeka araçları aynı zamanda insan duygularını ve mantığını taklit edebilen gerçekçi konuşmalar üretebilir; tehdit aktörleri, finansal kurumları taklit etmek ve tek kullanımlık şifreler elde etmek veya ödeme hesabı kimlik bilgilerini çalmak için kimlik avı kampanyaları yürütmek için bunlardan yararlanabilir.
Visa'nın küresel dolandırıcılık hizmetleri başkanı Michael Jabbara, Information Security Media Group'a şöyle konuştu: “Yapay zeka, güvenliği artırmak için büyük bir potansiyele sahip olsa da, aynı zamanda tehdit aktörleri için de güçlü bir araç olabilir.”
AI deepfake'leri giderek artan bir endişe kaynağıdır. Suçlular yakın zamanda şirket yöneticilerinin kimliğine bürünmek ve bir çalışanı grup tarafından tutulan çeşitli hesaplara 25,6 milyon dolar aktarması için kandırmak için deepfake bir video kullandı. Araştırmacılar, bilgisayar korsanlarının yapay zeka kullanarak bir sesi 10 dakikada kopyalamak için yalnızca üç saniyelik ses örneğine ihtiyaç duyduğunu söylüyor. Bu araştırmanın kamuoyuna açıklanmasından bir ay sonra, bir muhabir yardımcısı, yetkisiz bir kişinin, bir tüketicinin banka hesabına erişmek için klonlanmış bir sesi nasıl kullandığını gösterdi.
Dark web geliştiricileri, bilgisayar korsanlarının kimlik avı e-postaları oluşturmasına, kırma araçları geliştirmesine ve tarama işlemlerini yürütmesine yardımcı olmak için WormGPT ve FraudGPT'yi piyasaya sürdü. Araçlar aynı zamanda tehdit aktörlerinin kritik sistemlerdeki güvenlik açıklarını taramasına ve test etmesine, bu güvenlik açıklarını içeren kurban ağlarını belirlemesine ve saldırıları gerçekleştirmelerine yardımcı olacak kötü amaçlı komut dosyaları, uygulamalar ve programlar geliştirmelerine de yardımcı oluyor.
Visa, işlem mesajlaşmasındaki hataları tespit edebilecek yeni kötü amaçlı yazılımlar geliştirerek bankaları istismar etmek için teknolojiyi “yaygın olarak” kullandıklarını söyledi. Raporda, bu araçların aynı zamanda tehdit aktörlerinin, bir e-ticaret satıcısının ödeme web sayfasına yerleştirilebilecek ve hassas ödeme hesabı verilerini çalmak için kullanılabilecek dijital tarama kodu oluşturmasına da yardımcı olabileceği belirtiliyor.
Visa ayrıca yapay zeka teknolojisinin dünya genelinde suçluların giriş engelini azalttığını ve vasıfsız suçluların daha karmaşık dolandırıcılık dolandırıcılıkları gerçekleştirmesine olanak sağladığını söyledi.
Bunun bir örneği, eskiden oldukça kolay bir şekilde tespit edilebilen ve çoğunlukla sosyal medya platformlarındaki duyarlı erkekleri hedef alan aşk dolandırıcılıklarıdır. Artık bu dolandırıcılıklar, her yaştan ve cinsiyetten insanları hedef alan romantizm ve kripto para yatırımlarını birleştiren domuz katliamına dönüştü. Giderek daha popüler hale gelen bu dolandırıcılık, şimdiye kadar dolandırıcılara milyarlarca dolar kazandırdı ve yapay zeka, dolandırıcılığın daha inandırıcı olmasına yardımcı oldu.
“Yapay zekanın benim için en çok dikkat çeken kısmı, dolandırıcıların flört uygulamalarında veya sosyal medyada sahte kişiliklerini nasıl bu kadar kolay yaratabildikleridir. LLM'ler sayesinde yanıtlar, bu dolandırıcıların banka kimlikleri ve şifreleri gibi hassas bilgileri almalarına yardımcı olacak şekilde optimize edilebilir. Bu nedenle herkesin her zaman tetikte olması gerekiyor” dedi Jabbara.
Tahmin Sorunları ve Potansiyel Çözümler
Bankaların karşılaştığı en büyük zorluk, standart kimlik doğrulama ve kimlik doğrulama çözümlerinin yakında daha az güvenilir hale gelebilmesidir. Örneğin, bankaların müşteri kimliklerini doğrulamak için kullandığı otomatik canlılık testlerine yönelik videoların güvenliği ihlal edilebilir. Bilgisayar korsanları bu sistemleri kolayca kandırmak için zaten deepfake'ler geliştirdi ve bu dolandırıcılık, 2022'de Amerika Birleşik Devletleri'ndeki doğrulama dolandırıcılıkları arasında en üst sırada yer aldı. iProov'un daha yeni bir raporu, uzak kimlik doğrulama sistemlerine yapılan deepfake saldırılarının sayısının 2022'de %704 arttığını gösteriyor. 2023 yılı bir önceki yıla göre.
