Deepfake Destekli Finansal Saldırılar, Az Gelişmiş Ekonomileri Kurban Seçebilir

Siber saldırganların hedefinde, bir banka, merkez bankası ya da tüm finansal sistem varsa, bu bir ulusal güvenlik tehlikesi demektir. Sentetik medya ve onun en güçlü ve inandırıcı silahı olan deepfake, finansal altyapıyı hedef alan büyük ölçekli saldırıları cesaretlendirip, daha mümkün kılabilir. Bu durumda az gelişmiş ekonomilerden başlayarak, küresel serbest piyasa ekonomisine büyük darbeler vurabilecek politik saldırılar da gündeme gelebilir.

Bireyleri ya da şirketleri hedef alan finansal bilişim suçları, daha çok kurbanların parasını çalmaya odaklıdır. Oysa siber saldırganların hedefinde, bir banka, merkez bankası ya da tüm finansal sistem varsa, bu bir ulusal güvenlik tehlikesi demektir. Sentetik medya ve onun en güçlü ve inandırıcı silahı olan deepfake, finansal altyapıyı hedef alan büyük ölçekli saldırıları cesaretlendirip, daha mümkün kılabilir. Bu durumda daha az gelişmiş ekonomilerden başlayarak, küresel serbest piyasa ekonomisine büyük darbeler vurabilecek politik saldırılar da gündeme gelebilir.

Finans kuruluşları ve finansal sisteme yönelik siber suçlar ve deepfake’in başrolde olduğu senaryoların olası etkilerine bir göz atalım.

Banka batıyor söylentileri

Bugüne kadar bazı ülkelerdeki mevduat bankaları, kısmen sosyal medyadaki finansal zayıflık söylentilerinden kaynaklanan problemler yaşadı. Bankanın olumsuz mali yapısına ilişkin çevrimiçi söylentiler, bazen çok abartılı olsa da genellikle bankacılık sektöründeki gerçek sorunlardan kaynaklanır. Sosyal medya, geleneksel medya ve ağızdan ağıza pazarlama, bu tür söylentilerin yayılması için etkin bir alan sağlar. Halkın bir bankanın güvenilirliği konusundaki şüpheleri yaygınlaşmaya başladığında, sosyal medya bunları hızla büyütebilir.

Banka söylentilerinin kaynaklarını ve dayanaklarını belirlemek zor olabilir. 2014 yılında Bulgar hükümeti, muhalif partileri birkaç bankanın itibarına yönelik bir “suçlama” yı koordine etmekle suçladı, ancak isim vermedi. Kaynağı ne olursa olsun, bunun gibi olaylar, siber saldırganlara gelecekte başvurabilecekleri bir şablon sunuyor.

Binlerce cihazın ele geçirilmesiyle oluşturulan sentetik bir sosyal botnet, banka suçlamalarını yönlendiren söylentileri kışkırtmak veya yoğunlaştırmak için de pekala kullanılabilir. Alternatif olarak, sosyal medyada yayınlanan bir deepfake videosu, ciddi likidite sorunlarından söz eden bir banka yöneticisini veya hükümet yetkilisini tasvir edebilir. Bankalara yönelik deepfake odaklı etkin bir siber saldırı, muhtemelen bir ülkenin finansal sisteminde sorunlar yaşandığı dönemde gerçekleşecektir.

Siber saldırganlar, bazen deepfake silahını, gerçek görüntülerle de kullanabilirler. Gerçek videoları yanlış veya yanıltıcı içeriklerle eşleştirerek, izlenen gerçek videonun yanlış algıya yol açmasını sağlayabilirler. Örneğin, geçmiş yıllarda ya da farklı bir ülkede çekilmiş şube önündeki kuyruk görüntülerini, mevduatını bankadan çekmeye çalışan kalabalıklar olarak yansıtabilirler.

