Düşünce Liderleri

Son Nesil Oltalama: AI Vishing Dolandırıcılıklarının Yükselişi

mm
Published
Updated

Siber güvenlikte, AI tarafından oluşturulan online tehditler, dünya çapındaki bireyler ve organizasyonlar üzerinde önemli etkiler yaratabilir. Geleneksel oltalama dolandırıcılıkları, AI araçlarının kötüye kullanılmasıyla evrimleşerek, her geçen yıl daha sık, daha sofistike ve daha zor tespit edilebilir hale gelmiştir. AI vishing, belki de bu gelişen tekniklerin en endişe verici olanıdır.

AI Vishing Nedir?

AI vishing, ses oltalamasının (vishing) bir evrimi olup, saldırganlar bankacılık temsilcileri veya teknik destek ekipleri gibi güvenilir kişiler olarak gizlenerek, kurbanları para transferi veya hesaplarına erişim izni verme gibi eylemler yapmaya ikna eder.

AI, vishing dolandırıcılıklarını ses klonlama ve deepfake gibi teknolojilerle güçlendirerek, güvenilir kişilerin seslerini taklit eder. Saldırganlar, AI’ı kullanarak telefon görüşmeleri ve konuşmaları otomatikleştirebilir ve kısa bir sürede çok sayıda insanı hedef alabilir.

Gerçek Dünyada AI Vishing

Saldırganlar, AI vishing tekniklerini seçici olmadan, herkesi hedef alır, bu da bireylerden şirketlere kadar herkesi etkiler. Bu saldırılar son derece etkili olmuştur ve 2023’ten 2024’e kadar Amerikalıların vishing dolandırıcılığına düşen parası %23 artmıştır. Bunu anlamak için, son birkaç yıl içinde gerçekleşen bazı yüksek profilli AI vishing saldırılarını inceleyeceğiz.

İtalyan İşletme Dolandırıcılığı

2025’in başlarında, saldırganlar AI’ı kullanarak İtalya Savunma Bakanı Guido Crosetto’nun sesini taklit etti ve İtalya’nın en önde gelen iş liderlerini, moda tasarımcısı Giorgio Armani ve Prada’nın kurucu ortağı Patrizio Bertelli’yi dolandırmaya çalıştı.

Crosetto olarak gizlenerek, saldırganlar Orta Doğu’da kaçırılmış bir İtalyan gazetecinin serbest bırakılması için acil finansal yardım gerektiğini iddia etti. Bu dolandırıcılıkta sadece bir hedef, eski Inter Milan sahibi Massimo Moratti, kandı ve polis çaldığı parayı geri almayı başardı.

Otel ve Seyahat Şirketleri Kuşatma Altında

Wall Street Journal’a göre, 2024’ün son çeyreğinde otel ve seyahat endüstrisine yönelik AI vishing saldırılarında önemli bir artış görüldü. Saldırganlar, AI’ı kullanarak seyahat acenteleri ve şirket yöneticileri olarak gizlenerek, otel ön büro personelinin hassas bilgileri ifşa etmesini veya sistemlere yetkisiz erişim izni vermesini sağladı.

Bunu, genellikle yoğun çalışma saatlerinde, müşteri hizmetleri temsilcilerini, kötü amaçlı bir eki bulunan bir e-posta veya tarayıcı açmaya yönlendirmek suretiyle yaptılar. AI araçlarının işbirliği yapan ortakları taklit etme yeteneği nedeniyle, telefon dolandırıcılıkları “sürekli bir tehdit” olarak kabul edildi.

Aşk Dolandırıcılığı

2023’te saldırganlar, AI’ı kullanarak aile üyelerinin seslerini taklit ederek, yaşlı bireyleri yaklaşık 200.000 dolar dolandırdı. Dolandırıcı aramaları tespit etmek zor olabilir, özellikle yaşlı insanlar için, ancak arayan tarafın aile üyesi gibi ses çıkardığında neredeyse tespit edilemez. Bu olay iki yıl önce gerçekleşti ve o günden beri AI ses klonlama teknolojisi daha da gelişti.

AI Vishing-as-a-Service

AI Vishing-as-a-Service (VaaS), son birkaç yıl içinde AI vishing’in büyümesinde önemli bir katkıda bulunmuştur. Bu abonelik modelleri, sahte olanaklar, özel promtlar ve uyarlanabilir ajanlar içerebilir, kötü aktörlerin AI vishing saldırılarını büyük ölçekte başlatmasına olanak tanır.

Fortra’da, AI Vishing-as-a-Service pazarındaki önemli oyunculardan biri olan PlugValley’i takip ediyoruz. Bu çabalar, tehdit grubu hakkında bize fikir verdi ve belki daha da önemli olarak, vishing saldırılarının ne kadar gelişmiş ve sofistike hale geldiğini gösterdi.

