Hiçbir köşe ofisin yapay zeka taklidine karşı güvende olmadığını kanıtlayan beş doğrulanmış olay.
Vaka Çalışması 1: $25M Arup Felaketi
Şirket: Arup (Sydney Opera Binası'nın arkasındaki küresel mühendislik firması)
Kayıp: $25,6 milyon
Yöntem: Deepfaked CFO ve personeli ile çok kişili video konferans
Tarih: 2024'ün başları
Güvenlik uzmanları bunu şimdiye kadar gerçekleşmiş en sofistike kurumsal deepfake saldırılarından biri olarak nitelendiriyor. Hong Kong'da bir Arup çalışanı, şirketin İngiltere merkezli CFO'su ve diğer meslektaşlarıyla rutin bir video görüşmesi gibi görünen bir görüşmeye katıldı. Toplantı meşru görünüyordu; katılımcılar tıpkı gerçek yöneticiler gibi görünüyor ve konuşuyorlardı.
Arama sırasında çalışana beş farklı banka hesabına toplam $200 milyon HK tutarında 15 ayrı işlem gerçekleştirmesi talimatı verilmiştir.
Yapay Zeka Dolandırıcılığı Konusunda Bir Daha Asla Endişelenmeyin. TruthScan Sana yardım edebilirim:
- Üretilen yapay zekayı tespit edin görüntüler, metin, ses ve video.
- Kaçının Yapay zeka kaynaklı büyük dolandırıcılık.
- En değerli varlıklarınızı koruyun hassas kurumsal varlıklar.
Çalışan, ancak şirketin merkez ofisiyle görüştükten sonra, görüntülü görüşmedeki her kişinin yapay zeka tarafından oluşturulmuş bir deepfake olduğunu fark etti.
Bu basit bir ses klonu ya da statik bir görüntü değildi. Dolandırıcılar aynı anda birden fazla yöneticinin gerçek zamanlı, etkileşimli bir videosunu oluşturarak kurumsal siber suçlarda yeni bir evrime işaret eden bir karmaşıklık düzeyi yaratmışlardı.
"Dünya genelindeki diğer pek çok işletme gibi bizim faaliyetlerimiz de fatura dolandırıcılığı, kimlik avı dolandırıcılığı, WhatsApp ses sahteciliği ve deepfake gibi düzenli saldırılara maruz kalıyor. Gördüğümüz kadarıyla bu saldırıların sayısı ve karmaşıklığı son aylarda hızla artıyor." Rob Greig, Arup CIO'su
Vaka Çalışması 2: Ferrari'nin $40 Milyon Sorusu
Şirket: Ferrari
Hedef: CEO Benedetto Vigna
Kaybetmeye teşebbüs: Açıklanmadı (söylentilere göre milyonlar)
Yöntem: Güney İtalya aksanlı Deepfake yapay zeka sesi
Tarih: Temmuz 2024
Sonuç: Önlendi
Ferrari yöneticileri WhatsApp üzerinden, CEO'ları Benedetto Vigna'dan gelmiş gibi görünen, profil fotoğrafı ve şirket markasıyla birlikte mesajlar aldı. Mesajlarda yaklaşan büyük bir satın almadan bahsediliyor ve gizli finansal bilgilerin derhal paylaşılması isteniyordu. Takip eden bir aramada deepfake, Vigna'nın Güney İtalya aksanını bile kopyaladı.
Neyse ki, bir yönetici şüphelenmeye başladı ve basit bir soru sordu: "Geçen hafta bana tavsiye ettiğiniz kitabın adı neydi?" Yapay zeka cevap veremeyince, aldatmaca çöktü.
Bazen en sofistike teknoloji en basit insan protokolleri tarafından alt edilebilir. Ferrari'nin kıl payı kurtulması, hem modern deepfake'lerin kalitesini hem de kişisel doğrulama yöntemlerinin gücünü göstermektedir.
Örnek Çalışma 3: WPP'nin Microsoft Teams Tuzağı
Şirket: WPP (Dünyanın en büyük reklam grubu)
Hedef: CEO Mark Read
Yöntem: WhatsApp hesabı + Ses klonu ve YouTube görüntüleri ile Teams toplantısı
Tarih: Mayıs 2024
Sonuç: Önlendi
Siber suçlular WPP CEO'su Mark Read'in kamuya açık fotoğraflarını kullanarak sahte bir WhatsApp hesabı oluşturdular. Daha sonra bu materyali kullanarak başka bir üst düzey yöneticiyle Microsoft Teams toplantısı planladılar ve hesabı kullanarak "yeni bir iş" için acil finansmana ve kişisel bilgilere erişim istediler.
Dolandırıcılar video görüşmesi sırasında Read'in kimliğine bürünmek için ses klonlama teknolojisi ve kaydedilmiş YouTube görüntülerinin bir kombinasyonunu kullandılar.
CEO Mark Read'in Cevabı: "Neyse ki saldırganlar başarılı olamadı. Hepimizin e-postaların ötesine geçerek sanal toplantılar, yapay zeka ve derin sahtekarlıklardan yararlanan tekniklere karşı dikkatli olmamız gerekiyor."
WPP vakası, büyük bir medya varlığına sahip yöneticilerin nasıl daha da savunmasız olduğunu göstermektedir. Bu kişilerin kamuya açık çok sayıda fotoğraf ve videosu, suçlulara deepfake yaratmak için mükemmel bir malzeme sunuyor.
