Cyber Security

Sosyal Mühendislik Saldırıları 2024: Deepfake ve Yapay Zeka Destekli Yeni Tehditler

· 7 dakika okuma · 2
Sosyal Mühendislik Saldırıları 2024: Deepfake ve Yapay Zeka Destekli Yeni Tehditler

Merhaba,

Siber güvenlik dünyasında teknik açıkları kapatmak artık yeterli değil. Çünkü saldırganlar giderek daha fazla insan faktörünü hedef alıyor. Ve yapay zekanın gücüyle bu saldırılar inanılmaz derecede sofistike bir hal aldı.

Deepfake Destekli Dolandırıcılık

2024'te en çok konuşulan konulardan biri şu: Bir CFO, videolu toplantıda üst yönetimden biri gibi görünen biriyle karşılaşıyor ve "acil havale" talebi alıyor. İnsan gerçek mi sahte mi anlayamıyor. Sonuç? Milyonlarca dolarlık kayıp.

Bu tür vakalar artık nadir değil arkadaşlar. Hong Kong'da bir finans çalışanı tam da bu şekilde sahte video konferans ile 25 milyon dolarlık para transferi yaptı. Deepfake teknolojisi artık o kadar gelişti ki gerçek zamanlı video akışını bile manipüle edebiliyor.

Yapay Zeka ile Kişiselleştirilmiş Phishing

Eski usul phishing maillerini artık spam filtreleri yakalıyor. Ama yeni nesil saldırılar çok farklı. Saldırganlar LinkedIn'den, sosyal medyadan, şirket web sitesinden bilgi toplayarak hedefe özgü, kişiselleştirilmiş mailler hazırlıyor.

ChatGPT gibi modeller sayesinde mükemmel Türkçe (veya herhangi bir dilde) yazılmış, dilbilgisi hatası olmayan, kurumun ton of voice'ını taklit eden mailler üretmek çok kolaylaştı. "Genel Müdür'ün üslubu" bile taklit edilebiliyor.

Ses Klonlama

Bunu özellikle vurgulamak istiyorum: Artık birinin sesini birkaç saniyelik kayıttan klonlamak mümkün. "Merhaba, ben CFO. Şu hesaba acil ödeme yapılması lazım" diyerek arayan bir ses CEO'nun kendisi gibi duyulabilir. Telefon doğrulaması artık yeterince güvenli değil.

Kurumlar Ne Yapmalı?

Bu tehditlere karşı teknik önlemlerden çok süreç ve kültür değişikliği gerekiyor:

  • Doğrulama protokolleri: Önemli finansal işlemler için sadece e-posta veya telefon yeterli olmasın. İkinci bir kanal üzerinden teyit alın.
  • Codeword sistemi: Bazı şirketler kritik talepler için önceden belirlenmiş bir doğrulama kelimesi kullanıyor. Basit ama etkili.
  • Farkındalık eğitimi: Çalışanlara deepfake ve ses klonlamanın varlığından haberdar edin. "Bu mümkün" demek bile farkındalık yaratıyor.
  • Out-of-band doğrulama: Kritik bir talep geldiğinde, talebin geldiği kanaldan değil başka bir kanaldan kişiyi teyit edin.

Geleceğe Bakış

Yapay zeka hem saldıranlara hem savunanlara yeni araçlar veriyor. Deepfake tespit teknolojileri de hızla gelişiyor. Ama bu bir silah yarışı ve şu an için saldırganlar bir adım önde görünüyor.

En güvenli çözüm insanı devre dışı bırakmak değil, insanı daha iyi eğitmek ve süreçleri doğru tasarlamak :)

İyi Günler Dilerim.

Bu yazıyı paylaş:

X'te Paylaş LinkedIn