Sosyal mühendislik saldırılarının temelleri – insanları manipüle etmek – yıllar içinde çok fazla değişmemiş olabilir. Gelişen vektörler – bu tekniklerin nasıl dağıtıldığı -. Ve bu günlerde çoğu endüstri gibi, AI da evrimini hızlandırıyor.
Bu makale, bu değişikliklerin işi nasıl etkilediğini ve siber güvenlik liderlerinin nasıl tepki verebileceğini araştırıyor.
Kişim Kişisel Saldırılar: Güvenilir bir kimlik kullanma
Thomson Reuters’e göre, geleneksel savunma biçimleri sosyal mühendisliği ‘çoğu veri ihlali nedeni’ çözmek için mücadele ediyordu. Yeni nesil AI destekli siber saldırılar ve tehdit aktörleri artık bu saldırıları eşi görülmemiş bir hız, ölçek ve gerçekçilikle başlatabilir.
Eski Yol: Silikon Maskeler
Bir Fransız hükümet bakanını taklit ederek, iki dolandırıcı birden fazla kurbandan 55 milyon € ‘dan fazla çıkarabildi. Video görüşmeleri sırasında, Jean-Yves Le Drian’ın silikon bir maskesi giyerdi. Bir inanç katmanı eklemek için, o zamanki başkan François Hollande’nin fotoğraflarıyla bakanlık ofisinin bir rekreasyonuna oturdular.
150’den fazla önemli rakamla temasa geçildiği ve fidye ödemeleri veya terörle mücadele operasyonları için para istediği bildirildi. Yapılan en büyük transfer, Suriye’de düzenlenen iki gazeteci nedeniyle hedefin harekete geçmesi istendiğinde 47 milyon € idi.
Yeni Yol: Video DeepFakes
Para taleplerinin çoğu başarısız oldu. Sonuçta, silikon maskeleri bir kişi üzerindeki cildin görünümünü ve hareketini tam olarak çoğaltamaz. AI video teknolojisi bu saldırı biçimini hızlandırmak için yeni bir yol sunuyor.
Bu geçen yıl, saldırganların 25 milyon dolarlık bir aldatmaca yapmak için bir CFO’nun bir video derin perfesi oluşturduğu Hong Kong’da gördük. Daha sonra bir meslektaşı bir video konferans çağrısına davet ettiler. Deepfake CFO, çalışanı dolandırıcıların hesabına milyonlarca transfer yapmaya ikna etti.
Canlı Aramalar: Sesli Kimlik avı
Genellikle Ving olarak bilinen sesli kimlik avı, insanların organizasyonlarını tehlikeye atan bilgiler vermeye ikna oldukları geleneksel kimlik avı gücünü geliştirmek için canlı ses kullanır.
Eski yol: hileli telefon görüşmeleri
Saldırgan, birisini, belki de yetkili bir figür veya başka bir güvenilir arka plandan taklit edebilir ve bir hedefe telefon görüşmesi yapabilir.
Konuşmaya aciliyet duygusu eklerler, bir hesaba erişimi kaybetme veya bir son tarihi eksik gibi olumsuz sonuçlardan kaçınmak için hemen bir ödeme yapılmasını talep ederler. Mağdurlar 2022’de bu saldırı biçimine medyan 1.400 dolar kaybetti.
Yeni Yol: Ses klonlama
Geleneksel Vishing savunma önerileri arasında insanlardan taleplerle birlikte gelen bağlantıları tıklamamalarını istemek ve resmi bir telefon numarasında kişiyi geri çağırmaktır. Asla güvenin sıfır güven yaklaşımına benzer, her zaman doğrulayın. Tabii ki, ses kişinin bildiği birinden geldiğinde, güven için herhangi bir doğrulama endişesini atlamak doğaldır.
Bu, AI ile ilgili büyük zorluk, saldırganlar şimdi sesli klonlama teknolojisini kullanıyor, genellikle bir hedef konuşmanın sadece birkaç saniyesinden alınıyor. Bir anne, kaçırılacağını ve saldırganların 50.000 dolarlık bir ödül istediğini söyleyerek kızının sesini klonlayan birinden çağrı aldı.
