Deepfake Destekli Finansal Suçlar, Pandemide Daha Kolay Yayılıyor

Sentetik medyanın, yapay zeka (ai) araçları ile manipüle edilmiş en tehlikeli türü olan deepfake, yakında birçok farklı şeytani amaca hizmet edebilir. En yaygın siber saldırıların ise, finansal nitelikli olacağını öngörmek zor değil. Çünkü adli kayıtlara siber gasp ya da dolandırıcılık gibi tanımlarla geçen bilişim suçları, daha dinamik, hızlı, kolay, etkili, kazançlı ve yakalanması zor olduğu için, giderek deepfake’e yönelecek. Deepfake destekli finansal suçlar, yüz yüze iletişimin kısıtlandığı pandemi sürecinde, siber tuzaklar kurmak için çok daha uygun koşullar elde etti.

Sentetik medyanın, yapay zeka (ai) araçları ile manipüle edilmiş en tehlikeli türü olan deepfake, yakında birçok farklı şeytani amaca hizmet edebilir. En yaygın siber saldırıların ise, finansal nitelikli olacağını öngörmek zor değil. Çünkü adli kayıtlara siber gasp ya da dolandırıcılık gibi tanımlarla geçen bilişim suçları, daha dinamik, hızlı, kolay, etkili, kazançlı ve yakalanması zor olduğu için, giderek deepfake’e yönelecek. Deepfake destekli finansal suçlar, yüz yüze iletişimin kısıtlandığı pandemi sürecinde, siber tuzaklar kurmak için çok daha uygun koşullar elde etti.

Teknolojinin suçla sınavı

Pandemi dijital dönüşüme ivme kazandırmadan önce de, finansal suçlar zaten teknolojinin açıklarını ya da teknolojiyi suç amaçlı kullanma yöntemlerini keşfetmeye başlamıştı. Finansal suçların, bilişim suçlarına evrilmesi aslında teknolojinin sağladığı olanakların, maddi zararı kolaylaştırmasından kaynaklanıyor.  Son bir iki yıldır ise, dolandırıcılık ve gasp için kullanılan, kamuya açık olarak belgelenmiş ilk deepfake vakaları görülmeye başladı.

Dezenformasyon finans dünyası için hiç de yeni bir saldırı biçimi sayılmaz. Dolandırıcılık, sahtecilik ve piyasa manipülasyonu gibi aldatma suçları, her ekonominin kendi koşullarından yararlanan tehditler olarak karşımıza çıkıyor. Saldırganlar ise, genellikle yeni teknolojileri planlarına dahil ediyorlar. Bu nedenle, deepfake gibi yeni ve etkili aldatma araçlarının, finansal suçları ve finansal zarara yol açan saldırıları nasıl daha tehlikeli hale getireceğini görmezden gelemeyiz.

Güvenlik, saldırılara dair kriz senaryolarıyla başlar

Doğru bir analiz ortaya koyabilmek için, deepfake’lerin ve diğer sentetik medyanın finansal zararı kolaylaştırabileceği belirli yolları tanımlamak, olası etkilerini değerlendirmek gerekiyor. Aldatıcı sentetik medya, çok çeşitli potansiyel hedeflere mali zarar vermek için kullanılabilir. Açık hedefler arasında, bankalar, borsalar, takas odaları ve aracı kurumlar gibi finans kurumları yer alır. Bunların tümü işlem yapmak için doğru bilgilere güvenir. Ayrıca genel piyasa koşullarını denetleyen ve zararlı yanlış bilgilerle mücadele eden finansal düzenleyiciler ve Merkez Bankaları da, bir diğer kategoriyi oluşturur. Ancak, finans sektörü ve düzenleyici kurumlar dışındaki şirketler ve bireyler de deepfake saldırılarının hedefi haline gelecektir. Dolayısıyla, mali suçların geçmişine ve günümüzün sentetik medya teknolojisine bakarak, dört olası hedef grup için farklı tehdit senaryoları öngörülebilir: bireyler, şirketler, finans kuruluşları ve piyasaları düzenleyici kurumlar. 

Birey hedef alınır, ama ekonomi zarar görür

Mevcut dört potansiyel kurban grubunun karşı karşıya olduğu tehdit senaryoları, belli bir grubu hedef alabileceği gibi, bazı senaryolar sonunda birden fazla grubu etkileyebilir. Bu çerçevede, sentetik medyanın kimlik hırsızlığını etkin bir hale getirmesi, sadece kimlikleri çalınan kişilere zarar vermekle kalmaz. Şirketler de bu saldırılardan büyük zarar görebilir. Örneğin, faillere sahte kredi kartları veren bankalar ve farkında olmadan bu kartlardan tahsil edilen satışları işleme koyan perakendeciler de bu durumdan zarar görür. Başka bir deyişle, küçük ölçekli zararlar, eşzamanlı bir araya geldiğinde, kartopu etkisiyle teorik olarak daha yüksek düzeyde kayıplara neden olabilir.

Deepfake, “Kimlik Hırsızlığı”na nasıl tehlike katar?  

Sentetik medya öncesi de var olan “Kimlik hırsızlığı” tehdidi, ABD Federal Ticaret Komisyonu (FTC) tarafından alınan en yaygın tüketici şikayeti türü düzeyine ulaşmış durumda. Yapay Zeka (ai) ise günümüzde yeni ve daha karmaşık dijital kimliğe bürünme biçimlerine olanak sağlıyor. Bir deepfake saldırısı şeklinde karşılaşacağımız ilk büyük mali suçta, finansal açıdan önemli konumlardaki insanların ai ile oluşturulmuş sahte türevlerini içeren video ve seslerinin kullanılmayacağını kimse garanti edemez. Deepfake bireylerin kimliklerini çalmak için kullanıldığında örneğin, kurbanın sentezlenmiş sesiyle yapılan bir telefon görüşmesi, yönetici asistanını veya mali danışmanını hileli bir banka havalesi başlatması için kandırabilir. Ayrıca, sahte kimlikler altında banka hesapları oluşturmak ve kara para aklamayı kolaylaştırmak için de, deepfake ses veya video kullanılabilir.

Deepfake’ler daha geniş ölçekte gerçekleştirilen kimlik hırsızlığını da kolaylaştırabilir. Suçlular, büyük kişisel bilgi veri tabanlarına yetkisiz erişim elde etmek için sosyal mühendislik operasyonlarında deepfake kullanabilir. Örneğin, bir e-ticaret şirketi yetkilisi, BT yöneticisinin sesini sentezleyen ve kullanıcı adı ve şifresini isteyen bir derin sahte telefon araması alabilir. Bu senaryoda, deepfake elde edilecek kimlik bilgileri için ilk kimlik avı niteliği taşır. Bu yolla elde edilen erişim yetkisi sayesinde, gerçek kimlik hırsızlığı ikinci aşamada daha büyük ölçekte gerçekleşir.

Ses klonlama geliştikçe, deepfake’in kimlik hırsızlığında rolü artacak

Deepfake yardımıyla gerçekleştirilen sesli kimlik avı biçimleri günümüzde teknik olarak uygulanabilir durumda. Mevcut teknoloji, klavye girişleriyle gerçek zamanlı olarak kontrol edilebilen gerçekçi ses klonlamayı mümkün kılıyor. Ticari ses sentez teknolojisinin önde gelen geliştiricilerinden biri, teknolojisinin bir kişinin sesini sadece beş dakikalık orijinal kaydedilmiş konuşmaya dayanarak ikna edici bir şekilde klonlayabileceğini iddia ederken, üç saniyelik örnek sesle ham nitelikte klonlanmış sesler üretebilen algoritmalar geliştirildiği de biliniyor.

Yalnızca küçük miktarlarda örnek ses gereksinimi, pek çok kişinin teorik olarak ses klonlanabileceği ve kimlik hırsızlığı veya diğer kötü amaçlarla kullanılabileceği anlamına gelir. Üstelik kimlik hırsızları, kurbanın sosyal medyadaki bir videosundan sesini klonlayabilir. Kurbanı telefonla ya da çevrimiçi sesli iletişim uygulamalarıyla arayabilir ya da başkalarıyla olan görüşmelerinde gizlice sesini kaydedebilir. 

Bankalar, Fintech firmaları işbirliğiyle deepfake’e karşı savunma arayışında

Geçen yıl yayınlanan University College London raporuna göre, sahte ses ve video içeriği, neden olabileceği zarar, sağlayabileceği kar potansiyeli, kullanım ve üretim kolaylığı kriterleri açısından, ai’nin suç amaçlı 20 kullanım yöntemi arasında artık ilk sırada yer alıyor. Ayrıca, Kovid-19 pandemisi, insanları kimliğe bürünme dolandırıcılıklarına karşı daha korumasız hale getiriyor. Karantina nedeniyle, yüz yüze temas olanakları kısıtlandığı için, çalışanlar hileli ödeme onayı ile ilgili daha çok deepfake saldırısına uğruyor.

Fintech endüstrisinde, sahtekarlık önleme teknolojileriyle, hem video hem de ses deepfake’leriyle mücadele etmek için ai kullanan güvenlik firmaları öne çıkıyor. Birçok siber güvenlik geliştiricisi gerçek müşterilerin yapay temsillerini tespit etmek için, finans sektöründeki müşterilerine, canlılık tespiti teknolojisi sunuyor. Canlılık algılama teknolojileri, yeni müşteri katılımı sırasında kimlik sahtekarlığını tespit etmede önemli bir rol oynuyor.

Bankalar başta olmak üzere, finans kuruluşları, büyüyen tehlike karşısında fintech şirketleriyle yeni işbirlikleri gerçekleştiriyor. Financial Times’ın (FT) haberine göre, Eylül başında İngiltere merkezli çokuluslu yatırım bankası ve finansal hizmetler holdingi HSBC de, Mitek teknoloji firması tarafından geliştirilen ve Adobe ortaklığı ile sunulan biyometrik tanımlama sisteminin kullanıcıları arasına katıldı. HSBC, canlı görüntüler ve elektronik imza kullanarak yeni müşterilerin kimliklerini kontrol edebilmesine olanak tanıyan sisteme katılarak, ABD perakende bankacılık operasyonuna da entegrasyon sağladı. Mitek’in biyometrik sistemini kullananlar arasında, Chase, ABN Amro, Caixa Bank, Mastercard ve Anna Money de yer alıyor. İngiliz fintech şirketi iProov Singapur’da yeni bir güvenlik merkezi açtı. Merkez, müşterilerin kimliğine bürünmek için kullanılan deepfake videoları tespit etmeyi ve engellemeyi hedefliyor. Rabobank, ING ve Aegon, gerçek insanlarla uğraştıklarından emin olmak için bu teknolojiyi kullanan kuruluşlar arasında yer alıyor.

Banka müşterileri de tehlikelerin farkındalar. İProov için ABD ve İngiltere’de 2 bin tüketiciyle gerçekleştirilen ankette, katılımcıların % 85’i, deepfake’lerin çevrimiçi gördüklerine güvenmeyi zorlaştıracağını ve dörtte üçü de kimlik doğrulamasını daha önemli hale getireceğini söylüyor.

Dolandırıcılığın temelinde dezenformasyon var

Dolandırıcılık, sentetik medya öncesinde de, FTC tarafından alınan en yaygın ikinci şikayeti oluşturuyordu. Saldırganlar, kurbanı para ödemeye zorlamak için “kamu yetkilisi, tehlike altındaki bir akraba, tanınmış bir işletme veya teknik destek uzmanı” kimliğine bürünebilir. ABD’de 2019’da taklitçi dolandırıcıların yol açtığı maddi zarar 667 milyon dolar olarak belirlendi.

