Biyometrik Güvenliğe Yönelik Deepfake Risklerine Çözümler

Yakın zamanda bir Hong Kong bankası, bir banka çalışanının, bankanın CFO’su ve diğer meslektaşlarıyla yaptığı görüntülü görüşmenin ardından kandırılarak 25,6 milyon doları hırsızlara aktarması için kandırıldığı bir kimliğe bürünme dolandırıcılığının kurbanı oldu. Ancak hiçbiri gerçek insan değildi; hepsi yapay zekanın yardımıyla yaratılmış deepfakelerdi.

Bu olay, siber suçluların insanları kandırmak ve dolandırıcılık yapmak için deepfake’leri nasıl kullanabileceğini gösteriyor. Bu aynı zamanda deepfake’lerin biyometrik kimlik doğrulama sistemlerine yönelik oluşturduğu tehditlere ilişkin endişeleri de artırıyor.

Kimlik doğrulama ve dijital sistemlere erişim için biyometrik işaretleyicilerin kullanımı son on yılda büyük bir artış gösterdi ve 2030’a kadar yıllık %20’den fazla artması bekleniyor. Ancak siber güvenlikteki her ilerleme gibi, kötü adamlar da geride değil.

Dijital olarak örneklenebilen her şey, gönderenin stilini ve sözdizimini taklit edecek bir görüntü, video, ses ve hatta metin gibi deepfake edilebilir. Yaygın olarak bulunabilen yarım düzine araçtan herhangi biriyle ve YouTube videoları gibi bir eğitim veri kümesiyle donatılmış bir amatör bile ikna edici deepfake’ler üretebilir.

Kimlik doğrulamaya yönelik Deepfake saldırıları, sunum ve enjeksiyon saldırıları olarak bilinen iki çeşittir.

Sunum saldırıları, kimlik doğrulama için bir kameraya veya sensöre sahte bir görüntü, işleme veya video sunmayı içerir. Bazı örnekler şunları içerir:

Baskı saldırıları

• 2D görüntü
• Gözleri kesilmiş 2 boyutlu kağıt maske
• Akıllı telefonda görüntülenen fotoğraf
• 3D katmanlı maske
• Meşru kullanıcının yakalanan videosunun yeniden oynatılması saldırısı

Deepfake saldırıları

• Yüz değiştirme
• Dudak senkronizasyonu
• Ses klonlama
• Jest/ifade aktarımı
• Konuşma metni

Enjeksiyon saldırıları, iyi bilinen ortadaki adam (MITM) saldırılarına benzer şekilde, kamera veya tarayıcı ile kimlik doğrulama sistemi arasındaki veri akışının veya iletişim kanalının manipüle edilmesini içerir.

Açık bir cihaza erişimi olan bir siber suçlu, uygulama testi amaçlı otomatik yazılım kullanarak, kimlik doğrulama sürecine geçen bir parmak izi veya yüz kimliğini enjekte edebilir, güvenlik önlemlerini atlayabilir ve çevrimiçi hizmetlere yetkisiz erişim elde edebilir. Örnekler şunları içerir:

• Sentetik medya yükleme
• Sanal bir cihaz (örn. kameralar) aracılığıyla medya akışı
• Bir web tarayıcısı ile sunucu arasında veriyi değiştirmek (yani ortadaki adam)

Deepfake’lere Karşı Savunma

Çeşitli karşı önlemler bu saldırılara karşı koruma sağlar ve genellikle biyometrik işaretleyicinin gerçek, canlı bir kişiden gelip gelmediğini belirlemeye odaklanır.

Canlılık testi teknikleri arasında yüz eşleşmesini doğrulamak için yüz hareketlerinin analiz edilmesi veya 3 boyutlu derinlik bilgilerinin doğrulanması, irisin hareketinin ve dokusunun incelenmesi (optik), elektronik uyarıların algılanması (kapasitif) ve cilt yüzeyinin altındaki parmak izinin doğrulanması (ultrasonik) yer alır.

Bu yaklaşım, birçok deepfake türüne karşı ilk savunma hattıdır ancak kullanıcının katılımını gerektirdiğinden kullanıcı deneyimini etkileyebilir. İki tür canlılık kontrolü vardır:

• Pasif koruma kullanıcıların kimliklerini doğrulamasını gerektirmeden arka planda çalışır. Sürtünme yaratmayabilir ancak daha az koruma sağlar.
• Aktif yöntemlerKullanıcıların canlı olduğunu doğrulamak için gülümsemek veya konuşmak gibi gerçek zamanlı bir eylem gerçekleştirmesini gerektiren , kullanıcı deneyimini değiştirirken daha fazla güvenlik sunar.