Kimlik avı e -postası
E -posta adresi olan çoğu kişi piyango kazandı. En azından, milyonlarca kazandıklarını söyleyen bir e -posta aldılar. Belki de ön ücret karşılığında fonları serbest bırakmak için yardıma ihtiyacı olabilecek bir kral veya prens referansı ile.
Eski Yol: Sprey ve Dua et
Zamanla bu kimlik avı girişimleri birçok nedenden dolayı çok daha az etkili hale gelmiştir. Çok az kişiselleştirme ve çok sayıda dilbilgisi hatası ile toplu olarak gönderiliyorlar ve insanlar belirli para transferi hizmetlerini kullanma talepleriyle ‘419 dolandırıcılık’ ın daha fazla farkında. Bankalar için sahte oturum açma sayfaları kullanma gibi diğer sürümler, web tarama koruması ve spam filtreleri kullanılarak genellikle URL’yi yakından kontrol etmek için eğitmekle birlikte engellenebilir.
Bununla birlikte, kimlik avı siber suçların en büyük şekli olmaya devam etmektedir. FBI’ın İnternet Suç Raporu 2023, kimlik avı/kimlik sahtekarlığının 298.878 şikayetin kaynağı olduğunu buldu. Bunu bazı bağlamı vermek için, en yüksek ikinci (kişisel veri ihlali) 55.851 şikayet kaydetti.
Yeni Yol: Ölçekte Gerçekçi Konuşmalar
AI, tehdit aktörlerinin temel çevirilere güvenmek yerine LLM’leri kullanarak kelime mükemmel araçlara erişmesine izin veriyor. Ayrıca, daha hedefli mızrak kimlik avı formuna izin veren özelleştirme ile bunları ölçekte birden fazla alıcıya başlatmak için yapay zeka kullanabilirler.
Dahası, bu araçları birden çok dilde kullanabilirler. Bunlar, hedeflerin geleneksel kimlik avı tekniklerinin ve neyi kontrol edeceğinin farkında olmayabileceği daha geniş sayıda bölgeye kapıları açar. Harvard Business Review, ‘tüm kimlik avı sürecinin LLM’ler kullanılarak otomatikleştirilebileceği, bu da kimlik avı saldırılarının maliyetlerini eşit veya daha büyük başarı oranlarına ulaşırken% 95’ten fazla azaltır’ konusunda uyarıyor.
Yeniden keşfedilen tehditler, savunmaları yeniden icat etmek anlamına geliyor
Siber güvenlik her zaman savunma ve saldırı arasında bir silah yarışında olmuştur. Ancak AI farklı bir boyut ekledi. Şimdi, hedeflerin bir saldırgan onları manipüle etmeye çalışırken neyin gerçek ve neyin sahte olduğunu bilmenin hiçbir yolu yok:
- Güvenbir meslektaşı taklit ederek ve bir çalışandan hassas bilgiler için güvenlik protokollerini atlamasını isteyerek
- Otoriteye saygı Bir çalışanın CFO’su gibi davranarak ve acil bir finansal işlemi tamamlamalarını emrederek
- Korku Bir aciliyet ve panik duygusu yaratarak, çalışanın konuştukları kişinin gerçek olup olmadığını düşünmediği anlamına gelir.
Bunlar, binlerce yılı aşkın bir süredir gelişen insan doğasının ve içgüdünün temel kısımlarıdır. Doğal olarak, bu kötü niyetli aktörlerin yöntemleriyle veya AI’nın ilerlemesiyle aynı hızda gelişebilecek bir şey değil. Çevrimiçi kurslar ve sorular ve cevaplarla geleneksel farkındalık biçimleri, bu yapay zeka ile çalışan gerçeklik için inşa edilmemiştir.
Bu yüzden cevabın bir kısmı – özellikle teknik korumalar hala yetişirken – işgücü deneyiminizi simüle edilmiş sosyal mühendislik saldırılarını yapmaktır.
Çünkü çalışanlarınız meydana geldiğinde siber bir saldırıya karşı savunmak hakkında ne söylediklerinizi hatırlamayabilirler, ancak nasıl hissettirdiğini hatırlayacaklar. Böylece gerçek bir saldırı gerçekleştiğinde, nasıl yanıt verileceğinin farkındalar.