Sadece geçen yıl ABD’de 187,5 milyon kişi mobil cihazlar üzerinden alışveriş yaptı ve mobil işlemler, e-ticaret satışlarının yarısını oluşturdu. Ancak mobil ticaretin yaygınlaşması, onu siber suçlular için de cazip bir hedef haline getirdi. iOS Face ID ve Android Face Unlock gibi biyometrik kimlik doğrulama yöntemleri uzun süredir mobil güvenliğin temel dayanakları arasında yer alıyor.
Ancak deepfake saldırıları endişe verici bir hızla gelişti. Yapay zekâyla üretilen sesler, videolar ve yüz animasyonları, bu savunmaları aşmak için kullanılıyor; bu da büyük ölçekli kimlik hırsızlıklarına, ödeme dolandırıcılığına ve yetkisiz işlemlere zemin hazırlıyor.
Mobil güvenlik platformu Appdome’un verilerine göre, siber suçlular artık biyometrik kimlik doğrulamasını aşmak için deepfake teknolojisini kullanarak hesapları ele geçiriyor, hassas verilere ulaşıyor ve sahte işlemler gerçekleştiriyor. Bazı finans kurumlarında, saldırılar saatte 10.000 dolarlık zarara neden oluyor. Gerçek zamanlı bir savunma mekanizması olmadan, işletmeler hem finansal kayıplarla hem de itibar zedelenmesiyle karşı karşıya kalıyor.
Biyometrik Güvenlik Tek Başına Yeterli Değil
Birçok kullanıcı, biyometrik doğrulamanın güvenliğine koşulsuz güveniyor; oysa bu sistemler, deepfake manipülasyonlarına karşı son derece savunmasız. Yapay zekâ tabanlı dolandırıcılık yöntemleri geliştikçe, e-ticaret markaları, ödeme platformları ve perakendecilerin tüketici güvenini kaybetmeden önce önlem almaları şart.
Appdome’un Kıdemli Başkan Yardımcısı Brian Reed, bu konuda işletmelere “sürekli geriden gelmek” yerine proaktif davranmaları gerektiğini söylüyor. Ona göre, farklı güvenlik çözümlerini bir araya getirip uyum içinde çalışmasını ummak yerine, yapay zekâ temelli bütüncül güvenlik stratejileri benimsenmeli.
“Mobil ticareti deepfake dolandırıcılığından ve milyonlarca diğer tehditten gerçek anlamda korumanın tek yolu, merkezinde yapay zekâ yer alan bir platform yaklaşımına geçmektir,” diyor Reed, E-Commerce Times’a verdiği demeçte.
Mobil İşlemler Neden Deepfake Tehditlerine Açık?
Reed’e göre, mobil ticaretin kesintisiz bir kullanıcı deneyimi sunabilmesi büyük ölçüde biyometrik doğrulamaya dayanıyor. Face ID, Face Unlock ve sesli doğrulama gibi sistemlerin mobil bankacılık ve alışveriş uygulamalarında standart hale gelmesi, saldırganların bu sistemlerdeki açıkları yıllardır analiz etmesine imkân tanıdı. Artık yapay zekâ destekli deepfake’ler, kullanıcıları taklit ederek hesap ele geçirme ve dolandırıcılığı büyük ölçekte mümkün kılıyor.
Siber suçlular, yüz tanıma, sesli doğrulama ve kimlik tespiti sistemlerini aşmak için yapay olarak üretilmiş videolar, görseller ve ses kayıtları kullanıyor. Sosyal medyadan çalınan fotoğraflarla sahte kimlikler oluşturuluyor; ses klonlama teknolojisi ise telefon bankacılığı sistemlerinde kullanıcıyı taklit ederek yetkisiz erişimi kolaylaştırıyor.
Bu taktikler hem giderek karmaşıklaşıyor hem de daha yaygın hale geliyor. Geleneksel biyometrik güvenlik çözümleri ise bu tehditleri engellemekte yetersiz kalıyor.
Reed, “Tüketicilerin biyometrik güvenliğe dair yanlış algıları, gerçek risklerle güven arasındaki uçurumu büyütüyor. Oysa hiper-gerçekçi taklitler, artık Face ID ve sesli doğrulama gibi sistemleri rahatlıkla atlatabiliyor. Güveni korumak isteyen işletmelerin yapay zekâ destekli deepfake savunmaları, canlılık tespiti ve anti-sahtekârlık teknolojilerini uygulamaları şart,” diyor.
Yapay Zekâ Çağında Güvenlik Politikaları Yeniden Tanımlanmalı
Otonom güvenlik çözümleri, geleneksel sistemlerin aksine, sürekli tetikte olan ve gerçek zamanlı olarak kendini yenileyen bir yaklaşım sunuyor. Yapay zekâ, makine öğrenimi ve geniş ölçekli tehdit istihbaratı sayesinde, deepfake dahil olmak üzere milyonlarca saldırı daha gerçekleşmeden tespit edilip engellenebiliyor. Bu sayede işletmeler, tehditlere tepki vermek yerine onları önceden bertaraf edebiliyor.
