Pindrop analizi, saldırganların iletişim merkezlerine saldırmak için deepfake kullandığı dört yolu belirledi.
Çoğu insan için deepfake fikri genellikle ünlülerin sahte fotoğrafları ve videolarıyla ilişkilendirilse de sentetik seslerin kullanımı, iletişim merkezi güvenliği açısından giderek artan bir endişe kaynağıdır.
Deepfake ses, bir kişinin sesini klonlamak için yapay zekayı kullanarak çalışıyor; üretken yapay zekadaki son gelişmeler, tonu ve benzerliği endişe verici derecede doğru bir düzeyde yeniden oluşturmayı mümkün kılıyor.
Instagram, Facebook ve özellikle TikTok gibi sosyal medya kanallarında ev yapımı videoların yaygınlaşmasıyla birlikte, dolandırıcıların ve dolandırıcıların basit internet aramaları yoluyla müşteri seslerinden örnekler bulması inanılmaz derecede kolay hale geliyor.
Ses trafiğini izleme konusunda uzman olan Pindrop, müşterileriyle yaptığı bir ankette, “düşük canlılık puanlarına” sahip bir dizi çağrıyı tespit edip analiz edebildi ve bunların sentetik olarak oluşturulmuş seslerle yapıldığını belirledi. İletişim merkezlerine yönelik yaygın deepfake saldırıları zaten var.
Peki dolandırıcılar iletişim merkezlerini hedeflemek için tam olarak ne kullanıyor? Peki şirketler bunları nasıl tespit edip önleyebilir?
Pindrop, müşterilerinin aldığı tüm sentetik çağrıları analiz etti ve aşağıdaki dört modeli özetledi:
1. Deepfake ses, kimlik doğrulamanın kopyalanmasıyla sınırlı değildir
Deepfake teknolojisinin, kötü bir aktörün tüm konuşmayı klonlanmış bir sesle sürdürmesine izin vermesine rağmen, dolandırıcılık çağrılarının çoğu aslında çok daha basitti: Odak noktası, IVR navigasyonu hakkında bilgi edinmek ve temel hesap bilgilerini çalmak için sentetik sesin kullanılmasıydı.
Bu bilgilerle donanmış dolandırıcılar daha sonra geleneksel sosyal mühendislik yöntemlerine geri dönerek kendi başlarına çalışmaya başladılar.
2. Deepfake ses, IVR saldırganlarının kimlik doğrulamayı atlamasına yardımcı oluyor
Yukarıdaki örnek, arazinin yapısını hızlı bir şekilde araştırmak için tek bir izci göndermeye benziyorsa, o zaman bu tam teşekküllü bir keşif görevidir.
Sentetik sesler, IVR kimlik doğrulama adımlarını tamamen atlayarak dolandırıcıların, hangi müşterilerin daha fazla hedeflenmeye değer olduğunu belirlemek için kullanılabilecek banka ve hesap bakiyeleri gibi daha hassas bilgilere erişmesini sağladı.
Bu tür taktikler bir süredir ortalıkta dolaşıyor olsa da derin sahte ses ve otomasyonun birleşimi, dolandırıcıların çok daha büyük ölçekte çalışabileceği anlamına geliyor.
3. Deepfake sesi, saldırganların hesap bilgilerini değiştirmesine yardımcı oluyor
Dolandırıcıların cephaneliğindeki, deepfake teknolojisiyle zenginleştirilmiş bir başka klasik silah; Johnny Cash'in Nine Inch Nails şarkısı “Hurt”u bambaşka bir seviyeye taşıması gibi – ama bilirsiniz, okunaklı sesiyle.
Dolandırıcılar, müşterilerin sesini taklit ederek e-posta ve ev adreslerini değiştirebildi ve tek kullanımlık şifrelere erişim ve yeni banka kartı siparişleri de dahil olmak üzere bir dizi dolandırıcılık fırsatının önünü açtı.
4. Deepfake ses, saldırganların IVR'leri taklit etmesine yardımcı oluyor
Belki de en yenilikçi dolandırıcılık stratejisi olarak, bazı derin sahte ses kayıtları, dolandırıcıların IVR'leri taklit etmek için kendi ses robotlarını kullandıklarını ortaya çıkardı.
Arayan kişi, otomatik komutlara yanıt vermeye çalışmak yerine bunları IVR'ye tekrarladı.
Pindrop bu çağrıları takip etti ve ilk kimliğe bürünme sonrasında iletişim merkezlerinin benzer çağrılar aldığını ancak bu kez arayan kişinin talimatları IVR'nin klonlanmış sesini kullanarak tekrarladığını buldu.
Açıkçası bu, iletişim merkezi müşteri hizmetlerini taklit etmeyi amaçlayan gelecekteki bir dolandırıcılık planının ilk adımıydı.
Dolandırıcılarla mücadele
Dolandırıcılar, müşterileri hedeflemek için daha yaratıcı ve karmaşık yöntemler geliştirmek üzere yapay zekadaki teknolojik gelişmelerden yararlandıkça, bir kuruluşun güvenlik çözümü de aynı derecede yenilikçi olmalıdır.
Pindrop için, bir sesin canlı mı yoksa kayıtlı/sentezlenmiş mi olduğunu tanıyabilen ve doğrulayabilen bir biyometrik olan canlılık tespiti, bu saldırılara karşı korunmanın en verimli ve etkili yoludur.
Daha spesifik olarak canlılık tespiti, çok faktörlü kimlik doğrulama (MFA) süreciyle birlikte entegre edilmelidir.
Pindrop Pasaportu, bir aramanın gerçekliğini belirlemek için yedi faktör kullanıyor ve kullanıcılara sesin gerçek olma olasılığına göre puanlar veriyor.
Pindrop'un sunduğu teklif şüphesiz bir şirketin derin sahtekarlıkları tespit etme yeteneğini artıracak olsa da şirketler yönetim ve uyumluluk için daha geniş kapsamlı bir çerçeve uygulamak isteyebilir.
Bu geçilen bir noktaydı Aviva Litan, Gartner'da Başkan Yardımcısı analistiŞirketler GenAI kullanmanın riskleri konusunda uyarıldığında.
Latan, personelin hassas şirket veya kişisel verileri açığa çıkarabilecek sorular sormasını önlemek için şeffaf politikalara ihtiyaç duyulduğunu vurgulayarak şunları söylüyor:
Kuruluşlar, politika ihlallerini tespit etmek için ChatGPT'nin ve benzer çözümlerin yetkisiz kullanımını mevcut güvenlik kontrolleri ve kontrol panelleriyle izlemelidir.
Ayrıca kullanıcı erişimini kısıtlamak için güvenlik duvarlarının kullanılmasını ve üçüncü taraf altyapısında kullanılan hassas verileri korumanın değişmez araçları olarak teknik istemlerin oluşturulup saklanmasını, güvenli kullanımın, paylaşımın veya satışın mümkün olmasını sağlamayı öneriyor.
Şirketler, bir canlı tespit aracına yatırım yapmak ya da deepfake'in oluşturduğu tehdit konusunda daha genel işgücü eğitimi ve eğitimi almak isteyip istemediğine bakılmaksızın, GenAI'nin yetenekleri büyümeye devam ettikçe, sentetik seslerle mücadelenin iletişim merkezi güvenliği açısından kritik hale geleceği açıktır.

Bir yanıt yazın