Piyasaları aniden kilitleme senaryoları

23 Nisan 2013’te, Suriye Elektronik Ordusu adlı devlet destekli bir bilgisayar korsanlığı grubu, Associated Press’in Twitter hesabını çaldı ve ardından tweet attı: “Büyük Kriz: Beyaz Saray’da İki Patlama ve Barack Obama yaralandı.” Bu yanlış iddia, “borsa tarihindeki en aktif iki dakika” olarak adlandırılan anlık bir işlem selini tetikledi. Otomatik ticaret algoritmaları, hacmin büyük bir bölümünü oluşturdu. Sadece üç dakika içinde S&P 500 endeksi 136 milyar dolar değer kaybetti ve ham petrol fiyatları ve Hazine tahvil getirileri de düştü. Ancak şok başladığı kadar çabuk sona erdi. Piyasalar üç dakika sonra tamamen toparlandı.

Siyasi veya finansal hedefi olan siber suçlular, deepfake’leri kullanarak piyasaları aniden kilitleyecek şok ve kaosa neden olmayı rahatlıkla deneyebilirler. Örneğin, üretim kotaları üzerinde pazarlık yapan Suudi ve Rus petrol bakanlarının sentetik bir ses ya da video kaydı, petrol fiyatlarını ve diğer borsaları kısa süreli de olsa sekteye uğratmak için internet üzerinden yayınlanabilir. Bunlardan hızlı bir şekilde çürütülebilir, ancak yine de günümüzde güven eksiklikleriyle karşı karşıya olan ülkeler ve liderler, derin sahteciliğin neden olduğu şüpheleri ortadan kaldırmakta zorlanabilir. Piyasaları ve borsaları altüst edecek bir şok ve kaos, gecikerek atlatıldığında ise, ortaya çıkan zararın faturası çok ağır olur.

İkna edici bir deepfake, şüphesiz birkaç dakikalık bir Twitter hesabı ele geçirme olayından daha büyük ve kalıcı bir zarara neden olabilir. Özellikle Deepfake videolar, diğer içerik türlerinden daha inandırıcı ve hatırlanır olmaya yönelik psikolojik bir önyargı olan “resim üstünlüğü etkisinden” yararlanıyor. Deepfakes, yanlış bilgileri sosyal ve geleneksel medya aracılığıyla organik olarak yaymayı hedefleyerek, yanlış iddiayı duyurmak için etkili bir haber hesabını hackleme ihtiyacını ortadan kaldırabilir. 

Suriye Elektronik Ordusu’nun Twitter saldırısından sonra, son 8 yıl içinde piyasaları manipüle edecek benzer bir dezenformasyon saldırısı yaşamadı. Piyasa oyuncuları ve gözlemciler, son dakika haberlerine karşı daha temkinli hale geldi. Yine de, başka bir flaş deepfake saldırısı hala her an mümkün.  Kısa süreli bir çöküş bile saldırganların iyi zamanlanmış piyasa operasyonuyla kâr etmesini sağlayabilir ve kalıcı psikolojik etkiler yaratabilir.

Merkez Bankası ve kamu finansal düzenleyicilerine dezenformasyon saldırısı

Dünyanın dört bir yanındaki merkez bankaları ve mali düzenleyiciler, piyasaları manipüle etmek için çevrimiçi söylentiler şeklinde gerçekleştirilen siber saldırılarla mücadele etmek zorunda kaldılar. 2019’da Hindistan ve Myanmar Merkez Bankaları’nın her biri, yakında belirli ticari bankaların kapatılacağına dair sosyal medyadaki söylentileri bastırmaya çalıştı.  2010 yılında, Çin Merkez Bankası başkanının iltica ettiğine dair yanlış iddialar internette yayıldı ve bu iddialar kısa vadeli kredi piyasalarını ürküttü.  2000 yılında, ABD hisse senetleri, Merkez Bankası Başkanı’nın bir araba kazası geçirdiğine dair yanlış söylentiler üzerine birkaç saat etkilendi.

