Kimlik avı saldırıları, uzun yıllardır var olan bir siber saldırı yöntemi olsa da halen kuruluşlara saldırmanın ve sızmanın en etkili yollarından biri olarak görülüyor. Son yıllarda kimlik avı saldırıları, yapay zeka teknolojilerinin siber suç yöntemi olarak kullanılmasıyla şekil değiştirdi.
Deepfake derin öğrenme yöntemiyle sahte görüntülerin, videoların ve seslerin oluşturulması anlamına geliyor. Kimlik avı saldırıları, siber suçluların mağdurları alt etmek için kullandıklarını en etkili yollardan biri olarak görülüyor.
Deepfake kimlik avı saldırıları, sosyal mühendislik teknikleri ve deepfake teknolojisinin birleşimiyle yeni bir siber saldırı yöntemi olarak hayata girdi. Deepfake kimlik avı saldırılarındaki artış, derin öğrenme modellerinin daha erişilebilir hale gelmesinden kaynaklanıyor.
Günümüzde artık yapay zeka algoritmaları düşük maliyetli veya ücretsiz bir şekilde olduğu için ulaşabilir bir durumda. Deepfake kimlik avı saldırı girişimlerinin 2023 yılında %3.000 oranında arttığı gözlemlendi.
En çok finans ve muhasebe alanındaki kişilerin hedeflendiğini ve CFO’ların taklit ediliyor.
Siber suçluların deepfake kimlik avı saldırılarını kullandıkları alanlar ve kuruluşların dikkat etmesi gereken noktalar neler?
E-postalar veya mesajlar. Kuruluşlar her yıl iş e-postası saldırıları nedeniyle milyarlarca dolar kaybediyor.
Deepfake’ler e-posta saldırılarını daha da tehlikeli hale getiriyor çünkü tehdit aktörleri bu yaklaşımı mesajları kişiselleştirmek ve kimliklerini daha inandırıcı göstermek için kullanabiliyor. Örneğin, saldırganlar CEO’ların sahte LinkedIn profillerini oluşturabilir ve bunları çalışanları cezbetmek için kullanabilir.
Görüntülü aramalar. Bir siber suçlu, mağdurlarla etkileşime geçmek ve mağdurları gizli bilgileri (kimlik bilgileri gibi) paylaşmaya ikna etmek veya onları yetkisiz finansal işlemler gerçekleştirmeye yönlendirmek için bir Zoom görüşmesi üzerinden video deepfake kullanabilir.
Örneğin, Çin’deki bir dolandırıcı, birinin kimliğine bürünmek için yüz değiştirme teknolojisini kullandı ve mağduru 622.000 doları transfer etmeye ikna etti.
Sesli mesajlar. Bugünlerde herhangi birinin sesini kopyalamak son derece kolay. Tek gereken üç saniyelik bir klip.
Bu deepfake’ler, sesli mesaj bırakmak veya insanları canlı sohbetlere dahil etmek için kullanılabilir; böylece gerçeklik ile aldatma arasındaki çizgi daha da bulanıklaşır. 2022 yılında kuruluşların %37’sinin deepfake ses sahtekarlığı yaşadığına inanılıyor.
Kuruluşlar Deepfake Kimlik Avı Saldırıları Konusunda Neden Endişelenmeli?
Hızla büyüyen bir tehdit. Deepfake teknolojisi, üretken yapay zeka araçları sayesinde giderek daha erişilebilir hale geliyor. Deepfake kimlik avı ve dolandırıcılık vakaları 2023 yılında %3.000 gibi şaşırtıcı bir oranda arttı.
Hedefe yönelik. Saldırganlar son derece kişiselleştirilmiş saldırılar oluşturmak için deepfake’leri kullanabilir. İnsanları belirli ilgi alanlarına, hobilerine ve arkadaş ağlarına göre hedefleyebilir. Belirli kişi ve kuruluşlara özgü güvenlik açıklarından yararlanabilir.
Tespit edilmesi zor. Yapay zeka birinin yazı stilini taklit edebilir, sesleri mükemmele yakın bir doğrulukla klonlayabilir ve insan yüzlerinden ayırt edilemeyen yapay zeka tarafından oluşturulmuş yüzler yaratabilir. Bu da deepfake kimlik avı saldırılarının tespit edilmesini son derece zorlaştırır.