Vaka Çalışması 4: Binance "Yapay Zeka Hologramı" Şeması
Şirket: Binance (Dünyanın en büyük kripto para platformu)
Hedef: Patrick Hillmann, Baş İletişim Sorumlusu
Yöntem: TV röportaj görüntülerini kullanarak video konferans "hologramı"
Tarih: 2022 (erken büyük vaka)
Sonuç: Çok sayıda kripto projesi aldatıldı
Sofistike bilgisayar korsanları, Hillmann'ın TV ve haber programlarından klipler kullanarak 'yapay zeka hologramı' adını verdiği bir şey inşa etti. Deepfake o kadar ikna ediciydi ki Zoom görüşmeleri sırasında birden fazla kripto temsilcisini başarıyla kandırdı.
Suçlular bu teknolojiyi, Binance listeleri arayan proje toplantılarında Hillmann'ı taklit etmek için kullandılar. Bunlar kripto sektöründeki en değerli onaylardan biridir.
Hillmann'a göre, "...COVID sırasında aldığım 15 kilonun belirgin bir şekilde olmaması dışında, bu derin sahte, son derece zeki birkaç kripto topluluğu üyesini kandıracak kadar rafine edildi."
Binance vakası, suçluların basit ses klonlarının ötesine geçerek belirli iş süreçlerini hedef alan sofistike video taklitlerine yöneldiğine dair erken bir uyarı niteliğindeydi.
Örnek Çalışma 5: LastPass'in Şirket İçi Uyandırma Çağrısı
Şirket: LastPass (Siber Güvenlik/Parola Yönetimi)
Hedef: Şirket CEO'su
Yöntem: WhatsApp aramaları, mesajlar ve sesli mesaj taklidi
Tarih: 2024'ün başları
Sonuç: Önlendi
Deepfake dolandırıcıları LastPass'i WhatsApp üzerinden hedef aldılar (aradılar, mesaj attılar ve sesli mesaj bıraktılar) ve inandırıcı bir şekilde şirketin CEO'su gibi davrandılar.
Hedef alınan çalışan birkaç kırmızı bayrak fark etmiştir:
- İletişimler normal çalışma saatleri dışında gerçekleşmiştir;
- Talep olağandışı bir aciliyet taşıyordu (yaygın bir dolandırıcılık taktiği);
- Kanal ve yaklaşım standart şirket iletişim protokollerinden sapmıştır.
Siber güvenlik uzmanları başarılı bir şekilde hedef alınabiliyorsa, her kuruluş savunmasız olduğunu varsaymalıdır.
Vakaların Arkasındaki Desen
Bu doğrulanmış olayların analizi, tutarlı bir suç metodolojisini ortaya koymaktadır:
Yönetici Zafiyet Profili
Araştırmalar, belirli yönetici özelliklerinin deepfake hedefleme riskini artırdığını göstermektedir:
- Önemli medya varlığı (TV röportajları, podcastler, konferanslar)
- Topluluk önünde konuşma görüntüleri internette mevcut
- Mali yetkilendirme yetkisi
- Sınır ötesi ticari faaliyetler
- Yüksek profilli sektör pozisyonları
Coğrafi Sıcak Noktalar:
- Hong Kong (finans merkezi, düzenleyici karmaşıklık)
- Kuzey Amerika (yüksek dijital benimseme, büyük ekonomi)
- Avrupa (GDPR uyumluluğu doğrulama zorlukları yaratıyor)
İnsan Faktörü
Tüm teknolojik gelişmişliğe rağmen, birçok saldırı hala temel insan psikolojisine dayanmaktadır:
- Otorite önyargısı (algılanan üstlerden gelen emirler)
- Aciliyet baskısı (yapay zaman kısıtlamaları)
- Gizlilik itirazları (özel erişim, içeriden bilgi)
- Sosyal kanıt (birden fazla "meslektaş" mevcut)
Bu saldırılardan kurtulan yöneticilerin ortak özellikleri: sağlıklı şüphecilik, doğrulama protokolleri ve potansiyel tehditler hakkında ekip iletişimi.
Ferrari örneğinin de kanıtladığı gibi, bazen basit bir soru milyon dolarlık teknolojiyi alt edebilir.
Referanslar
CNN (4 Şubat 2024) - "Finans çalışanı, deepfake 'finans müdürü' ile yaptığı görüntülü görüşmenin ardından $25 milyon ödedi"
Fortune (17 Mayıs 2024) - "Bir deepfake 'CFO' Sydney Opera Binası'nın arkasındaki İngiliz tasarım firmasını $25 milyon dolandırıcılıkla kandırdı"
The Guardian - Rob Greig Arup saldırıları hakkında alıntı
MIT Sloan Management Review (27 Ocak 2025) - "Ferrari Deepfake CEO'sunu Nasıl Frene Bastı?"
The Guardian (Mayıs 2024) - WPP CEO'su Mark Read deepfake girişimi
Incode Blog (20 Aralık 2024) - "2024'ten İtibaren Yapay Zeka Deepfake Dolandırıcılığının En İyi 5 Vakası Ortaya Çıktı"
Binance Blog - Patrick Hillmann'dan "Dolandırıcılar Şüphelenmedikleri Projeleri Dolandırmak İçin Benim Yapay Zeka Hologramımı Yarattı"
Euronews (24 Ağustos 2022) - "Binance yöneticisi, dolandırıcıların kendisinin deepfake 'hologramını' oluşturduğunu söyledi"
Eftsure ABD - "7 Deepfake Saldırısı Örneği: Deepfake CEO dolandırıcılığı" - LastPass vakası