Deepfake’ler, gelecekteki faiz oranı değişikliklerini, likidite sorunlarını veya para-kur politikalarını özel olarak tartışan merkez bankası yöneticilerinin sahte ses ve görüntü kayıtlarını oluşturmak için kullanılabilir. Örneğin, uydurma bir merkez bankası toplantısının “sızdırılmış” bir ses klibi, yetkililerin enflasyondan endişelendiklerini ve faiz oranlarını artırmak için planlar yaptıkları algısına yol açabilir. Deepfake’ler ayrıca merkez bankası yöneticilerini veya finansal düzenleyicileri bireysel kimlikleriyle, politik amaçlarla da kurban seçebilir. Bir düzenleyi bir kamu kuruluşu yöneticisi, örneğin bir yolsuzluk soruşturmasını durdurmak için bir iş insanından rüşvet alıyor gibi gösterilebilir.

Toplumun kurbana yönelik güven kredisi, deepfake’in etkisini belirler

Deepfake’ler, finansal gözetim mekanizmalarına daha az güvenilen, demokrasisi ve ekonomisi daha az gelişmiş olan ülkelerde muhtemelen daha büyük bir etkiye sahip olacaktır. Kurbanın toplumdaki güven kredisi, derin bir sahtekarlığı etkili bir şekilde çürütmek için kritik öneme sahiptir. Finansal kriz zamanlarında, deepfake’ler önceden var olan ekonomik korkuları sömürebilir ve büyütebilir.

Büyük, istikrarlı ekonomilerde bile, merkez bankaları ve finans otoriteleri genellikle belirsiz, geniş çaplı veya yavaş kamu iletişimi nedeniyle eleştirilir. Beklenmedik bir deepfake’e karşı yanlış bir hükümet tepkisi, saldırganların kaosa neden olabileceği ve kısa vadeli spekülatif işlemlerden kâr edebileceği zaman aralığını uzatabilir.

Finansal politikalara karşı, manipülatif sentetik kamuoyu

Astroturf, bir mesajın veya organizasyonun sponsorlarını gizleyerek, tabandan gelen katılımcılar tarafından destekleniyormuş gibi görünmesi için gerçekleştirilen maskeleme uygulaması olarak tanımlanıyor. Maske görevi gören bir sentetik kamuoyu desteği, bir politik yapı, reklam veya halkla ilişkiler projesi için oluşturulabilir. Sponsorların finansal bağlantısı hakkında bilgi vermeyerek beyanlara veya kuruluşlara güvenilirlik kazandırmayı amaçlayan bu yöntem, “gerçek” veya “doğal” bir destekçi kitlesi yerine, “sahte” veya “yapay” bir destek algısına yol açar.

Finans sektörünü denetleyenler de dahil olmak üzere, bu alandaki düzenleyiciler, kitlesel destek algısına yol açarak, politikaları manipüle etmeye yönelik gizli girişimler ile giderek daha fazla uğraşmak zorunda kalacaklar. Örneğin, ABD Menkul Kıymetler Borsası Komisyonu ve Tüketici Finansal Koruma Bürosu, önerilen düzenlemeler hakkında kamuya açık yorumlarda, çevrimiçi sistemlerin büyük ölçekli kötüye kullanımıyla karşılaştı.

Yapay zeka tarafından üretilen içerik, sentetik kitlesel desteğin daha gerçekçi görünmesini sağlayabilir. Sentetik metin üreten algoritmalar, herhangi bir konuda herhangi bir miktarda yazı üretebilir. Astroturflar, belirli bir finansal düzenlemeye karşı çıkan veya bunları destekleyen binlerce veya milyonlarca sahte yorum oluşturmak için bu tekniği kullanabilir. Bu biçimde yorumlar, geleneksel sahte kampanyalardan çok daha inandırıcı ve tespiti güç bir görünüm kazanacaktır.

