Deepfake ile ilgili yazımızı hatırlıyor musunuz? Deep learning kullanarak üretilen sahte içeriklerin yalnızca insanların kişisel hayatları için değil, finansal sistemler için de tehdit yarattığından kısaca bahsetmiştik. Bu sefer bu konuyu biraz detaylandırmak istiyorum. Deepfake’in finansal sistemleri yanıltmak amaçlı neden ve nasıl kullanıldığını, bu tehditlere karşı nasıl önlemler alındığını ve bu önlemlere karşı sahtekarların ürettiği yeni yöntemleri kısaca ve basitçe açıklayacağım.
Yukarıdaki cümleden de anlayacağınız üzere siber güvenlik alanındaki uzmanlar ile kötü niyetli kullanıcılar arasında devam eden bir birbirini besleme durumu var. Bir taraf önlemleri aşmaya çalışıyor, diğer taraf ise aşılamayacak önlemler inşa etmeye çalışıyor. Aslında bir yandan bu mücadele sayesinde her iki taraf da teknolojinin ilerlemesini sağlıyor. Fakat konumuz teknolojinin ilerlemesi değil, finansal sistemlerin güvenliğini sağlamak, bu yüzden bir adım ileride olmalıyız. Fakat bir yandan da müşterilerimizin sistemine sızmaya çalışan sahtekarların girişimlerinin (fraud attempt) ne kadar geliştiğini takdir etmekten de kendimizi alamıyoruz! Merak etmeyin elbette ki her zaman bir adım öndeyiz ve deepfake ile üretilen içeriklere geçit vermiyoruz. Yine de bu denemelerin kalitesinin ne kadar arttığını sizinle paylaşmak ve iyi bir kimlik doğrulama firması ile çalışmanın ne kadar önemli olduğunu bir kez daha hatırlatmak istedim.
Deepfake ile üretilmiş içerikler finansal sistemlere yapılan saldırılarda farklı şekillerde kullanılabiliyor. Birkaç senaryo ile örnekler verelim.
Ölen bir kişinin kişisel bilgilerini finansal kazanç sağlamak için kullanmak bu yöntemlerin ilki. Hesap sahibinin bilgilerini alan suçlular bunu kişinin hesaplarını boşaltmak için kullanabildiği gibi krediye başvurmak, kredili ev ya da araç almak gibi yöntemlere de başvurabiliyor. Ekranda görünen, sizinle sohbet eden birinin ölü olduğu aklınıza gelmez değil mi?
Aile bireylerinin ölümünü saklama ve bundan finansal kazanç sağlama henüz deepfake teknolojisi çıkmadan önce de oldukça yaygındı. Arama motoruna “Annesinin emekli maaşını alan adam” yazmayı hiç denediniz mi? Bir deneyin, dünyanın her yerinden vaka göreceksiniz. Özellikle covid zamanı maskelerin arkasında kimlik tespit etmenin iyice zorlaşması ile bu yöntem oldukça artmıştı. Maskeler kalktı, ancak sahtekarların imdadına bu sefer de deepfake yetişti. Bankacılık işlemlerinin çoğunlukla internet üzerinden yapılıyor olması da sahtekarların işini kolaylaştırdı tabii.
İlgili haber: https://www.theguardian.com/us-news/2023/jul/03/california-man-guilty-social-security-scam
Techsign olarak bizim en çok karşılaştığımız ve dünya üzerinde de en yaygın olan sahtekarlık tipi ise çalıntı kimliklerle açılan hesaplar. Bu süreç şöyle işliyor: kişinin kimlik bilgilerini çalan sahtekar, bu bilgileri kullanarak bir banka/ ödeme aracı/ para transfer hesabı açıyor ve kişinin görüntüsünü kullanarak elde ettiği deepfake içeriği ile hesabı oluşturuyor.
