Yapay zekâ, ekonominin her sektörünü yavaş yavaş dönüştürüyor. Ancak bu dönüşüm, özellikle dolandırıcılık ve sahtekârlık alanında çok daha sinsi bir boyuta ulaşmış durumda. Gerçekçi deepfake uygulamaları, ses taklitleri ve otonom yazılımların (AI agents) artan kalitesi ile düşen maliyetleri, yasa dışı piyasalarda da bir "otomasyon devrimini" beraberinde getiriyor.Geçen yılın sonlarında, kimlik doğrulama şirketi ID.me’nin CEO’su Inc.’e yaptığı açıklamada; yapay zekâ destekli sohbet botlarının, kötü niyetli kişilerin “hedefleyebilecekleri kurban sayısını ve saldırı başarı oranlarını katlamalarına” olanak sağladığına dikkat çekmişti.Peki, yapay zekânın tetiklediği bu yeni ve ürkütücü güvenlik tehditleri çağında, temkinli bir CEO nasıl bir yol izlemeli? Inc. olarak; deepfake tespiti ve dolandırıcılık önleme uzmanı Vijay Balasubramaniyan ile bir araya geldik ve vizyoner girişimciler için hazırladığı savunma stratejilerini öğrendik.Sesli ve Görüntülü İletişim Kanallarını Hafife AlmayınPandemi sonrası iş dünyasının vazgeçilmezi haline gelen çevrimiçi iletişim kanalları; operasyonları yürütmeyi ve ekiplerle temasta kalmayı kolaylaştırsa da beraberinde kapatılması zor güvenlik açıkları getiriyor. Balasubramaniyan, yapay zekânın artık bu kanalların diğer ucundaki kişiyi "kusursuzca" taklit edebildiğine dikkat çekiyor.Balasubramaniyan bu durumu, günümüzün en büyük dijital kaygısı olan “gerçek insan sorunu” olarak adlandırıyor: Bir kurumsal etkileşimin diğer ucundaki “kişinin” aslında bir insan değil, yapay zekâ tarafından üretilmiş bir taklitçi olma ihtimali...“Bu durum; bir çalışan, müşteri veya tedarikçiyle iletişim kurarken organizasyonların temel dayanağı olan 'güven' mekanizmasını sorgulatıyor,” diyen Balasubramaniyan ekliyor: “Bir etkileşimin diğer ucunda bir insan olduğunu varsaydığınız her an, karşınıza yapay zekâ çıkabilir.”Pindrop’un müşteri verileri üzerine yaptığı analizler, ortalama bir işletmenin deepfake dolandırıcılığı nedeniyle $2 milyona kadar risk altında olduğunu; bu miktarın yaklaşık $350.000 kısmının ise doğrudan müşteri hizmetleri kanalları üzerinden gerçekleştiğini ortaya koyuyor.Görüntülü görüşmelerin dolandırıcılar için nasıl bir "saldırı yüzeyine" dönüştüğünün en çarpıcı örneği ise 2024 yılında bir finans departmanında yaşandı: Bir çalışan, şirketin CFO'su olduğunu sandığı kişiyle yaptığı video görüşmesinin ardından tam 25 milyon doları dolandırıcılara kaptırdı. Oysa görüştüğü kişi, CFO’nun yapay zekâ ile üretilmiş bir kopyasından başkası değildi.Pindrop’un paylaştığı veriler, kurumsal alandaki deepfake faaliyetlerinin yıllık bazda yüzde 1.300 arttığını ve tehdidin artık sadece "oltalama" (phishing) e-postalarıyla sınırlı kalmadığını gösteriyor. 2021-2024 yılları arasında çağrı merkezlerindeki dolandırıcılık vakalarında ise yıllık yüzde 26’lık bir artış kaydedildi.İnsana Değil, Doğrulamaya GüveninPindrop’un uyarısı net: Yapay zekâ destekli ses ve görüntü taklitleri o kadar kusursuz bir noktaya ulaştı ki bu içerikleri ayırt etmek için artık yalnızca insan sezgilerine güvenemezsiniz. Araştırmalar, insanların yapay zekâ tarafından üretilen ses, video ve görselleri tespit etme başarısının, bir "yazı tura" atışından daha tutarlı olmadığını gösteriyor.Balasubramaniyan süreci şöyle özetliyor: “Eskiden insanlara hep şu tavsiyeleri verirdik: ‘Konuşurken duraklamalara dikkat edin; karşı tarafın yanıt üretmesi zaman alacaktır. Göz kırpıp kırpmadığını, ellerini yüzünün önünde hareket ettirip ettirmediğini veya başını oynatışındaki doğallığı kontrol edin.’ Artık yapay zekâ sistemleri tüm bu detayları tek başına halledebiliyor ve geçtiğimiz bir yıl içinde bu konuda devasa bir ilerleme kaydettiler.”Bu durum, özellikle parola sıfırlama işlemlerini, dolandırıcıların kurumsal sistemlere sızması için tehlikeli birer "arka kapı" haline getiriyor.