Bu yeni tehditlere yanıt olarak kuruluşların, aktif canlılık testinde hangi varlıkların daha yüksek güvenlik düzeyi gerektirdiğine ve ne zaman gerekmediğine öncelik vermesi gerekir. Günümüzde pek çok düzenleme ve uyumluluk standardı, canlılık tespitini gerektiriyor ve Hong Kong banka dolandırıcılığı gibi daha fazla olay gün ışığına çıktıkça, gelecekte çok daha fazlası da bunu gerektirebilir.

Deepfake’lere Karşı En İyi Uygulamalar

Deepfake’lerle etkili bir şekilde mücadele etmek için hem aktif hem de pasif canlılık kontrollerini içeren çok katmanlı bir yaklaşım gereklidir. Aktif canlılık, kullanıcının rastgele ifadeler gerçekleştirmesini gerektirirken pasif canlılık, kullanıcının doğrudan katılımı olmadan çalışarak sağlam doğrulama sağlar.

Ayrıca sunum saldırılarını önlemek ve enjeksiyon saldırılarında kullanılan cihaz manipülasyonuna karşı koruma sağlamak için gerçek derinlikli kamera işlevselliğine ihtiyaç vardır. Son olarak kuruluşlar, derin sahtekarlıklara karşı korunmak için aşağıdaki en iyi uygulamaları dikkate almalıdır:

• Kimlik Sahtekarlığına Karşı Algoritmalar: Gerçek biyometrik veriler ile sahte veriler arasında ayrım yapan ve bunları tespit eden algoritmalar, sahte verileri yakalayabilir ve kimliği doğrulayabilir. Biyometrik işaretleyicinin gerçekliğini belirlemek için doku, sıcaklık, renk, hareket ve veri enjeksiyonları gibi faktörleri analiz edebilirler. Örneğin, Intel’in FakeCatcher’ı Bir videonun gerçek mi yoksa sahte mi olduğunu belirlemek için, yüzdeki kan akışındaki değişiklikleri gösteren videonun piksellerindeki ince değişiklikleri arar.

• Veri şifreleme: Yetkisiz erişimi önlemek için biyometrik verilerin iletim ve depolama sırasında şifrelendiğinden emin olun. Sıkı erişim kontrolleri ve şifreleme protokolleri, bir kimliğin geçerliliğini tehlikeye atabilecek ortadaki adam ve protokol enjeksiyonlarının önüne geçebilir.
• Uyarlanabilir Kimlik Doğrulama: Bir isteğin veya işlemin risk düzeyine göre kimlik doğrulama veya yeniden kimlik doğrulama yöntemlerini uygun şekilde sunmak amacıyla ağlar, cihazlar, uygulamalar ve bağlam gibi faktörlere dayalı olarak kullanıcı kimliğini doğrulamak için ek sinyaller kullanın.

• Çok Katmanlı Savunma: Bir kullanıcının kimliğini doğrulamak için videoların/fotoğrafların statik veya akış analizine güvenmek, kötü aktörlerin mevcut savunma mekanizmalarını atlatmasına neden olabilir. Yüksek riskli işlemleri (örn. nakit banka havaleleri) doğrulanmış, dijital olarak imzalanmış bir kimlik bilgisi ile güçlendirerek, hassas operasyonlar yeniden kullanılabilir bir dijital kimlikle korunabilir. Bu yaklaşımla, video görüşmelerine “Bu kişi bağımsız olarak doğrulandı” ifadesini içeren yeşil bir onay işareti eklenebilir.

Kimlik Yönetim Sistemlerinin Güçlendirilmesi

Parolaları biyometrik kimlik doğrulamayla değiştirmenin, işlem riskini, dolandırıcılığı önlemeyi ve kimlik sahtekarlığı saldırılarını ele alan kapsamlı bir kimlik ve erişim yönetimi stratejisinin parçası olmadığı sürece, kimlik saldırılarına karşı kusursuz bir savunma olmadığını unutmamak önemlidir.

Deepfake teknolojilerinin oluşturduğu karmaşık tehditlere etkili bir şekilde karşı koymak için kuruluşların kimlik ve erişim yönetimi sistemlerini tespit ve şifreleme teknolojilerindeki en son gelişmelerle geliştirmeleri gerekiyor. Bu proaktif yaklaşım yalnızca biyometrik sistemlerin güvenliğini güçlendirmekle kalmayacak, aynı zamanda dijital altyapıların ortaya çıkan siber tehditlere karşı genel dayanıklılığını da artıracak.

Bu stratejilere öncelik vermek, kimlik hırsızlığına karşı korunmak ve biyometrik kimlik doğrulamanın uzun vadeli güvenilirliğini sağlamak açısından önemli olacaktır.