Oltaya Gelmeyelim Diye, İki Binden Fazla Beyin Takımı Sayısız Korsana Karşı

Gerçek dünyada yaşanan kötülük ve tehlikelerin büyük bölümü, çevrimiçi dünyada da hüküm sürüyor. Issız ve karanlık bir sokakta yalnız yürürken, silahlı bir soyguncuyla burun burana gelme olasılığınız nedir? Bugün artık güvenli olmayan bir siteye girdiğinizde ya da e-postayı açtığınızda inanın riskiniz daha az değil. Üstelik siber saldırganlar, ölümcül silahlarını hiç gözlerini kırpmadan kullanıyor.
Azılı suçluların birçoğu, nasıl kimlik değiştirerek fark edilmeden insanların arasına karışıp suç işlemeye devam ediyor. Aynı durum siber korsanlar için de geçerli. Kuzu postuna bürünmüş kurt misali, başkalarının kimliklerine bürünüp, kurbanlarına pençelerini daha kolay geçirebiliyorlar.
Kurumsal e-posta hırsızlığına yönelik kimlik avcılığı (BEC) ve çalıntı e-postalarla oltaya getirme (Spearphising), özellikle iş hayatında en yüksek faturaya yol açan siber saldırı yöntemleri. Deepfake ise, siber korsanların en çok kullandıkları bu iki saldırı yöntemini daha etkili hale getirecek en güçlü silah. Yani tehlike sadece, sahte sentetik video ya da ses kayıtlarıyla, politikacıları, iş insanlarını, üst düzey yöneticileri, ünlü sanatçı ve sporcuları zor durumda bırakacak biçimde itibar cellatlığı yapmak değil. Deepfake tehdidini, provokasyon tezgahlayıp, kaosa yol açmaktan ibaret de görmemek lazım. Siber saldırıların yol açacağı küresel zararın, 2023 sonunda 6 trilyon dolara ulaşacağı öngörülüyor. Bu yüzden 1 Nisan’dan itibaren final etabına geçilecek olan Facebook önderliğindeki Deepfake Detection Challenge’da (DFDC) büyük önem taşıyor. Etkin bir güvenlik modeli geliştirmek üzere yarışan ve sayıları 2100’e yaklaşan beyin takımı, sınırsız düşmana karşı, tarihsel bir sorumluluğu yerine getiriyor.


Kurumsal e-posta adresleri, kasada saklanamıyor


Özellikle büyük kurumsal şirketlerin yöneticilerine dadanan kimlik avcıları, türlü yöntemlerle gerçekleştirdikleri “Business E-mail Compromise” (BEC) saldırılarıyla, onların işle ilgili şirket e-posta adreslerini ele geçiriyorlar. Bu gerçek ve yasal kurumsal e-posta adreslerini, sahiplerinin yerine geçip kullanma olanağı elde ettiklerinde, kuşkuya neden olacak şüpheli ekler ya da bağlantılar içermeyen inandırıcı e-postalar gönderip, tüm filtreleri aşabiliyor ve kurbanlarını gafil avlıyorlar.
2012 yılında başlayan çalışmalar sonucu “Etki Alanı Tabanlı İleti Kimlik Doğrulaması, Raporlama ve Uyumluluk” (DMARC) adıyla uluslararası bir e-posta doğrulama protokolü geliştirildi. DMARC, iş insanları ve üst düzey yöneticiler başta olmak üzere, e-posta etki alanı sahiplerine, etki alanlarını, genellikle e-posta sahtekarlığı olarak bilinen, yetkisiz kullanımlara karşı koruma olanağı verecek şekilde tasarlandı. DMARC, kötü niyetli üçüncü kişilerin, çalıntı adres kullanarak zararlı e-posta göndermelerini önlemeye yönelik, e-posta kimlik doğrulaması için temel standart kabul ediliyor. DMARC politikasının herhangi bir biçimini uygulamayan bir alan adı, e-posta alıcılarını olası kimlik avı saldırılarına maruz bırakıyor ve tüm siber saldırıların yüzde 91’i bir kimlik avı e-postasıyla başlıyor.
DMARC’a kayıtlı alan adlarının sayısında umut verici bir artış gözlense de uygulamada değişen fazla bir şey yok. 2018 sonunda kayıtlı 630 bin alan adı, geçen yılın sonunda 1 milyon 890 bini aştı. Buna karşın şirketlerin DMARC uygulamalarına ve kayıtlarına yönelik duyarlılıkları, çok yetersiz düzeyde. Örneğin ABD’nin en yüksek gelirli şirketleri olmalarına rağmen, Fortune 500’deki şirketlerin sadece yüzde 23’ü, bir çeşit DMARC politikasına sahip. Çinli şirketlerin durumu daha da vahim. Üst üste ikinci yıl boyunca, Çinli şirketlerin herhangi bir DMARC politikasını benimseme oranı en düşük düzeyde, alan adlarını yüzde 93,5’inde hiçbir politika bulunmuyor. Zaten küresel DMARC kayıtlarının yüzde 17’sinden azı, yani beşte biri kontrol altında tutulabiliyor. Yani kayıtlı alan adlarından gelmiş gibi görünen sahte e-postalar hala alıcıların gelen kutularına ulaşmaya devam ediyor.