100 dolara sahte sentetik kamuoyu

Bir Harvard Üniversitesi öğrencisi bu yaklaşımı 2019’da başarıyla test etti. Önceki düzenleyici yorumları eğitim verileri olarak kullanarak, önerilen gerçek bir kural üzerine 1001 yorum sentezledi. Üretilen yorumlar yüksek kalitedeydi ve çeşitli argümanları ifade ediyordu. İnsanlar hem sentetik hem de gerçek yorumları gözden geçirmeyi istediler, aralarında ayrım yapamadılar. Özellikle, araştırmanın maliyeti 100 dolardan azdı ve üniversite son sınıf öğrencisi ve kendi deyimiyle “acemi kodlayıcı” tarafından “daha eski, günlük model bir HP dizüstü bilgisayar” kullanılarak gerçekleştirildi. 

Yapay zeka tarafından oluşturulan metni insan tarafından yazılan metinden ayırmaya yardımcı olacak tespit araçları geliştirilmekte. Algoritmalar aradaki farkı tespit etmek için eğitilebilir. Ama yine de, algılama algoritmaları kusursuz değildir ve kendini adamış bir düşman onları atlatmak için her yola başvuracaktır. Örneğin, sentetik metin üreticileri daha düzensiz, insanınkilere benzeri çıktı üretmek için tasarlanabilir.

ABD bile sentetik sahte kamuoyuna karşı savunmasız

Sentetik metin algılama araçları yalnızca yoğun ve yaygın bir şekilde kullanılırsa katkı sağlayabilir.  ABD gibi teknolojinin beşiği bir ülkede bile kurumların henüz çok daha temel yorum doğrulama biçimlerini uygulamamış olması endişeleri artırıyor. 2019 yılı ABD Senatosu raporu, ankete katılan on dört ajansın hiçbirinin kamuya açık yorum yapanların gerçek insanlar olduğunu doğrulamak için CAPTCHA’ları veya gerçekten herhangi bir teknolojiyi kullanmadığını ortaya koydu. Harvard deneyinde, 1001 sentetik yorumun tümü başarıyla ajansa iletildi. Yapay zeka tarafından oluşturulan yorumlar, gönüllü olarak geri çekilmeden önce, ajansın aldığı 1.810 yorumun çoğunluğunu oluşturuyordu.

Sentetik sahte manipülatif kitlesel destek operasyonları, kural koyma sürecine halkın güvenini azaltan, önemli yasal veya politik olumsuz sonuçlara yol açabilecek bir problem ve tehdit olarak görülüyor. Sentetik araçlar, dijital astrourfing için güçlü ve yeni bir yöntem olarak büyük tehlike yaratıyor.

Senaryoların hiçbiri, olgun, sağlıklı ekonomilerde küresel finansal sistemin veya ulusal pazarların istikrarına yönelik henüz ciddi bir tehdit ifade etmiyor gibi görünebilir. Gelişmiş ekonomilerin kullanılan teknik ne olursa olsun, genellikle dezenformasyon kampanyalarına karşı dirençli olduğu varsayılır. Deepfake’in icadından önce de, nadiren de olsa manipülatif saldırıların piyasaları altüst edebildiği durumlar yaşandı. Sentetik medya, şimdilik daha çok hedeflenen kişilere ve işletmelere maddi zarar verecek gibi algılanıyor. Ancak, gelişmekte olan pazarlar sentetik medyanın daha büyük tehditleriyle karşı karşıya. Daha zayıf ekonomilere ve daha az güvenilen kurumlara sahip ülkeler, mali dezenformasyonla daha çok mücadele etmek zorunda kalıyor; deepfake bu sorunu daha da kötüleştirebilir. Ama uluslararası mali krizler yaşandığında gelişmiş ülkeler de daha savunmasız kalacaktır.

Posted by Bülent Kızanlık

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

This site uses Akismet to reduce spam. Learn how your comment data is processed.