Birinin sizin kimliğinizi açarak hesap oluşturmasının size ne gibi bir zararı mı olabilir? Bu hesap terör eylemlerini finanse etmek, yasadışı kumar ve bahis sitelerine para göndermek ve yine yasadışı ürün ve hizmetleri satın almak için kullanabilir. Elbette iyi işleyen bir hukuk sisteminde bu suçun sizin üzerinize kalması pek mümkün değil, ancak suçun büyüklüğüne göre hem zaman hem de para kaybedeceğiniz kesin. Sahtekarlar ise hesabı sizin üstünüze açarak hem kendi izlerinin takip edilmesini engelliyor, hem de suçu size yönlendirerek otoritelerin zaman kaybetmesine sebep oluyor.
Türkiye’de merkezci bir sistem olması sebebiyle bu sahtekarlık tipinin görülmesi pek mümkün değil. Yine de nasıl çalıştığından kısaca bahsedeceğim. Aslında diğer yöntemlerle kıyaslandığında bu çok daha karmaşık bir yöntem. Bu yöntemde sahtekarlar bir kimlik çalmak yerine sahte, gerçek ve çalıntı bilgilerin hepsini kombinleyerek olmayan bir kişi yaratıyorlar. Bu olmayan kişinin fotoğraflı bir kimlik kartı, kimlik numarası ve ekran karşısına geçip soruları cevaplayabilen bir görüntüsü var. Kredi ve banka kartlarına başvurabiliyor, hesap açabiliyor, para gönderebiliyor, kısaca online olarak yapılan tüm işlemleri gerçekleştirebiliyor.
Türkiye’de bu yöntemin çok da kullanılamadığından bahsetmiştim. Sebebi ise banka/ fintech uygulamalarının merkezi database ile iletişim halinde olmaları. Bir diğer deyişle hesap açmak için başvuru yapan kimlik numarasının diğer tüm güvenlik kontrollerinden önce database’de yer alıp almadığının kontrol ediliyor olması. Yani eğer girdiğiniz kimlik numarası ile eşleşen kimse yoksa daha ilk kontrolden ortaya çıkıyor ve süreç diğer kontrollere gitmeden sona erdiriliyor.
Yukarıda da bahsettiğim gibi güvenlik önlemlerimizi geliştirdikçe yapılan girişimlerin kalitesi de artıyor. Bu konuda daha fazla detaya girmeden önce şunu belirtmek istiyorum. Yazının geri kalanında kullandığım görseller doğrudan sistemlere yapılmış saldırı girişimlerinin görselleri değil, bizim ekibimizin örnek olarak ürettiği görseller. Müşterilerimizin sistemine girmek isteyen sahtekarları ifşa etme fikri ne kadar hoş gözükse de kullanılan görsellerin çalıntı kimliğin sahibine ait olduğunun farkındayız ve Kişisel Verileri Koruma Kanununa aykırı davranmak aklımızdan bile geçmez!
Sahtekarlık girişimlerinin detaylarına girmeden önce standart bir yeni müşteri edinimi akışından bahsetmek istiyorum. Böylece hangi aşamada sistemi yanıltmaya çalıştıklarını daha iyi aktarabilirim.
Müşteri yeni bir hesap açmak istediğinde öncelikle kimliğinin ön ve arka tarafını gösteriyor. Sistem OCR ile kimlik üzerindeki bilgileri alıyor ve kimlik numarasının ülke databesinde olup olmadığını kontrol ediyor. Daha sonra eğer telefonda NFC varsa NFC ile yoksa Hologram kontrolü ile kimliğin gerçekliği kontrol ediliyor. Bu kontrol gerçekten çok önemli, zira hemen her yerde kimlik numaramızı ve hatta kimliğimizin fotokopisini veriyoruz. Bunu insan gözünün ayırt edemeyeceği kadar başarılı bir kimlik kartına çevirmek gerçekten zor değil. Bu yüzden çip kontrolü yapıyoruz. Fakat bu kontroller kimliğin çalıntı olup olmadığını kontrol edemez elbette. Bu sebeple bu aşamada yüz doğrulama ve canlılık testi devreye giriyor. Hesap açmaya çalışan kişinin gerçekten kimlik sahibi ile aynı kişi olup olmadığını anlamak için sistem kullanıcıdan ön kameraya yüzünü göstermesini istiyor. Ve burada bir fotoğraf kullanılmadığından emin olmak için kullanıcıdan yüzünü farklı açılara çevirmesi ya da gözünü kırpması gibi bir takım hareketler isteniyor. İşte sahtekarlar deepfake ile yapılmış içeriklere bu aşamayı atlatmak için başvuruyor.