En zeki ve başarılı insanlar da, inandırıcı yemlere kanabilir


Siber korsanlar, ele geçirdikleri kurumsal e-posta adreslerinden, ya hedef gözetmeden yani Phishing ya da belli bir hedef kişi ya da kuruma yönelik e-postalar gönderip, Spearphishing saldırıları düzenliyor, dolandırıyor, para çalıyorlar. Kurumsal E-Posta Avcılığı olan BEC saldırıları ile kelime anlamı “oltanın yemleme kancası” olan ve oltaya getirme ya da yemleme anlamında kullanılan Spearphising saldırıları, yaygın olarak birlikte gerçekleştiriliyor. Şirkete sahte faturalar ödetmek, şirketin çalıştığı bankaya sahte talimatlarla ödeme ve havaleler yaptırmak gibi birçok farklı senaryo ile yüzbinlerce, milyonlarca dolar bu biçimde çalınıyor. Son örneklerden biri, dünyaca ünlü otomotiv devi Toyota. Toyota’nın bir alt şirketi, geçtiğimiz Eylül ayında sahte bir havale ile 37 milyon dolardan fazla zarar uğratıldı. Şirket saldırıyı doğrularken, araştırma sürdürüldüğü için sahte havale talimatının, bir BEC saldırısının sonucu olup olmadığı açıklanmadı. FBI’a göre, BEC saldırıları, saldırıya uğrayan şirket ve iş insanları açısından, son üç yılda dünya çapında 26 milyar dolardan fazla maliyete yol açtı.


Deepfake oltaya gelenlerin, zokayı kolayca yutmasını sağlayacak


Yapay zeka (ai) kullanılarak ve derin öğrenmeden yararlanılarak geliştirilen deepfake teknolojileri ile üretilen, gerçek türevi sentetik video ve sesler, BEC ve Spearphising saldırısına uğrayanlara, son ölümcül darbeyi indirmiş olacak. Bir düşünün; şirketin CEO’su kendi adresinden gönderdiği bir e-posta ile bir finansal işlem için talimat veriyor. E-postadan sonra, CEO’nun sesinden bir de sesli mesaj geliyor. Hatta, CEO gerçek zamanlı oluşturulmuş bir video ile görüntülü görüşme çağrısı yapıp, kanlı canlı bir biçimde, e-posta ile ilettiği ödeme ya da havale işlemi talimatının ulaşıp ulaşmadığını ve yerine getirilip getirilmediğini, şirket yöneticisine soruyor. Hangi şirket çalışanı, böyle bir gücün karşısında durabilir ve şirketin en üst düzey yöneticisinden gelen isteği geciktirebilir ya da sorgulayabilir? Geçen yıl, İngiltere’deki bir enerji firması finans yöneticisinin, Macar tedarikçilerine yönelik 243 bin dolarlık ödeme talimatını (paranın en son Meksika’daki bir hesaba kadar izi sürülebilmişti) yerine getirmesi için, CEO’nun sadece sesini duyması bile yeterli olmuştu. Bilgisayar ya da telefon ekranında CEO’nun verdiği görüntülü talimatla neler yaptırabileceğini artık siz düşünün…


Henüz çevrimiçi savunma sistemi yok, düşmanın gücü ise bilinmiyor


Bugün itibariyle, siber güvenlik endüstrisinin, henüz deepfaks’e karşı savunma sağlayacak hiçbir cihaz, e-posta filtresi, yazılım veya teknoloji standardına sahip bulunmadığı kabul ediliyor. Ancak 2020, bu alanda bir dönüm noktası olabilir. Biliyoruz ki, Kasım ayındaki ABD Başkanlık Seçimleri, güçlü deepfake saldırılarının başlangıcı ile ilgili bir milat olarak öngörülüyor. Facebook önderliğinde final etabına yaklaşılan DFDC projesi ise, buna karşılık çevrimiçi deepfake savunma sistemi yolunda büyük beklentilerin odağında yer alıyor. Zemana deepware.ai ekibinin de ön sıralarda yer alma mücadelesini sürdürdüğü küresel yarışa katılan ekip sayısı, bu yazı kaleme alındığında 2079’a ulaşmıştı. 31 Mart gecesine kadar, mücadelenin ilk aşamasıyla ilgili Kaggle.com/c/deepfake-detection-challenge/leaderboard internet adresinden takip edilebilecek olan sıralama, 1 Nisan’dan itibaren başlayacak final etabında, özel bir listeye dönüşecek. Ödül kazanacak ve deepfaks’a karşı çevrimiçi dünyanın umudu olacak siber güvenlik modellerinin ise, 22 Nisan’da açıklanması planlanıyor.
Çözüm gününe kadar tek çare, çevrimiçi kullanıcıların siber saldırı türleri hakkında, bilinçli ve tetikte olmalarını sağlamak. Ne kadar önemsiz gibi görünse de olağan dışı her duruma karşı duyarlı olmak ve daima gözleri açık tutmak. Körü körüne güvenmenin maliyeti, artık göze alınabilecek düzeyde değil.

Bir Cevap Yazın

This site uses Akismet to reduce spam. Learn how your comment data is processed.

%d blogcu bunu beğendi: