Yapay Zeka Destekli Vishing (sesli kimlik avı)

İlk başta kimlik avı saldırıları vardı. Amaç: Hedefleri bilgilerini paylaşmaya veya izinsiz işlemler yapmaya kandırmak. 1990'lardan beri var olan bu saldırı yöntemi, insan duygularını ustaca kullanması sayesinde FBI'a bildirilen en önemli internet suçu olmayı sürdürüyor.

İnsan içgüdüsüne güvenlik yaması yükleyemez veya güvenlik duvarı kuramazsınız. Örneğin, işe yeni başlayan biri "Oryantasyonunuz için bu dosyayı indirmelisiniz" dendiğinde, normal güvenlik kurallarını atlamak için baskı hissedebilir. Ya da genç bir bordro görevlisinin, kendisini bölge finans müdürü olarak tanıtan ve acil ödeme isteyen birine karşı çıkması pek olası değildir.

İnsanların güven, korku ve aciliyet duygularını kullanmak çok güçlü bir silahtır. Bu tür sosyal mühendislik tehditleri ortadan kalkmıyor. Tam tersine, sesli kimlik avı (vishing) saldırılarının artışından da anlaşılacağı gibi, giderek daha gelişmiş hale geliyorlar.

Geçmişte vishing, robotik sesler kullanılması veya telefondaki sesin taklit edilen kişiye benzememesiyle anlaşılabilirdi. Artık yapay zeka sayesinde bunlar değişiyor.

Yapay Zeka Vishingde Nasıl Kullanılıyor?

Vishing geleneksel olarak emek yoğun bir iştir. Önce hedefi seçip, onu aldatmak için çeşitli psikolojik teknikler kullanmak gerekir. Bu, insan duygularını ustaca yönlendirebilen, doğaçlama yapabilen ve ne zaman tehdit edeceğini, zorlayacağını veya taklit edeceğini bilen birini gerektirir.

Ayrıca, arayan kimliği sahteciliği gibi destek taktikleri ve hedefin sosyal medyasını taramak gibi teknikler de kullanılır. Belki hedefin tuttuğu takım veya son tatili hakkında konuşmak için.

Vishing, hedefin daha önce hiç duymadığı bir sese inanmasına dayanır. En azından, yapay zeka vishingde kullanılmaya başlayana kadar durum böyleydi. Artık saldırganların yeni bir silahı var ve bu kurumsal savunmalar için yeni sorular doğuruyor.

Yapay Zeka ile Aldatma Yöntemlerindeki İlerlemeler

Artık birinin sesini sadece 15 saniyelik bir kayıtla klonlamak mümkün. Bu süre, yapay zekanın ses özelliklerini, vurguları ve tonları öğrenmesi için yeterli.

Siber suçlular daha sonra bu klonlanmış sesi gerçek zamanlı görüşmelerde kullanabilir. Seslerimiz parmak izleri kadar benzersizdir ve binlerce yıllık evrim sonucu tanıdık sesleri sorgusuz dinlemeye alışığız. Bu nedenle, insanların ses tanımayı güvenlik faktörü olarak kullanmaktan vazgeçmesini beklemek gerçekçi değil.

Yapay zeka aynı zamanda konuşmalara bağlam katmak için de kullanılabilir. Saldırganlar, web'i tarayarak ve sonuçları bir yapay zeka modeline aktararak güncel ve alakalı iletişim kurabilir, örneğin son haberlerden bahsederek isteklere gerçekçilik katabilir.

Yapay zeka destekli bir vishing simülasyonunda katılımcıların %77'sinden hassas veriler elde edilmiştir. Bu başarı kısmen, kullanılan yapay zeka modelinin bağlamı anlama, hızlı yanıt verme ve konuşmada akıcılık konusundaki üstün yeteneklerinden kaynaklanıyordu.

Yapay Zeka Destekli Vishingle Saldırıları Ölçeklendirme

Bu yaklaşım, insan çalışanların çağrı merkezlerinden yaptığı geleneksel vishingden çok farklı. Siber suçlular artık büyük ölçekte kişiselleştirilmiş saldırılar düzenleyebilir, birden fazla hedefe aynı anda özel mesajlar gönderebilir. Bir saldırı başarısız olursa, yapay zekanın öğrendiklerine göre dili güncelleyebilirler.

Bu yapay zeka ses klonlama araçlarının çoğu açık kaynaklıdır ve dünya çapında kötü niyetli kişilere ücretsiz veya düşük maliyetle sunulmaktadır. Teknoloji geliştikçe, vishing de gelişiyor ve FBI'ın "benzeri görülmemiş gerçekçilik" olarak tanımladığı düzeye ulaşıyor. 2023'ün son çeyreğinde vishing saldırıları bir önceki yıla göre %260 artmıştır. 2024 başlarında bir deepfake videosu, bir finans çalışanının CFO sandığı birine 25 milyon dolar ödemesine neden olmuştur.

Saldırganlar yeni teknolojilerle genellikle ilk hamle avantajı elde eder ve savunma ekipleri buna karşı önlem almakta zorlanır. Ancak başarılı olmak için hala insan zayıflıklarına güvenirler. Bu nedenle, işletmeler yapay zeka destekli vishinge karşı insan odaklı bir yaklaşım benimsemelidir.

Yapay Zeka Vishingle Nasıl Başa Çıkılır?

İş gücünü vishing ve yapay zeka gelişmeleri hakkında eğitmekle başlar, duygularının ne zaman tetiklendiğini fark etmelerine yardımcı olur. Özellikle veri, şifre veya hassas bilgi paylaşma istekleri söz konusu olduğunda.

Teorik bilginin yanında, çalışanlara vishing saldırısı deneyimi yaşatmak da önemlidir. İnsanlar bir eğitimde öğrendiklerini unutabilir, ancak yaşadıkları deneyimi ve "Ya bu gerçek bir saldırı olsaydı?" sorusunu hatırlamaları daha olasıdır.

Bu, çalışanların yeni davranışlar ve düşünce süreçleri geliştirmelerini sağlar. Saldırganların istismar etmek istediği duyguları bastırmak zorunda kalmazlar. Sadece bir çağrı sırasında ne zaman durmaları gerektiğini ve şunları düşünmeleri gerektiğini öğrenirler: "Bu kişi beni bir şey yapmaya zorluyor mu? Kanıtsız bir şeye inanmam mı isteniyor? Aramayı kesip ana numaradan geri mi aramalıyım?"

Simülasyon eğitimi, siber güvenlik ekiplerinin yükünü de hafifletir. Onlar her zaman en son vishing yöntemlerinin önünde olamaz ve ses biyometrisi gibi koruma sistemleri geliştirmek zaman alır. Oysa çalışanları simülasyon ve gerçek dünya eğitimiyle hazırlamak etkili ve hızlı bir savunma yöntemi olabilir.