Deepfake’ler dolandırıcılığın, gerçekçiliğini ve inandırıcılığını artırabilir. Dolandırıcılar, bir kurbanın akrabası veya birçok kurban tarafından bilinen tanınmış bir devlet yetkilisi gibi belirli bir kişinin sesini kopyalayabilir.  Deepfake’ler, aile ilişkilerini haritalamak ve ikna edici ses taklitleri geliştirmek için kapsamlı çevrimiçi araştırma yapan yetenekli dolandırıcılar için büyük bir fırsata dönüşebilir.  Aslında, dolandırıcılıkların tamamen ikna edici olması da şart değil. Kurbanların duygularını manipüle etmek ve yanlış bir aciliyet duygusu yaratmak, boşlukları ve tutarsızlıkları gidermeye yardımcı oluyor. Bu yüzden yaşlılar yaygın biçimde kurban seçilebilir.

Pandemi finansal suçlar için uygun iklim yaratıyor

Geçen yılın ikinci yarısında, akıllı telefon üreticisi BlackBerry’nin yazılım grubu, pandeminin daha fazla insanı, kimliğe bürünme dolandırıcılığına maruz bıraktığı uyarısında bulundu. BlackBerry’nin araştırma operasyonlarından sorumlu başkan yardımcısı Eric Milam, suçluların gerçek müşteri seslerini kaydettiklerini ve telefon bankacılığı dolandırıcılığını denemek için yeni ses sentezlediklerini söyledi.

Fintech şirketi Silent Eight de, kişisel verileri elde etmek için kullanılan “kimlik avı” dolandırıcılıklarının sahte ses ve video ile tamamen ikna edici hale getirilebileceğini duyurdu.  Son zamanlarda, kimlik avı girişimlerinin yüzde 60 ila 70 başarı oranına sahip olduğu tahmin ediliyor. Mesajı kişiselleştirmek için ai kullanılmasının, yalnızca arkadaşların veya ailenin bileceği isimler veya referanslar sayesinde, başarı oranını yüzde 100’e çıkarabileceği belirtiliyor.  Silent Eight’in Finans Yöneticisi Matthew Leaney, “Yaşlı bir kişi torunundan geliyor görünen bir videoda, torununun kendisine her zamanki gibi hitap ettiğini görürse, bu o an onun inanması için yeterlidir. Gördüğüne inanarak büyüdüyseniz, ona sadece güvenirsiniz. Toplumsal etki korkunç. “dedi.

Siber gasp, şantajdan besleniyor

Siber gasp, tarihi çok eskilere dayanan şantaj suçunun, bilişim suçuna dönüşmüş halidir. Bir siber gasp planında, suçlular mağdur hakkında utanç verici bilgilere sahip olduklarını iddia ederler ve kendilerine ödeme yapılmadıkça veya her türden istekleri karşılanmadıkça, bu bilgileri serbest bırakmakla tehdit ederler.  Bilgiler doğası gereği genellikle cinsel nitelik taşır. Örneğin, mağdurun çıplak resimleri veya videolarının ele geçirildiğine dair bir şantaj yöntemi kullanılır.

Bazı durumlarda, şantaj malzemesi gerçektir ve bilgisayar korsanlığı yoluyla elde edilir. Ancak daha sık olarak, plan bir blöftür. Planı daha kişiselleştirilmiş ve ikna edici hale getirmek için, siber gaspçılar iletişimlerinde bazen kurbanın bir şifresine veya telefon numarasına atıfta bulunur. Bu bilgiler tipik olarak kamuya açık bir veri dökümünden alınır. Federal Soruşturma Bürosu’na (FBI) göre, 2019’da ABD’de yaşayanlar siber gasptan fidye yazılımlarından kaynaklanan kayıplar hariç 107 milyon dolar zarar bildirdi.

2021’in Fintech gündemi

iProov’dan Ürün ve Pazarlama Kıdemli Başkan Yardımcısı Aarti Samani, 2021 yılında finans sektörünün dijitalleşme süreci doğrultusunda, öngörülerini ve oluşacak fintech gündemini şöyle değerlendiriyor:

Avrupa ve Uzak Doğu dahil olmak üzere farklı bölgelerdeki bankacılık düzenleyicileri, uzaktan Müşterinizi Tanıma (KYC) süreçleri için görüntülü arama yerine otomatik biyometri kullanımına izin verecek .