Techsign KYC çözümleri günde yaklaşık 1000 kullanıcı kimliği doğruluyor, bu sayı geçtiğimiz sene 200’dü. Müşterilerimiz büyüyüp kullanıcı sayısını artırdıkça biz de onlarla beraber büyüdük ve çok daha gelişmiş sahtekarlık girişimleri ile karşılaşmaya başladık. 2022 yılında sahtekarlar bizim koruma yöntemlerimizi çok da ciddiye almıyordu. Kimliğini çaldıkları kişinin fotoğrafını büyütüp son derece ilkel yöntemlerle bütün olarak sağa sola döndüren ve böylelikle canlılık testini geçmeye çalışan sahtekarlık girişimleri gördük. Evet aynen böyle.
Zaman geçtikçe bu denemeler biraz daha profesyonelleşti. Saldırılar en azından insan gözünü yanıltabilecek seviyeye geldi. Burada benim en favori yöntemlerimden birinden bahsetmek istiyorum. Aile büyüklerinin kimlikleri ile hesap açmaya çalışan gençler. Ebeveynlerine ya da büyük ebeveynlerine benzeyen gençler yüz değiştirme app’lerini kullanarak kendilerini yaşlandırmayı ve sistemi bu şekilde aldatmayı deniyorlar. Bazı durumlarda ortaya çıkan sonuç gerçekten çok başarılı. Kimlikteki fotoğrafların çok yüksek bir kalitede olmaması sebebiyle insan gözü bu app’lerle yaratılmış içeriği kolaylıkla kimlikteki kişi zannedebilir. Fakat bunu tespit etmek yapay zeka için o kadar zor değil. Çünkü insan gözünden farklı olarak yapay zeka yüzü bir bütün olarak ele alıp benzerliğine bakmıyor. Her iki fotoğraftan -kimlik fotoğrafı ve ön kamerayla çekilen fotoğraf- biyometrik veriler oluşturuyor, bu verileri sayısallaştırıyor ve bu sayısal verileri karşılaştırıyor. Yani insan gözünden çok daha detaylı incelemeler yapıyor.
Son zamanlarda aldığımız saldırılar ise gerçekten uzmanlık isteyen işler olmaya başladı. Çalıntı kimlikten NFC ile kimlikteki fotoğrafın yüksek çözünürlüklü haline ulaşan sahtekarlar, sistemin canlılık testinde istediği hareketleri (kafa çevirme, göz kırpma) deepfake ile üretmeye çalışıyor. Aşağıdaki video, deepfake ile yapılan örneklerden biriyle aynı kalitede olacak şekilde ekibimiz tarafından üretildi. İlk zamanlar karşılaştığımız örneklerle kıyaslandığında fark muazzam değil mi? Kurduğumuz yüksek güvenlik önlemleri ile sistemimizi kandırmak isteyenleri kendilerini geliştirmek zorunda bırakıyoruz.
Deepfake ciddiye alınması gereken önemli bir tehdit. Eğlence amaçlı kullanılmaya başlayan bu teknolojinin, finansal sistemleri tehdit edecek boyutlara gelmesi endişe verici. Üstelik bu teknoloji iyileştirilen güvenlik önlemlerine paralel olarak gelişmeye devam ediyor. Bu yüzden bu sorunu çözüp lafa kaldırılacak basit bir suç gibi görmek yerine sürekli takip edilmesi gereken önemli bir düşman olarak görmek ve yeni mücadele yöntemleri geliştirmeye devam etmek gerekiyor.
Techsign bu teknolojide kendine düşeni yapıyor! Hem yüz doğrulama hem de canlılık testlerimizi yeni gelen ataklara karşı güçlendirmeye ve NIST skorlamalarına sokmaya devam ediyoruz.
İnceleme önerisi: Know Your Customer