Bu tür savunma platformları, güvenlik önlemlerini doğrudan mobil uygulamaların içerisine entegre ediyor. Geliştirme aşamasında uygulamaya yerleştirilen sistemler, cihaz içinde gerçek zamanlı koruma sağlarken, uygulamanın tüm yaşam döngüsü boyunca yeni saldırı türlerine karşı sürekli tetikte kalıyor.
Reed, “Yapay zekâ destekli tehditler durmak bilmiyor, sizin güvenliğiniz de durmamalı. Reaktif güvenlikten çıkıp, mobil uygulamanızın içine doğrudan entegre edilmiş yapay zekâ tabanlı korumaya geçin,” diyor.
Mevcut yasal düzenlemeler, yapay zekâ kaynaklı sahtekârlıklara karşı yetersiz kalıyor. KYC ve PCI-DSS gibi uyumluluk standartları, deepfake tehdidinden önce geliştirildiği için büyük güvenlik açıkları barındırıyor. Siber suçlular ise bu boşluklardan faydalanarak biyometrik doğrulamayı manipüle ediyor ve büyük çaplı dolandırıcılık gerçekleştirebiliyor.
Reed’in uyarısı net: “Sektör, yasa koyucuların harekete geçmesini bekleyemez. Mobil işletmeler, deepfake saldırılarını daha zarar vermeden tespit edebilmek için yapay zekâ tabanlı savunma çözümlerini derhal uygulamaya koymalı.”
Appdome’dan Deepfake’lere Karşı Yeni Güvenlik Araçları
Şubat ayı sonunda Appdome, Hesap Ele Geçirme Koruma (Account Takeover Protection) paketine, Android ve iOS uygulamaları için deepfake tespitine yönelik 30 yeni dinamik savunma eklentisi ekledi. Bu araçlar, Apple Face ID, Google Face Recognition ve üçüncü taraf yüz/ses tanıma hizmetlerinin deepfake saldırılarına karşı daha dayanıklı hale gelmesini sağlıyor.
Intellyx’in baş analisti ve CTO’su Eric Newcomer, “Mobil ekonomi, kullanıcı deneyimini kolaylaştırmak için yüz tanıma ve Face ID gibi sistemlere güveniyor. Ancak saldırganlar bu sistemleri aşmak için sürekli yeni yollar geliştiriyor,” diye belirtiyor.
Appdome’un yaklaşımı, bu tür saldırıları mobil uygulama içinde durdurarak verilerin dış sistemlere ulaşmasını engelliyor ve hesap ele geçirme ile dizin sahtekârlığı gibi tehditlere hızlı bir çözüm sunuyor.
Appdome’a göre deepfake saldırıları, yüz ve ses doğrulama sistemlerini kandırabilecek hiper-gerçekçi replikasyonlar üretiyor. Bazen sanal kameralarla önceden kaydedilmiş ya da canlı video akışları sistemlere enjekte ediliyor. Diğer durumlarda ise görüntü verileri, yüz tanıma sırasında gerçek zamanlı olarak manipüle ediliyor.
Reed, “Bu tür saldırılara karşı güveni sürdürebilmek için, mobil işletmelerin güvenlik altyapılarını yapay zekâ tabanlı deepfake savunmaları, canlılık tespiti ve sahtekârlık önleyici çözümlerle mutlaka güçlendirmesi gerekiyor,” diye vurguluyor.
Appdome CEO’su Tom Tovar ise şu sözlerle tamamlıyor: “Mobil geliştiricilerden Face ID sağlayıcılarına kadar herkes, yapay zekâ ile üretilen deepfake içerikleri tespit etmekte zorlanıyor. Deepfake üretimini durduramayız, ancak bunların mobil uygulamalarda kullanılmasını engellemeyi başardık ve bu yenilikleri tüm geliştiricilerle paylaşıyoruz.”
Mobil İşletmeler Deepfake Tehditleriyle Nasıl Mücadele Etmeli?
Reed, yapay zekâ ile şekillenen sahtekârlık türlerinin giderek daha sofistike hale geldiğini ve tespit edilmelerinin zorlaştığını belirtiyor. Önümüzdeki yıllarda siber suçlular, biyometrik doğrulama, kimlik tespiti ve finansal işlemleri hedef alan gelişmiş saldırılarla e-ticareti tehdit etmeye devam edecek.
Mobil ticaret platformlarının bu tehditlere karşı alabileceği önlemler ise şunlar:
Yapay zekâ temelli deepfake tespit sistemlerini doğrudan mobil uygulamalara entegre etmek
Gerçek zamanlı ve cihaz içi biyometrik doğrulama süreçleri uygulamak
Yeni saldırı vektörlerini sürekli izlemek ve güvenlik önlemlerini güncellemek
Zarar oluşmadan önce yapay zekâ destekli tehditleri tespit edip etkisizleştiren otonom güvenlik çözümleri kullanmak
