Makine öğrenimi destekli dolandırıcılıklar

Ekim 8, 2019

Yeni teknolojiler hiç kuşkusuz dünyayı değiştiriyor. Fakat insan doğası aynı kalıyor. Bunun sonucunda kötülük dehaları, insan beynindeki zayıf noktaları hedef alacak yeni teknolojiler tasarlıyorlar. Bunun en güçlü örneklerinden biri, dolandırıcıların uluslararası bir CEO’nun sesini taklit ederek iştiraklerden birinin yöneticisini karanlık bir hesaba para göndermeye ikna ettikleri olay.

Ne oldu?

Saldırının ayrıntıları bilinmese de, Euler Hermes Group SA sigorta firmasını alıntılayan Wall Street Journal olayı şöyle anlatıyor:

  1. İngiltere merkezli bir enerji firmasının CEO’su, telefonda şirketlerinin Alman ana kuruluşunun başkanı olan patronuyla görüştüğünü zannediyor. Patronu, bir saat içerisinde Macar bir tedarikçiye 220.000 EUR göndermesini istiyor (sonradan böyle bir tedarikçi olmadığı ortaya çıkıyor).
  2. İngiliz yönetici istenen miktarı gönderiyor.
  3. Saldırganlar ana kuruluşun İngiliz firmanın masrafını karşılamak için para gönderdiğini söylemek için bir kez daha arıyorlar.
  4. Ardından, aynı gün içinde üçüncü kez, tekrar CEO’yu taklit ederek arıyor ve ikinci bir ödeme daha istiyorlar.
  5. Yönetici, masrafları karşılama ödemesi henüz hesaba yatmadığı ve üçüncü arama bir Alman numarasından değil, Avusturyalı bir numaradan geldiği için şüpheleniyor. İkinci ödemeyi yapmıyor.

Bu dolandırıcılık nasıl gerçekleşti?

Sigortacılar iki olasılık üzerinde duruyor. Saldırganlar ya CEO’ya ait sayısız ses kaydını elden geçirerek sesli mesajları manuel olarak bir araya getirdiler, ya da (daha yüksek ihtimalle) kayıtları bir makine öğrenimi algoritmasına işlettiler. İlk yöntem hem çok zaman alırdı hem de güvenilir olmazdı: Ayrı ayrı kelimelerden mantıklı bir cümle oluşturmak ve bunu kulağı tırmalamayacak şekilde yapmak çok zordu. Üstelik İngiliz kurbana göre konuşma tamamen normaldi; tanıdık, özel ses tonu ve hafif Alman aksanı bile yerindeydi. Dolayısıyla baş şüpheli olarak geriye Yapay Zeka kalıyordu. Öte yandan, saldırının başarısı, yeni teknolojilerin kullanımından ziyade bilişsel çarpıtmaya, bu vaka özelinde ise otoriteye boyun eğmeye dayanıyordu.

Psikolojik otopsi

Sosyal psikologlar, zeki ve deneyimli insanların bile otoriteye sorgulamadan uyma eğiliminde olduğunu gösteren pek çok deney gerçekleştirdi. Üstelik bu eğilim, otoritenin talebi kişisel inançlara, sağduyuya ve güvenlik kaygılarına aykırı olduğunda bile gözlemlenebiliyordu.

Şeytan Etkisi: İyi İnsanların Nasıl Kötülük Yaptığını Anlamak kitabında Philip Zimbardo böyle bir deneyden bahsediyor. Deneyde bir doktor, hemşireleri arayarak bir hastaya izin verilen dozun iki katı miktarda ilaç enjekte edilmesini istiyor. 22 hemşireden 21’i, şırıngayı söylenen dozda ilaçla dolduruyor. Hatta ankete katılan hemşirelerin yarısı, hastaya zarar verebileceğini düşündükleri doktor talimatlarını bile yerine getirdiklerini söylüyor. Söz dinleyen hemşireler, hastaya reçete yazmak için yasal otoriteye sahip olan doktorlardan daha az sorumluluğa sahip olduklarına inanıyorlar.

Psikolog Stanley Milgram da otoriteye sorgulamadan uymayı benzer bir şekilde öznellik teorisiyle açıklıyor. Bu teoriye göre kişiler kendilerini başkalarının iradesini yerine getiren araçlar olarak algıladıklarında eylemlerinden sorumluluk duymuyorlar.

Ne yapmalısınız?

Telefonda kiminle konuştuğunuzdan asla %100 emin olamazsınız. Hele ki bu kişi, halka mal olmuş ve ses kayıtları her yerde bulunabilen (röportajlar, konuşmalar) bir kişiyse. Günümüzde böyle olaylara nadiren rastlanıyor, fakat teknoloji geliştikçe bu durum daha sık görülecek.

Talimatları sorgulamadan yerine getirerek siber suçluların istediğini yapıyor olabilirsiniz. Elbette patronun dediğini yapmak normaldir; fakat yöneticilerden gelen tuhaf ya da mantıksız istekleri sorgulamak da kritik önem taşıyor.

Yalnızca çalışanların talimatları körü körüne yerine getirmemesini teşvik etmeyi önerebiliriz. Sebebini açıklamadan talimat vermekten kaçının. Böylece, çalışanların belirli bir sebep gösterilmediğinde sıra dışı bir talimatı sorgulama olasılıkları artar.

Teknik açıdan ise şunları öneriyoruz:

  • Üst düzey çalışanların bile gözetimsiz şirket dışına para gönderemeyeceği net bir fon transeri prosedürü oluşturun. Büyük meblağların transferinin birkaç yönetici tarafından onaylandığında gerçekleştirilebilmesini sağlayın.
  • Çalışanları siber güvenlik esasları konusunda eğitin ve gelen taleplere sağlıklı bir şüphecilikle yaklaşmayı öğretin. Tehdit farkındalığı programımız size bu konuda yardımcı olacaktır.