Dolandırıcılar ve Visa arasındaki yapay zeka yarışı

Visa'nın Virginia'daki Siber Füzyon Merkezi o kadar güvenli ki, kredi kartı ağının San Francisco merkezli küresel dolandırıcılık hizmetleri başkanı Michael Jabbara bile kapılardan geçmekte zorlanıyor. Yanında bir Forbes muhabiri ile Jabbara yaka kartını sensöre okutsa da kapı açılmıyor. Sonunda sahadaki güvenlik ekibinin yardımıyla iki kapıdan da geçiyor. İkinci kapıda kimlik kartının yanı sıra parmak izi de gerekiyor. Siber Füzyon Merkezi, 42 dönümlük bir kampüsün kalbinde yer alıyor. 

Füzyon Merkezi'nin içinde analistler, Visa'nın 2024 yılında 15,9 trilyon dolar değerinde 310 milyar adet işleminin dünya çapında ne kadar sorunsuz bir şekilde işlendiğini ve şüpheli faaliyetlerin nerede yüksek olduğunu yansıtan çeşitli verileri gösteren büyük bir ekranı izliyorlar. Jabbara, “Şüpheli saldırıların çoğu otomatik bir şekilde ele alınıyor ancak insan müdahalesine neden olan bazı olaylar var ve bunlar tutarlı bir oyun kitabı aracılığıyla işleniyor” dedi.

Kimlik kartı artık çalışır durumda olan Jabbara, başka bir dizi güvenli kapıdan geçerek büyük bir ekranda daha fazla grafik ve listenin yanı sıra bir haber akışının gösterildiği Durum Odası'na gidiyor. Bu odada çalışanlar, Visa'nın müşterilerine, yani dünyanın en büyük kredi kartı ağının bir parçası olan 200'den fazla ülkedeki 14 bin 500 finans kuruluşuna yönelik tehditleri izliyor. Jabbara, dolandırıcıların satıcıları hesap numarası, son kullanma tarihi ve üç haneli CVV kodu bulmak için binlerce deneme ile bombardımana tuttuğu devam eden bir saldırıyı gösteren bir grafiğe işaret ediyor. CVV kodunun birlikte çalışacağını gösteriyor. “Amacımız, yıkıcı kayıplara veya tüketici güveninde kayba yol açabilecek büyük ölçekli saldırıları tespit ettiğimizden emin olmak” diyor.

Durum Odası'nın içinde bir başka Visa biriminin bulunduğu daha küçük bir konferans odası daha var; buradaki çalışanlar Visa'nın kendi ağ operasyonlarının siber güvenliğini izliyor. Jabbara, “Gerçekten faydasını gördüğümüz şeylerden biri de siber ve dolandırıcılık arasındaki bu yakın işbirliği. Çünkü tehditler ortaktır, aktörler ortaktır” sözleriyle işleyişi anlatıyor. Jabbara, dolandırıcılık halkaları daha sofistike hale geldikçe ve ulus devletler siber saldırıların yanı sıra dolandırıcılığa da daha fazla dahil oldukça bunun özellikle doğru olduğunu söylüyor.

11 milyar dolar yatırım

Virginia'da sabahın geç saatleri ancak hava karardığında bu merkez boşalacak ve Visa'nın Londra, Bangalore ve Singapur'daki güvenlik merkezleri daha fazla faaliyetle ilgilenecek. Visa'nın şu anda dünya çapında risk ve güvenliğe adanmış 1.000'den fazla çalışanı var ve son beş yılda dolandırıcılıkla mücadele teknolojisine 11 milyar dolar yatırım yaptığını söylüyor. Aynı zamanda, geliştirmek zorunda olduğu dolandırıcılıkla mücadele uzmanlığını satan bir yan iş kuruyor. Visa'nın 2024'teki 35,9 milyar dolarlık gelirinin yaklaşık 1,5 milyar doları risk ve güvenlik hizmetlerinin satışından geldi.

Dolandırıcılık girişimleri yüzde 85 arttı

Hem dolandırıcılık hem de dolandırıcılıkla mücadele büyük işler ve yapay zeka her iki tarafta da giderek daha fazla büyüme sağlıyor. Geçen kasım ayında Siber Pazartesi sırasında Visa, dolandırıcılık girişimlerinde yıldan yıla yüzde 85'lik bir artış olduğunu açıkladı. Şirket bu artışları büyük ölçüde yapay zekaya bağlıyor.

TransUnion'ın küresel dolandırıcılık başkanı Steve Yin, girişimler kelimesinin önemli olduğunu, çünkü çoğunun engellendiğini belirtiyor. TransUnion, 2024'ün ilk yarısında tüm dijital işlem girişimlerinin yüzde 5,2'sinin dolandırıcılık şüphesi içerdiğini ve bunların büyük çoğunluğunun engellendiğini tahmin ediyor.

Yine de başarılı dolandırıcılığın maliyeti, girişimlerden çok daha yavaş bir hızda da olsa artıyor. Juniper Research, dünya çapındaki e-ticaret dolandırıcılarının 2024 yılında 44 milyar doları ele geçirdiğini ve 2029 yılına kadar 107 milyar doları hortumlayacağını tahmin ediyor. Juniper'in fintech pazar araştırması başkan yardımcısı Nick Maynard, “Bu sürekli bir silahlanma yarışı” dedi.