Jabbara, yapay zeka teknolojisindeki ilerlemelerin, ödeme ekosistemini hedef alan bu tür görsel biyometri dolandırıcılıklarını teşvik ettiğini söyledi.
Visa, finansal hizmet kuruluşlarına, her kullanıcının kimliğini doğrulamak amacıyla dijital parmak izleri oluşturmak amacıyla davranışsal biyometri uygulamasını tavsiye etti. Jabbara, yüz tanıma ve parmak izi taraması gibi biyometrik sistemlerin doğruluğunu artırmak ve olası derin sahte kimliklere karşı uyarı sağlamak için yapay zeka destekli biyometrik kimlik doğrulamanın kullanılmasını öneriyor. Bu sistemlerin bir kişinin biyometrisindeki küçük değişiklikleri öğrenip bunlara uyum sağlayabileceğini, bu da dolandırıcıların kimliği taklit etmesini zorlaştıracağını söyledi.
Ancak çoğu zaman temellere geri dönmek etkili bir strateji olabilir.
“Yapay zeka derin sahtekarlıkları giderek daha karmaşık hale geliyor ve dolandırıcıların denenmiş ve test edilmiş dolandırıcılık planlarında yenilik yapmak için yeni teknolojiyi nasıl kullandıklarını gösteriyor. İyi haber şu ki, ekosistem genelinde bu tür dolandırıcılıkla mücadele etmek için çok sayıda korumamız var ve çok sayıda korumamız var. Jabbara, aynı ilkelerin ve en iyi uygulamaların hâlâ yapay zeka teknolojisi ve derin sahtekarlıklar için geçerli olduğunu söyledi. Çok faktörlü kimlik doğrulamanın, canlılık testi gibi bir faktör atlansa bile, kötü bir aktörün başarılı bir dolandırıcılık saldırısı için atlatması gereken başka kimlik doğrulama faktörlerinin de mevcut olmasını sağlayan “inanılmaz derecede güçlü bir araç” olduğunu söyledi.
“Çok faktörlü kimlik doğrulama, dolandırıcılıkla nasıl mücadele ettiğimizin temel ilkeleri arasında yer alıyor. Bu, dolandırıcıların üstesinden gelmeleri gereken başka bir engel oluşturuyor. 'İsviçre peyniri' yöntemi sayesinde, herhangi bir yönteme kıyasla daha fazla dolandırıcılığı durdurabiliyoruz.” söz konusu.
İronik bir şekilde, tehdit aktörleri kötü amaçlı yazılım dağıtmak için gelişmiş dil öğrenme modellerini ve diğer yapay zeka sohbet robotlarını kullanırken aynı zamanda bankalar da sohbet robotlarından başlayarak yapay zekayı operasyonlarına hızla benimsiyor. Popüler sohbet robotu üreticileri, hizmetlerinin açıkça zararlı amaçlarla kullanılmamasını sağlamak için kontrollere sahiptir, ancak bilgisayar korsanları bu güvenlik kontrollerini atlamanın yollarını bulmuşlardır.
Visa, davranış analizinin aynı zamanda kötü amaçlı yazılımdan koruma çözümlerinin şüpheli davranışları aramada ve uygulamalarını güncellemede de yardımcı olabileceğini söyledi. Jabbara, derin öğrenme algoritmalarının, kullanıcı davranışındaki veya sistem operasyonlarındaki dolandırıcılık faaliyetlerine işaret edebilecek anormallikleri tespit etmek için kullanılabileceğini söyledi. Bunun, yapay zeka ile ilgili potansiyel tehditlerin gerçek zamanlı olarak belirlenmesine ve önlenmesine yardımcı olabileceğini söyledi.
Finansal hizmet firmaları, kullanıcı kimlik verilerinin birden fazla güvenilir düğümde depolandığı merkezi olmayan kimlik sistemlerini güvence altına almak için yapay zekayı da kullanabilir. Yapay zeka, kullanıcının verilerine müdahale etme girişimlerini tespit ederek ek bir güvenlik katmanı sağlar.
“Yapay zekanın kötü niyetli kullanımı kimlik doğrulama ve kimlik doğrulama konusunda zorluklar yaratırken, yapay zekanın iyi kullanımı bu zorluklara etkili çözümler sunarak bu sistemlerin güvenliğini ve güvenilirliğini artırabilir” dedi.