“Scattered Spider ve ShinyHunters gibi bilinen grupların çalışma yöntemi tam olarak bu,” diyor Balasubramaniyan: “Birini telefonda ikna edip kendilerini ‘Brian’ olarak tanıtıyorlar. Brian’ın parola sıfırlama bilgilerini ele geçiriyorlar ve eğer Brian kritik bir BT (IT) yöneticisiyse, artık ‘krallığın anahtarlarına’ sahip oluyorlar.”Savunma stratejilerinizi bu yeni gerçekliğe göre kurgulamanız gerektiğini vurgulayan Pindrop, "güvenmek yerine doğrulamaya dayalı" (zero trust) bir yaklaşım öneriyor. İşte bu noktada uygulanabilecek bazı temel stratejiler:Zaman Baskısına Teslim Olmayın: Sizi hızlı hareket etmeye zorlayan, aciliyet hissi yaratan sesli veya görüntülü aramalara karşı her zaman temkinli olun.Kapat ve Tekrar Ara: Şüpheli durumlarda aramayı sonlandırıp, kişiye şirket rehberindeki resmi numara üzerinden geri dönün.Teknolojik Savunma Katmanlarını Kullanın: Arayan kimliği (caller ID) doğrulama, gelişmiş spam filtreleri ve çok faktörlü kimlik doğrulama (MFA) gibi araçları tek bir güvenlik duvarı olarak değil, katmanlı bir savunma hattı olarak konumlandırın.Bireysel Araçlarla Yetinmeyin: Katmanlı Bir Güvenlik Mimarisi İnşa EdinArayan kimliği (caller ID) ve iki faktörlü doğrulama (2FA) gibi yöntemler ne kadar kritik olursa olsun Pindrop, yöneticilere tek bir teknolojik çözüme bel bağlamak yerine “katmanlı savunma hatları” inşa etmelerini tavsiye ediyor.Pindrop’un bu konudaki yaklaşımı oldukça net: “Etkili bir savunma; deepfake gibi yapay içerikleri doğrudan kapsayan gerçek zamanlı tespit mekanizmaları, netleştirilmiş kriz yönetim süreçleri, çalışan eğitimleri ve olay müdahale planları gerektirir. Deepfake tespitini iş akışlarınıza (workflow) öyle bir entegre edin ki; gelen uyarılar sadece birer 'bildirim' olarak kalmasın, doğrudan somut bir eylemi tetiklesin. Ayrıca, müdahale planlarınızın yapay zekâ tarafından üretilmiş içerik senaryolarını kapsadığından emin olun.”Bu strateji, kimlik doğrulamayı (authentication) tek seferlik bir "kapıdan geçiş" işlemi olarak değil, sürekli bir denetim süreci olarak ele almak anlamına geliyor.“Güvenlikte 'derinlemesine savunma' (defense-in-depth) prensibi hayatidir,” diyen Balasubramaniyan şöyle devam ediyor: “Karşınızdaki kişinin gerçekten iddia ettiği kişi olup olmadığını anlamak için birden fazla kontrol katmanına ihtiyacınız var. Bir video toplantısında katılımcının deepfake olmadığından emin olmalı, ses ve görüntü imzalarını doğrulamalı ve bağlantı konumunun tutarlı olup olmadığını denetlemelisiniz.”Bir saldırgan tek bir güvenlik duvarını aşabilir; ancak birbirini destekleyen çoklu doğrulama katmanlarıyla karşılaştığında hata yapma ihtimali artacak ve muhtemelen başarısız olacaktır.İçerideki Tehlike: AI Destekli Saldırılara "Her Cepheden" Hazır OlunBir yöneticinin en son isteyeceği şey, bir dolandırıcının şirketine "içeriden" sızmasıdır. Ancak uzaktan çalışma modellerinin ve dijital iş başvuru süreçlerinin standartlaşmasıyla birlikte; kötü niyetli kişilerin resmi işe alım kanalları üzerinden pozisyon kapması ve kurumsal yapıya içeriden zarar vermesi artık çok daha mümkün.Balasubramaniyan durumu sarsıcı bir veriyle özetliyor: “İş başvurusunda bulunan her altı kişiden biri sahte. Çoğu CISO (Bilgi Güvenliği Başkanı), güvenlik farkındalık eğitimlerine ve teknik altyapıyı güncel tutmaya servet harcarken, bir arka plan kontrolü (background check) için yalnızca $100 ayırıyor. Saldırganların kullandığı açık tam olarak bu: ‘Siz pencereleri tüm gün koruyun; ben kapıdan içeri yürüyeceğim.’”Pindrop’un verilerine göre, tüm iş başvurularının yaklaşık yüzde 17’si dolandırıcılık belirtileri taşıyor. Üstelik, teknik mülakatların ikinci turuna kadar ilerlemeyi başaran adayların yüzde 6 ila yüzde 8’i sahte görünüyor.Hatta yapay zekâ sahtekârlıklarını tespit etme konusunda uzmanlaşmış olan Pindrop bile, kendi uzaktan işe alım süreçlerinde "birden fazla sahte aday" yakaladı. Bunlar arasında, deepfake ve yapay kimlikler kullanarak mülakatları başarıyla geçen iki kişi vardı; Pindrop bu kişilerin izini sürdüğünde, rotanın Kuzey Kore’ye kadar uzandığını tespit etti.Orijinal Yayın Tarihi: 10 ŞubatKöşe yazarları tarafından burada paylaşılan görüşler, incturkiye.com’a değil, yazara aittir.Çok daha fazlası için Inc. Türkiye bültenlerine kaydolun.