Deepfake tuzağına düşen yazılım şirketi 5 milyon TL kaybetti

Yapay zekâ teknolojisi o kadar süratli ilerledi ki, neredeyse her gün yeni bir gelişme yaşanıyor. Artık pek çok alanda yapay zekânın kolaylaştırıcı ve istikamet gösterici özelliklerinden faydalanıyor. Lakin yapay zekâyı hata aracı olarak kullanmak isteyenler de boş durmuyor. Çeşitli sistemlerle yapay zekâ teknolojileri dolandırıcılık faaliyetlerinde kullanıyor. Yapay zeka üzerinden dolandırılma hadiseleri Türkiye’de de baş göstermeye başladı. Ankara’da faaliyet gösteren, 17 kişilik takımıyla özel yazılım tahlilleri sunan bir KOBİ yapay zeka ile oluşturulmuş bir bot müşteri tarafından dolandırıldı.

ZOOM TOPLANTISI YAPTILAR

Ankara’da faaliyet gösteren KOBİ, Avrupa merkezli üzere görünen “AlverraTech” isimli müşteriyle birinci kere geçen yıl aralık ayında tanıştı. İngiltere merkezli bir teknoloji firmasının ismiyle eşleşen bir domain, ihtimamla hazırlanmış bir web sitesi, hatta şirketin CEO’sunun LinkedIn sayfası dahi vardı. Birinci temas bir e-posta ile başladı. Akabinde zoom toplantıları yapıldı. Karşılarındaki kişi pürüzsüz İngilizcesi ve net kamera manzarasıyla ikna ediciydi. Şirkette soyadı ‘Kara’ olan Türk asıllı bir İngiliz vatandaşı olduğunu söyleyen yönetici de Zoom’a katılarak kusursuz Türkçe ile konuştu.

5 MİLYON TL KAYIP

Ankaralı firma, yabancı müşterisinin talebi doğrultusunda özel bir e-ticaret altyapısı geliştirdi. Zoom’da manzaralı görüştüler, şirket tescil evrakları paylaşıldı, kontratlar imzalandı, proje teslim edildi. Proje tamamlandığında teslim edilen hizmetin bedeli 5 milyon TL idi. Bu sistem, blockchain dayanaklı stok idaresinden, yapay zekâ ile çalışan müşteri segmentasyonuna kadar birçok özgün modül içeriyordu. Lakin ne ödeme geldi ne de geri dönüş…

ÇİN’DEN SİPARİŞ VERİYORLAR

Bu olay Türkiye’de bir birinci üzere görünse de son devirde misal şikâyetlerin süratle arttığı belirtiliyor. Bilhassa Çin merkezli ihracat ve ithalat operasyonları üzerinden, düzmece firmalarla yapılan yazışmalarda yapay zeka varlıklarının devreye girdiği pek çok olay raporlandı. Siber güvenlik uzmanlarına nazaran, bu ataklar artık organize yapılar tarafından yürütülüyor.

Yapay zeka tarafından dolandırılan Ankaralı KOBİ’nin yöneticisi ‘a şunları anlattı:

“O kadar profesyonel ilerlediler ki, kontratlar imzalandı, demo sunumları yapıldı, kaynak kodlarını teslim ettik. Avukatlarıyla yazıştık, yatırımcı sunumları için özel raporlar istediler. Her şey kusursuzdu. Fakat aslında geçersizmiş. Biz daha sonra elimizdeki zoom kayıtlarını bilişim hatalarına teslim ettik. Onlar tahlil ettiklerinde bize imajların deepfake teknolojisi ile oluşturulduğunu söz ettiler.”

SAVCILIK: GERÇEK FAİL YOK

Olay yargıya taşındığında ortaya çıkan tablo daha da çarpıcıydı. Türel sürecin başlatılamadığını söyleyen firma yetkilisi, “Gerçek bir kişi ve şirket yok, IP adresleri geçersiz ve anonimleştirilmiş. Bot müşterinin imgeleri deepfake teknolojisiyle üretilmiş” dedi. Siber hatalarla ilgilenen bir uzman da “Artık karşımızda kimliksiz lakin tesirli bir cürüm aktörü var: Yapay zekayla konuşan, karar veren ve kandıran dijital varlıklar” kelamlarıyla ihtarda bulundu. Uzmanlara nazaran, artık klasik dolandırıcılık kıssaları tarihe karışıyor. Misal kıssalar Türkiye’nin her yerinden gelmeye başladı.

SİSTEM NASIL İŞLİYOR?

