Her duyduğunuza inanmayın!

Gördüğümüzü ve duyduğumuzu sorgulamadan inandığımız dönem geride kaldı. Üretken yapay zekâ (GenAI) ve gelişmiş deepfake teknolojileri, sahte ses ve video üretimini birkaç tıkla mümkün hâle getirirken, bu durum özellikle işletmeler için ciddi bir güvenlik riski oluşturuyor. Siber güvenlik şirketi ESET, işletmelerin karşı karşıya kalabileceği telefon dolandırıcılığı tehditlerini mercek altına alarak deepfake saldırılarının nasıl tespit edilebileceğine dair uyarılarda bulundu.

CEO’nun sesiyle arıyorlar

Deepfake teknolojisi, dolandırıcıların “Müşterini Tanı” (KYC) ve hesap doğrulama süreçlerini aşmasına imkân tanıyor. En büyük riskler arasında finansal havale dolandırıcılığı ve yönetici hesaplarının ele geçirilmesi yer alıyor.

Saldırı senaryosu genellikle benzer şekilde ilerliyor: Saldırgan önce taklit edeceği kişiyi belirliyor. Bu kişi çoğunlukla bir CEO, CFO ya da şirketle iş yapan bir tedarikçi oluyor. Kamuya açık bir konuşma, sosyal medya paylaşımı, kazanç raporu sunumu ya da televizyon röportajından elde edilen birkaç saniyelik ses kaydı, sahte bir ses üretmek için yeterli olabiliyor.

Ardından hedef seçiliyor. Çoğu zaman LinkedIn üzerinden finans departmanı çalışanları ya da IT yardım masası personeli tespit ediliyor. Saldırgan, doğrudan telefonla arayabiliyor ya da öncesinde acil para transferi, parola sıfırlama veya çok faktörlü kimlik doğrulama (MFA) talebi içeren bir e-posta gönderiyor. Daha gelişmiş senaryolarda ise saldırganın gerçek sesi, anlık olarak hedef kişinin sesine dönüştürülüyor; yani “konuşmadan konuşmaya” deepfake yöntemi kullanılıyor.

“Duymak inanmaktır” algısı çöküyor

Bu tür saldırılar her geçen gün daha ucuz, daha erişilebilir ve daha ikna edici hâle geliyor. Bazı araçlar, sesi daha gerçekçi göstermek için arka plan gürültüsü, nefes sesleri, duraksamalar ve hatta kekemelik ekleyebiliyor. Konuşma ritmi, tonlama ve kişiye özgü sözlü alışkanlıklar taklit edilebiliyor. Özellikle telefon görüşmelerinde, yapay zekâ kaynaklı aksaklıkları fark etmek oldukça zorlaşıyor.

Dolandırıcılar yalnızca teknolojiye değil, sosyal mühendislik taktiklerine de başvuruyor. Hedef kişiye aciliyet baskısı kuruluyor, talebin gizli tutulması isteniyor ve kurumsal hiyerarşi kullanılarak psikolojik üstünlük sağlanmaya çalışılıyor.

Deepfake nasıl anlaşılır?

Her ne kadar saldırılar giderek sofistike hâle gelse de bazı teknik ve davranışsal ipuçları şüphe uyandırabiliyor:

Konuşmada doğal olmayan ritim

Duygusal tonun aşırı düz ya da mekanik olması

Nefes alma düzeninde tutarsızlık veya nefessiz cümleler

Robotik ses kırılmaları (özellikle düşük kaliteli araçlarda)

Arka plan gürültüsünün aniden kaybolması ya da tekdüze olması

Kurumlar ne yapmalı?

Uzmanlara göre riskleri azaltmanın yolu “insan, süreç ve teknoloji” temelli üçlü bir savunma yaklaşımından geçiyor.

1. Eğitim ve farkındalık:
Çalışanların deepfake senaryoları konusunda bilinçlendirilmesi gerekiyor. Eğitim programlarının, sahte ses simülasyonlarını içerecek şekilde güncellenmesi öneriliyor.

2. Süreç güvenliği:
Telefonla iletilen taleplerin mutlaka bant dışı (bağımsız) kanallardan doğrulanması

Büyük finansal transferlerde veya tedarikçi banka bilgisi değişikliklerinde çift onay mekanizması

Yöneticiler için önceden belirlenmiş doğrulama soruları veya şifre uygulaması

3. Teknolojik önlemler:
Sentetik ses tespiti yapan analiz araçları kullanılabiliyor. Ayrıca yöneticilerin kamuya açık ses ve video içeriklerinin sınırlandırılması, potansiyel saldırganların veri toplama kapasitesini azaltabiliyor.

Deepfake üretiminin düşük maliyetli ve kolay erişilebilir olması, ses klonlama dolandırıcılıklarının kısa vadede ortadan kalkmayacağını gösteriyor. Potansiyel maddi kayıpların büyüklüğü dikkate alındığında, kurumların bu yeni nesil tehdide karşı savunma reflekslerini güçlendirmesi artık bir tercih değil, zorunluluk olarak görülüyor.