Siber Suçlular Ses Dalgalarını Nasıl Silahlaştırıyor?

Siber suçlular, karmaşık siber saldırıları başlatmak, desteklemek veya yönlendirmek için sesi silah haline getiriyor. Birçoğu insanlar tarafından tamamen algılanamaz, bu da onları tahmin etmeyi ve tespit etmeyi zorlaştırır. Ortalama bir insan bu saldırılara karşı kendini nasıl savunabilir?

Saldırganlar Neden Ses Dalgalarını Silahlandırıyor?

Kötü aktörler, arka kapılar oluşturmak veya güvenlik açıklarından yararlanmak için kötü amaçlı ses dosyalarını çalabilir veya çeşitli şekillerde bir cihazın hoparlörünü ele geçirebilir. Bir ağa veya cihaza sızdıklarında kurbanın konumuna, kişisel bilgilerine ve oturum açma kimlik bilgilerine erişebilirler. Çoğu, bu ayrıntıları karanlık ağda en yüksek teklifi verene satacak.

Diğer saldırganlar kurumsal casusluk yaptıkları, kin besledikleri veya yeteneklerini test etmek istedikleri için zarar vermeye çalışırlar. Bazı akustik dalgalar depolama sistemlerine zarar verebilir. Örneğin, sabit disk sürücüleri suya daldırıldığında, 300 Hertz ile 1.300 Hertz arasında değişen frekanslar, %100'e kadar veri paketi kaybı ve uygulama çöküyor.

Bu siber saldırılardan birkaçı, siber suçluların internete bağlı cihazları uzaktan tetiklemesine veya manipüle etmesine olanak tanıyor. Örneğin, ev sahibi uzaktayken sesli asistanı akıllı kilidi açmaya zorlayabilir ve böylece fark edilmeden içeri girmelerine olanak tanıyabilirler. Bu tür bariz planlar nadir olsa da imkansız değiller.

Sesle ilgili belgelenmiş siber saldırılar nispeten nadir olabilir çünkü bunları tespit etmek ve bunlara karşı savunma yapmak zordur. Genellikle düşük frekanslı ses dalgaları düzenlenmesi en zor olanlardır çünkü özellikle uzun ve güçlüler. Ancak yüksek frekanslar da aynı derecede endişe vericidir çünkü duyulamazlar ve fiziksel zarara neden olabilirler.

Sesle İlgili Siber Saldırı Türleri

Akıllı bir hoparlörü silahlandırmak için hacklemek, sesle ilgili en basit siber saldırılardan biridir. Saldırganlar arka kapı oluşturmak için güvenlik açıklarından yararlanabilirler. Alternatif olarak, savunmasız cihazlar için Wi-Fi ve Bluetooth ağlarını tarayabilirler. İçeri girdikten sonra duyulamayan, yüksek frekanslı sesleri tetikleyerek işitme kaybına, mide bulantısına, baş ağrısına veya baş dönmesine neden olabilirler.

Saldırıyı başlatmak için kullandıkları hoparlör, özel bir kötü amaçlı komut dosyası enjekte etmeleri durumunda yüksek frekanslı bir ton üretecek ve güvenli ses seviyesini aşacaktır ki bunu yapmak sinir bozucu derecede kolaydır. Ancak uzun süreli kullanım, donanımın amacına uygun tasarlanmaması nedeniyle onarılamaz hasarlara neden olacaktır. Cihazın çalışmaz hale gelmesi, sahibi için kötü ama gürültüden etkilenen herkes için harikadır.

Ne yazık ki, kötü aktörler bu duyulamayan tonlar için birden fazla kullanım alanı bulmuştur. Ultrasona yakın duyulamayan bir truva atı saldırısı, sesli asistanlara sessizce ve kötü niyetli bir şekilde komut vermek için insanlar tarafından algılanamayan ancak hoparlörler, mikrofonlar ve sensörler tarafından kolayca gönderilip alınan ultrasonik dalgaları kullanır.

Birisi, bağlı bir hoparlör aracılığıyla ultrasonik taşıyıcı sinyali ileterek saldırıyı başlatabilir. Komut uzunluğu 0,77 saniyeyi aşamaz , sesli asistanı ses seviyesini azaltması için yönlendirebilirler, böylece müdahaleleri ihtiyaç duydukları sürece tespit edilmez. Kötü amaçlı bir web sitesi açmaya, kullanıcıyı gözetlemeye veya mikrofona aşırı yükleme yapmaya zorlayabilirler.

Bu tür siber saldırıları duyan kişiler, ses tanımayı kurdukları için güvende olduklarını düşünebilirler. Ne yazık ki, uyandırma sözcüğü sesli asistanı etkinleştirdiğinde, herkesin emrini dinleyeceğiz kullanıcının sesiyle eşleşip eşleşmediğine bakılmaksızın. Ayrıca kararlı saldırganlar, kimlik doğrulama mekanizmalarını atlatmak için açıklardan yararlanma veya ses ekleme işlemlerini kullanabilir.

Sesle ilgili bu siber saldırılar, jiroskopları veya ivmeölçerleri devre dışı bırakmak veya kurcalamak için çevresel uyaranları bile taklit edebilir. Kötü amaçlı bir ses dosyasının bir telefona veya giyilebilir Nesnelerin İnterneti'ne yeterince yakın bir yerde oynatılması, cihazın çalışmasının durmasına veya beklenmedik şekilde davranmasına neden olabilir. Bu saldırı zararsız görünebilir ancak tıbbi implantları veya güvenlik sistemlerini etkileyebilir.