PlugValley: AI VaaS Açığa Çıkarıldı

PlugValley’in vishing botu, potansiyel kurbanları manipüle etmek için gerçekçi, özelleştirilebilir sesler sunar. Bot, gerçek zamanlı olarak adapte olabilir, insan konuşma kalıplarını taklit edebilir, arama kimliklerini sahteleyebilir ve hatta aramalara çağrı merkezi arka plan gürültüsü ekleyebilir. Bu, AI vishing dolandırıcılıklarını mümkün olduğunca inandırıcı hale getirir ve siber suçluların bankacılık kimlik bilgilerini ve bir kez kullanılabilir parolaları (OTPs) çalmalarına yardımcı olur.

PlugValley, siber suçlular için teknik engelleri kaldırır ve nominal aylık abonelikler için ölçeklenebilir sahtecilik teknolojisi sunar.

AI VaaS sağlayıcıları gibi PlugValley, sadece dolandırıcılık yapmaz, aynı zamanda oltalamayı endüstrileştirir. Bunlar, sosyal mühendisliğin son evrimini temsil eder ve siber suçluların makine öğrenimi (ML) araçlarını kullanarak insanları büyük ölçekte sömürebilmesini sağlar.

AI Vishing’e Karşı Korunma

AI tarafından yürütülen sosyal mühendislik teknikleri, zoals AI vishing, gelecekte daha yaygın, etkili ve sofistike hale gelecektir. Dolayısıyla, organizasyonların proaktif stratejiler uygulaması önemlidir, bunlar arasında personel farkındalık eğitimi, gelişmiş dolandırıcılık tespit sistemleri ve gerçek zamanlı tehdit istihbaratı yer alır.

Bireysel düzeyde, aşağıdaki rehberlik, AI vishing girişimlerini tespit etmeye ve önlemek için yardımcı olabilir:

  • İstenmeyen Aramalara Şüpheyle Yaklaşın: Beklenmedik telefon aramalarına, özellikle kişisel veya finansal detaylar isteyenlere karşı dikkatli olun. Meşru organizasyonlar genellikle telefon üzerinden hassas bilgileri istemez.
  • Arama Kimliğini Doğrulayın: Arayan, bilinen bir organizasyonu temsil ettiğini iddia ediyorsa, organizasyonun resmi iletişim bilgilerini kullanarak kimliğini bağımsız olarak doğrulayın. WIRED, aileden gelen vishing saldırılarını tespit etmek için ailenizle bir gizli parola oluşturmanızı önerir.
  • Bilgi Paylaşımını Sınırlayın: İstenmeyen aramalar sırasında kişisel veya finansal bilgileri ifşa etmekten kaçının. Arayan, acil durum yaratırsa veya olumsuz sonuçlar tehdit ediyorsa özellikle dikkatli olun.
  • Kendinizi ve Başkalarını Eğitiniz: Vishing taktiklerini hakkında bilgi edinin ve bu bilgileri arkadaşlarınız ve ailenizle paylaşın. Farkındalık, sosyal mühendislik saldırılarına karşı kritik bir savunmadır.
  • Şüpheli Aramaları Bildirin: Vishing girişimlerini ilgili makamlara veya tüketici koruma ajanslarına bildirin. Bildirim, sahtecilik faaliyetlerini izleme ve önleme yardımcı olur.

Her türlü belirti, AI vishing’in burada kalacağı ve muhtemelen hacim ve uygulama açısından artacağı yönündedir. Derin sahteciliklerin ve hizmet olarak modellerin kolaylığıyla, organizasyonlar bir saldırıya maruz kalacaklarını öngörmelidir.

Personel eğitimi ve dolandırıcılık tespiti, AI vishing saldırılarına karşı hazırlanmak ve önlemek için anahtardır. AI vishing’in sofistike olması, даже iyi eğitimli güvenlik uzmanlarının da inandırıcı talepler veya anlatılar olduğuna inanmasına neden olabilir. Bu nedenle, teknolojik önlemleri tutarlı bir şekilde bilgilendirilmiş ve uyanık bir işgücüyle entegre eden katmanlı bir güvenlik stratejisi, AI oltalama risklerini azaltmak için gereklidir.

mm

Alexis Ober, global siber güvenlik yazılım ve hizmet sağlayıcısı Fortra'da tehdit istihbarat analistidir ve sahtecilik soruşturmaları ve araştırma analizi konularında geniş deneyim getirir. Sağlık sektöründe sahtecilik, israf ve suiistimali belirlemede güçlü bir geçmişe sahiptir ve hem kamu hem de özel kuruluşlarda çalışmıştır.