Tıpkı 2019’da yüksek profilli bir CEO’nun sesi kopyalanarak gerçekleştirilen ses dolandırıcılığı gibi, 2021 sonuna kadar görüntülü görüşmelerde deepfake kullanımından kaynaklanan birkaç finansal suç ve kara para aklama skandalı yaşanacak.

ABD de dahil olmak üzere birçok ülkenin, devlet destekli dijital kimlikler oluşturmaya yönelik somut adımları gündeme gelebilir. Bu durum, finans ve devlet kurumlarının etkin kimlik doğrulama sayesinde, banka müşterilerinin kimliğine bürünme ve devlet destek programlarında sahtekârlık gibi riskleri azaltmaları için, önemli sonuçlar sağlayabilir.

Dijital acemilik yaşayanlar için daha basit kimlik doğrulama yöntemleri gerekecek. Bu doğrultuda, 2021’de bu üç gelişme yaşanacak: birincisi, uzun süredir birçok insanın çevrimiçi etkileşimlerinin sıkıntısı olan parola, daha basit kimlik doğrulama yöntemine dönüşecek. İkincisi, dünya çapında 70 yaşın üzerindeki 100 milyon kadar insanın dijital kimliklere sahip olması ve “dijital vekalet” kavramının çok yakında gerçeğe dönüşmesi mümkün olacak . Üçüncüsü, teknolojiyi ilk kez kullanan çoğu yaşlı veya teknoloji konusunda daha az deneyimli olan insanlar, aynı zamanda çevrimiçi manipülasyona en korumasız kişiler oldukları için, bunlara yönelik çevrimiçi koruma yöntemleri geliştirmek, önemli bir gündem oluşturacak.

Deepfakes silahlanma yarışı 2021’de yoğunlaşacak. 2021’de, deepfake kullanımının kalitesinde ve miktarında bir patlama bekleyebiliriz. Eğlence ve hiciv amaçlı olanlar yanında, bunların derin sahtekarlıkların dezenformasyon ve trolleme için kullanıldığını da göreceğiz. Gerçek görünen ‘sahte insan’ orduları muazzam bir ölçekte dezenformasyonu paylaşacak ve böylece toplumu binlerce insanın tartışmalı bir görüşe sahip olduğuna inandıracak.

Çok yüksek kaliteli, sofistike bir deepfake oluşturmak giderek daha kolay hale gelecek. Bir zamanlar sadece Hollywood film stüdyolarında gerçekten mümkün olan çok karmaşık bir süreç, artık her gencin evinde ustaca uygulayabileceği bir şeye dönüşüyor. 

Panik ile güvenlik arasında denge kurmak şart

Kimlik doğrulama alanında uzmanlaşan fintech şirketi IProov, İngiltere merkezli finans kuruluşlarında, 105 siber güvenlik karar vericisi ile yaptığı anketin sonuçlarını bir raporla yayınladı. Ankete katılan firmaların % 13’ü deepfake terimini hiç duymamıştı. % 31’inin bu alanda mücadele planları yoktu veya olduğundan emin değillerdi. % 28’i önlemler uygulamıştı. Katılımcıların % 4’ü deepfake’in şirketleri için bir tehdit oluşturmadığını, % 40’ı ise, “hafif bir tehdit” oluşturduğunu savundu.

Günümüzde sentetik medya saldırıları, sahip olduğu büyük finansal tehdit potansiyelinin henüz çok gerisinde. Bu nedenle stratejik soru, bu tehdidin zaman içinde ne kadar büyüyeceği. Yaygın görüşü savunanlar, ciddi risklere önlem almak için, şimdiden harekete geçmek gerektiğine inanıyor. 

Finansal alanda sorumluluk taşıyan çevreleri temsil eden ve finansal alanda olası endişe ve paniği önceden yatıştırmaya çalışanlar ise, tehdidin büyük zararlara neden olmayacağını savunuyor.

Kimin haklı olduğunu tabi ki zaman gösterecek; ama uyaranlar haklı çıkarsa, iş işten geçmiş olacak.

Posted by Bülent Kızanlık

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

This site uses Akismet to reduce spam. Learn how your comment data is processed.