Deepfake CFO: 25 Milyon Dolarlık Görüntülü Arama Dolandırıcılığı

Özet: Eskiden "gözümle görmeden inanmam" derdik. Yapay zeka bu kuralı öldürdü. Bu makale Hong Kong'daki 25 milyon dolarlık Deepfake soygununu analiz ediyor ve kripto ekipleri için yeni bir 'İnsanlık Kanıtı' (Proof-of-Humanity) protokolü oluşturuyor.

Sorumluluk Reddi: Bu makale eğitim amaçlı olarak 2024 Arup Hong Kong davasına atıfta bulunmaktadır.

---

---

1. Soygun: Sahtelerle Dolu Bir Oda

2024'ün başlarında, çok uluslu bir şirketin Hong Kong şubesindeki bir finans çalışanı, Mali İşler Müdüründen (CFO) bir mesaj aldı: Gizli bir satın alma işlemi için 25 milyon dolar gönderin.

Çalışan şüphelendi. Bu devasa bir paraydı.

Bu yüzden görüntülü arama talep etti.

Arama:

Çalışan Zoom'a katıldı. CFO'yu gördü. Bildiği diğer meslektaşlarını gördü. Gerçek görünüyorlardı. Sesleri gerçek gibiydi. Anlaşmayı tartıştılar.

Çalışan parayı transfer etti.

Sürpriz:

Kurban hariç aramadaki herkes AI Deepfake idi. Dolandırıcılar, yöneticileri gerçek zamanlı olarak taklit etmek için halka açık video görüntülerini kullanarak modelleri eğitmişti.

2. Kriptoda Ses Klonlama Neden Tehlikeli?

Kriptoda, büyük OTC anlaşmaları veya Multisig imzaları için genellikle "Sesli Doğrulama"ya (Voice Confirmation) güveniriz.

ElevenLabs gibi araçlar, sadece 30 saniyelik bir ses dosyasından ses klonlayabilir.

• Senaryo: Kurucu ortağınızdan Telegram üzerinden bir Sesli Not alırsınız: "Hey dostum, Ledger'ımı kaybettim. Fonları yedek cüzdana taşımak için multisig yapabilir misin?"
• Sesi tam onun gibidir. Tonlaması, argo kullanımı aynıdır.
• İmzalarsınız. Ve biter.

3. "Teki̇nsi̇z Vadi"yi (Uncanny Valley) Aşmak

Modern Gerçek Zamanlı Deepfake'ler (Hong Kong vakası gibi) şunları başarabilir:

• Dudak senkronizasyonu (sese uygun ağız hareketi)
• Baş hareketi ve göz kırpma
• Aydınlatma değişiklikleri

Artık görsel "hatalara" (glitch) güvenemezsiniz. Teknoloji çok hızlı ilerliyor.

4. Çözüm: Meydan Okuma Protokolü (Challenge Protocol)

Gözlerinize veya kulaklarınıza güvenemiyorsanız, Mantığa ve Kriptografiye güvenmelisiniz.

"Fiziksel Meydan Okuma"

Yapay zeka hala karmaşık, spesifik fiziksel reaksiyonları gerçek zamanlı olarak yapmakta zorlanıyor.

Arama sırasında şüphelenirseniz, diğer kişiden şunu isteyin:

1. “Başını tamamen sola çevir ve sağ kulağına dokun.”
2. “Elini yavaşça yüzünün önünden geçir.” (Bu genellikle AI maske filtresini bozar).

"Bant Dışı" (Out-of-Band) Doğrulama

Talebi aldığınız kanaldan doğrulama yapmayın.

• Talep Zoom üzerinden geldiyse, Signal üzerinden mesajlaşarak doğrulayın.
• Telegram üzerinden geldiyse, Telefonla Arayın.

Not: Telefon aramaları da SIM Swap ile ele geçirilebilir. Aramaya güvenmeden önce SMS'i Öldürdüğünüzden ve Donanım Anahtarı kullandığınızdan emin olun.

"Güvenlik Kelimesi" (Safe Word)

Kurucu ortaklarınız ve ailenizle bir "Zorlama Kodu" veya "Güvenlik Kelimesi" belirleyin.

Bu, normal konuşmada asla kullanmayacağınız bir kelimedir. Para isteyen Sesli Not bu kelimeyi içermiyorsa - sahtedir.

Sonuç

"Dijital Güven" çağı sona erdi. Sıfır Güven (Zero Trust) çağındayız. İster 25 milyon dolarlık kurumsal transfer, ister 5.000 dolarlık kripto takası olsun; İşlemi yapmadan önce Kişiyi doğrulayın.