İki taraf da yapay zekadan yararlanıyor

Dolandırıcılar tarafında ise yapay zeka, çeşitli şekillerde daha fazla saldırmalarına yardımcı oluyor. Diğer şeylerin yanı sıra, derin sahtekarlıklar yoluyla insanları taklit edebilirler; sistemlerdeki güvenlik açıklarını bulmak için toplu saldırılar başlatabilirler; web sitelerinde gezinmek ve bilgi almak için botları kullanabilirler; ve insanları hassas bilgileri vermeye yönlendiren daha inandırıcı e-postalar oluşturabilirler.

Koruyucular da aynı şekilde yapay zekaya bağımlı. Visa Bilgi Güvenliği Şefi Subra Kumaraswarmy, Visa'nın şu anda 300'den fazla kaynaktan istihbarat toplayan ve analiz eden 115 farklı siber güvenlik aracı kullandığını bildiriyor. Şirket, davranış analizi platformu ve tehdit istihbaratı füzyon platformu da dahil olmak üzere bu araçlardan bazılarını kendisi inşa etti. Ayrıca Microsoft, Thales, IBM, Zscaler, Cloudflare, Checkpoint ve Palo Alto Networks gibi siber güvenlik aracı satıcılarıyla da çalışıyor.

Şirketler aynı anda çok sayıda farklı dolandırıcılıkla mücadele aracı kullandığından ve her zaman mücadele edilecek yeni varyantlar olduğundan, dolandırıcılıkla mücadele işi fintech girişimleri için de verimli bir zemin oluşturuyor. Forbes 2025 Fintech 50 listesinde yer alan beş şirketin (Alloy, DataVisor, Persona, SentiLink ve Zip) işletmelerin finansal dolandırıcılığı önlemesine yardımcı olması ve her birinin kendi uzmanlık alanına sahip olması dikkat çekici.

Mastercard da yatırımlarını artırdı

Dolandırıcılığı sadece bir tehdit değil, aynı zamanda bir iş fırsatı olarak gören tek büyük kredi kartı ağı Visa değil. Aralık ayında, ikinci ağ olan Mastercard, 50 ülkede 1.900 müşterisi ve yıllık 300 milyon dolar geliri olan yapay zeka ağırlıklı bir siber güvenlik şirketi olan Recorded Future'ı 2,65 milyar dolara satın aldı. Geçen yıl, bu anlaşma duyurulmadan önce Mastercard, Recorded Future ile bir kredi kartının ele geçirilme olasılığı olduğunda bankaları daha hızlı bir şekilde uyarmayı amaçlayan bir hizmet başlattı. Ortaklığın, tespit edilen potansiyel olarak ele geçirilmiş kart sayısını iki katına çıkardığı belirtiliyor. Mastercard 2024 yılındaki 28 milyar dolarlık gelirinin ne kadarının güvenlik hizmetleri satışından geldiğini açıklamıyor.

Siber ve istihbarat çözümlerinden sorumlu başkan yardımcısı Ranjita Iyer, Mastercard'ın kendi ağı içinde on yıldan uzun bir süredir dolandırıcılığı durdurmak için yapay zekayı kullandığını belirtiyor. Visa gibi, şüpheli faaliyetleri tespit etmek için yapay zekayı kullanarak tüm ağındaki işlemleri izliyor. Son zamanlarda, belirli bir zamanda bireysel bir tüccarın işinin nasıl görünmesi gerektiğini tahmin etmek için üretken yapay zeka kullanmaya başladığını söylüyor. Bu, gerçek modellerin öngörülenden farklı olması durumunda satıcıları uyarmasına olanak tanıyor, bu da olası bir dolandırıcılık uyarısı.

Mastercard geçen yıl bankalara, her bir işlem için satın alma, satıcı, kart sahibi ve diğer faktörlere dayalı olarak gerçek zamanlı (50 milisaniyeden az) bir risk puanı analiz etmek ve üretmek için yapay zeka kullanan yükseltilmiş bir Decision Intelligence Pro sistemi satmaya başladı. Bu sistemin sadece daha fazla sahtekarlığı tespit etmekle kalmayıp daha az yanlış pozitif üreteceği ve böylece daha az meşru işlemin engelleneceği söyleniyor.

En zayıf halka: Tüketiciler

Dolandırıcılıkla mücadele eden tüm yapay zeka tabanlı sistemlere rağmen, insan davranışı dolandırıcılığın etkinleştirilmesi ve durdurulmasında hala kilit bir rol oynuyor. Visa’dan Jabbara, “Eğer verileri güvence altına alıyorsanız, eğer altyapıyı güvence altına alıyorsanız, en zayıf halka nedir? Tüketicidir. Tüketicilerin güvenlik konusunda daha bilinçli olmalarını sağlamak için onlara gönderebileceğimiz bir yama yok. Bu yüzden sosyal mühendislik saldırılarının, kimlik avı dolandırıcılığının, phishing'in, tüm bunların muazzam bir şekilde çoğaldığını görüyorsunuz” dedi. TransUnion'un 18 ülkede yetişkinlerle yaptığı bir ankete katılanların yüzde 49'u 2024'ün ikinci çeyreğinde e-posta, online, telefon ya da kısa mesaj yoluyla hedef alındıklarını söyledi.