Yapay Zeka Destekli Sesle İlgili Siber Saldırılar

Yapay zekanın ortaya çıkışı, sesle ilgili çeşitli yeni siber saldırıların kapısını açtı. Deepfakes (sentetik görüntüler, videolar veya ses kayıtları) hızla en yaygın olanı haline geliyor. Aslında bunlar Dolandırıcılık girişimleri %3.000 arttı 2022'den 2023'e kadar bunun nedeni büyük ölçüde gelişmiş yapay zekanın daha erişilebilir hale gelmesiydi.

Bu deepfake'leri oluşturmak endişe verici derecede kolaydır. İle bir dakika kadar kısa bir sürede Kötü aktörler, sosyal medyadan, telefon görüşmelerinden veya ortadaki adam saldırılarından gelebilecek ses sayesinde gerçekçi bir ses dosyası oluşturabilir. Bu şekilde bireylerin kimliğine bürünebilir, biyometrik güvenlik önlemlerini atlayabilir veya dolandırıcılık yapabilirler.

Ne yazık ki ses ile ilgili biyometrik siber saldırıların manipüle edebileceği tek şey ses değildir. Bir araştırma grubu yakın zamanda, parmak izi deseni özelliklerini çıkarmak için kaydırma eylemlerinin yarattığı duyulabilir sürtünmeyi kullanan bir tanımlama sistemi geliştirdi. Bir cihazın hoparlörü aracılığıyla dinleyebilir veya programlarını bir uygulamanın arka planında başlatabilirler.

Siber suçlular ham dosyayı işlemek ve temizlemek için bir dizi algoritma kullanıp gereksiz gürültüyü ortadan kaldırdığında sistemleri oldukça etkili olur. Araştırmacılara göre, gerçek dünya senaryosunda ağırlıklı bir hedef elde edebilirler. saldırı başarı oranı %27,9 kısmi parmak izleri için ortalama %33-%37,7 arasındadır.

Yapay zeka aynı zamanda insanların tam olarak ne yazdıklarını anlamak için klavyenin yaptığı sesli geri bildirimleri de takip edebiliyor ve potansiyel olarak onların alışkanlıklarını, kişisel bilgilerini ve şifrelerini açığa çıkarabiliyor. Bir araştırma grubu, tuş vuruşlarını yakalamak ve sınıflandırmak için gelişmiş bir derin öğrenme modeli kullandı ve bu taktiğin etkinliğini gösterdi.

Ele geçirilen bir akıllı telefon mikrofonunu kullanarak, araştırmacılar %95 doğruluk elde etti ortalamada. Bir video görüşmesi sırasında ses yakalarken doğrulukları %93 oldu; bu da tuş vuruşlarını çözmek için kurbanlarının yakınında olmalarına gerek olmadığını vurguluyor. Ne yazık ki, bu yan kanal saldırısı kullanıma hazır ekipmanlardan yararlanıyor, bu da düşük seviyeli bilgisayar korsanlarının bile erişebileceği anlamına geliyor.

Bu Akustik Saldırılara Karşı Nasıl Savunma Yapılır?

Sesle ilgili siber saldırıların çoğu duyulamayan ipuçlarından yararlanır veya her seferinde yalnızca birkaç milisaniye sürer; bu da bunların tespit edilmesini ve bunlara yanıt verilmesini zorlaştırır. Bununla birlikte, onlara karşı savunma yapmak doğru stratejilerle hâlâ mümkün ve etkilidir.

1. Ses Geçirmez Hassas Elektronikler

Bir odayı ses geçirmez hale getirmek veya sesi dışarıya doğru yönlendirmek için özel paneller kullanmak, elektronik cihazları kötü niyetli dış uyaranlardan koruyabilir. Bu sayede akıllı cihazlar yakındaki saldırıya uğramış hoparlörlerden etkilenmeyecektir.

2. Ses Girişi ve Çıkışını Devre Dışı Bırakın

Kullanılmadıklarında mikrofonları, sensörleri, sesli asistanları ve hoparlörleri devre dışı bırakmak, kötü niyetli kişilerin bunları kötü niyetli amaçlarla ele geçirmesini engelleyebilir. Özellikler kapatılamıyorsa kullanıcılar, yetkisiz müdahaleleri önlemek için katı erişim izinleri ayarlamayı düşünmelidir.

3. Cihazları Güncel Tutun

Uygulamalar, akıllı cihazlar, telefonlar ve hoparlörler, güncellemeler arasında ne kadar uzun süre kalırsa, bilgisayar korsanlığına karşı giderek daha savunmasız hale geliyor. Saldırganların bilinen güvenlik açıklarından yararlanmasını veya arka kapılar oluşturmasını önlemek için bireyler her şeyi güncel tuttuklarından emin olmalıdır.

4. Kimlik Doğrulama Kontrollerini Kullanın

Hiçbir tespit aracı %100 doğru değildir. Robotik bir tonu veya hafif duyulabilir tutarsızlıkları dinlemek, insanların deepfake'leri tanımlamasına yardımcı olabilir, ancak bu da her zaman doğru değildir. Bunun yerine, yetkisiz erişimi önlemek için ses tabanlı olmayan kimlik doğrulama kontrollerini kullanmaları gerekir.

Bu Siber Saldırıları Önlemek İçin Kulaklarınızı Açık Tutun

Akustik saldırılar nadir olmasına rağmen yapay zekanın ortaya çıkışı onları daha yaygın hale getirebilir. Kötü niyetli kişilerin elektronik cihazlarını kötü niyetli amaçlarla ele geçirmesini önlemek için insanlar mikrofonlarını, hoparlörlerini ve sese duyarlı sensörlerini izlemelidir.