Sabah’tan Metin Can’ın haberiene nazaran uzmanlar, evvel yapay zekâ ile oluşturulmuş bir profil yaratılıyor. Bu profile ilişkin toplumsal medya hesapları, web sitesi, şirket bilgileri, e-posta adresleri oluşturuluyor. Görseller yapay zeka üreticileriyle hazırlanıyor, kimi durumlarda gerçek şahısların yüzleri deepfake olarak kullanılıyor. GPT gibisi lisan modelleri, Türkçe’yi de içerecek halde eğitiliyor. Bu sayede geçersiz müşteri, hem yazılı hem kelamlı olarak doğallıkla irtibat kurabiliyor. Bu çeşit taarruzlarda sırf bir karakter değil, bir “organizasyon” simüle edilebiliyor. CEO, hukuk danışmanı, proje yöneticisi üzere farklı e-postalarla lakin birebir sistem üzerinden yönetilebiliyor. Bu yapılar çoklukla IP anonimleştirme sistemleriyle çalışan, fizikî merkezleri tespit edilemeyen çeteler tarafından yönetiliyor.

DEEPFAKE TEKNOLOJİSİ NEDİR?

Yapay zekâ teknolojisi o kadar süratli ilerledi ki, neredeyse her gün yeni bir gelişme yaşanıyor. Artık pek çok alanda yapay zekânın kolaylaştırıcı ve istikamet gösterici özelliklerinden faydalanıyor. Lakin yapay zekâyı cürüm aracı olarak kullanmak isteyenler de boş durmuyor. Çeşitli usullerle yapay zekâ teknolojilerini dolandırıcılık faaliyetlerinde kullanıyor. En sık başvurulan yol de “deepfake”. Deepfake, yapay zeka ve derin öğrenme teknikleri kullanılarak gerçeğe çok yakın geçersiz imaj ve geçersiz ses oluşturan bir teknoloji. Makûs niyetli şahıslar, deepfake teknolojisini düzmece imaj ve ses üreterek dolandırıcılık, dezenformasyon, kara propaganda, prestij saldırısı, ferdî saklılık ihlali için kullanıyor.

5 HUSUSTA ‘BOT MÜŞTERİ’ NASIL ANLAŞILIR?

Aşırı profesyonellik: Hiç kusur yapmayan, her bildirisi saat üzere atan müşterilere kuşkuyla bakın. İnsan dokunuşu eksik olabilir.

Tekrarlayan yüz hareketleri: Manzaralı görüşmelerde jestler, mimikler mekanik yahut tekrarlıyorsa deepfake olabilir.

E-Posta uzantısı gerçek görünüp geçersiz olabilir: Gerçek firmalara benzetilmiş ancak ufak değişiklik içeren adresleri denetim edin.

Israrla demo ve erişim talebi: Ödeme yapılmadan kodlara erişim isteyen müşteri büyük risktir.

Sözleşme & avukat oyunu: Sözleşmeleri ve “hukuki temsilcileri” kamu sistemlerinden kesinlikle sorgulayın.

UZMANLAR NE DİYOR?

GÖZLE AYIRT EDEMEZSİNİZ

Hasan Dertli/Sodec Technologies Genel Müdürü: Yapay zekâ destekli dolandırıcılıkların büyük bir süratle yayılma riski var. Artık yalnızca iki boyutlu bir fotoğraftan bile hiç var olmayan bir kişinin yüzünü üretip konuşturmak mümkün. Dolandırıcılar, zoom üzere platformlarda, bu uydurma manzaraları Open Broadcaster Software üzere sistemler üzerinden kolaylıkla yüklüyor. Gözle bakarak bu görüntünün gerçek mi düzmece mi olduğunu anlamak neredeyse imkânsız. Laboratuvar şartlarında bile tespiti güç. Bu yüzden pasaport ve kimlik doğrulama sistemlerini dijital ortama taşıması kaçınılmaz.

Tolga Dinçer/ DT Cloud CEO: Bu usul dijital taarruzlarla baş edebilmenin tek yolu, artırılmış kimlik doğrulama usulleri ya da yapay zekâ varlıklarını gerçek bireyler üzere tanımlamaktan geçiyor. Burada kıymetli olan bu şekil teknoloji üretenleri kimlik altına alabilmek. Gelecekte yapay zekâ varlıkları da kimlik sahibi olacak. Tıpkı bir vatandaş üzere T.C. kimlik numarası ya da memleketler arası bir tanımlayıcıya sahip olacaklar. Bu sayede hukuksal sistemin içine girecek, sorumluluk üstlenecekler.

patronlardunyasi.com