Birincisi, kimlik avı vardı. Amaç: Hedefleri bilgileri açığa çıkarmak veya yetkisiz eylemleri tamamlamak için hedefleri kandırmak. 1990’lardan bu yana, bu saldırı vektörü, kısmen, taklit edildiğinde insan duygularını sömürmedeki etkinliği nedeniyle FBI’a bildirilen en iyi internet suçu olmaya devam ediyor.
Sonuçta, sadece bir yama yayınlayamaz veya insan içgüdüsüne güvenlik duvarı uygulayamazsınız. Örneğin, yeni bir başlangıç, ‘Bu dosyayı işe alımınız için indirmeniz gerekir’ söylendikten sonra olağan güvenlik prosedürlerini atlamak için baskı altında nasıl hissedebilir. Veya bir genç bordro yöneticisinin, bölgesel finans direktörü olduklarını ve derhal ödenmesi için bir faturaya ihtiyaç duyduklarını söyleyen birine nasıl meydan okuması olası değil. ‘
İnsanların duygularını, korku ve aciliyete olan tepkilerini ve tepkilerini manipüle etme konusunda büyük bir güç var. Bu sosyal mühendislik tehditleri biçimleri hiçbir yere gitmiyor. Aslında, aksi takdirde Vishing olarak bilinen sesli kimlik avı artışıyla gösterildiği gibi daha gelişmiş hale geliyorlar.
Geçmişte, Vishing, otomatik robotik sesleri kullanmasıyla tanımlanmış olabilir veya telefondaki gerçek sesin taklit ettikleri kişi gibi gelmediği. Yapay zeka yüzünden hepsi değişiyor.
Yapay zeka Vishing kullanım durumlarını ve yeteneklerini nasıl hızlandırıyor
Vishing geleneksel olarak emek yoğun olmuştur. İlk olarak, hedefi seçmek ve onları saldırı talebini yerine getirmeye teşvik etmek için çeşitli psikolojik teknikler uygulamak. Bu, insan duygularının yetenekli bir manipülatörüne ihtiyaç duyar. Canlı bir çağrı sırasında doğaçlama yapabilen ve bir meslektaşı veya üçüncü taraf ilişkisini ne zaman tehdit edeceğini, zorlayacağını ve hatta taklit edeceğini bilebilir.
Hedefin tanıyacağı bir telefon numarasını kullanmak için arayan kimlik sahtekarlığı gibi destekleyici taktik ve teknolojilere de ihtiyacınız var. Ya da bir çağrı sırasında ilişki kurmaya yardımcı olacak ipuçlarını aramak için hedefin sosyal medya kanallarını taramak. Belki en sevdikleri spor takımına veya yakın tarihli bir tatil destinasyonuna atıfta bulunmak.
Tabii ki, Vishing, muhtemelen daha önce hiç duymadıkları bir sese inanan ve güvenen hedefe de dayanıyor. En azından, AI teknolojisi Vishing için kullanılmaya başlayana kadar. Şimdi saldırganların yeni bir tehdit vektörü var, saldırılara yeni bir boyut ekliyor ve işletme savunmalarıyla ilgili yeni sorular soruyor.
AI teknolojisi ile aldatma yöntemlerindeki gelişmeler
İster çevrimiçi videolardan alınmış veya canlı bir telefon görüşmesine kaydedilmiş olsun, birisinin sesini 15 saniye kadar kısa bir sesle klonlamak mümkündür. Yapay zekanın vokal nüansları, bükülmeleri ve tonlarını yakalaması ve öğrenmesi için yeterli zaman.
Siber suçlular daha sonra gerçek zamanlı iki yönlü konuşmalar sırasında klonlanmış sesi metin-konuşma atış saldırıları için kullanabilirler. Seslerimiz parmak izleri kadar eşsiz, ayrıca tanıdığımız sesleri dinlemeye alışık olduğumuz binlerce yıllık evrim yaşadık, ‘Düşünmeden,’ Gerçekten kim olduğunu mu? ‘ Bu nedenle, insanların aniden bir kimlik doğrulama faktörü olarak sese güvenmeyi durdurmasını beklemek pratik değildir.
Çünkü AI, konuşmalara bağlam getirmek için de konuşlandırılabilir. Saldırganlar, sonuçları bir LLM’ye beslemek için genellikle OSINT teknikleri ve yeteneklerinin bir karışımını kullanarak web’i gerçek zamanlı olarak kazıyabilir. Bu, AI’nın taleplere otantik bir katman eklemek için son haberlerden bahsetmek gibi alaka düzeyi ve yenilikle iletişim kurmasını sağlar.
Bunun etkisini, katılımcıların% 77’sinden hassas verileri çıkaran AI-otomatik bir arama saldırısı simülasyonunun bir çalışmasında görebilirsiniz. Bu kısmen seçilen LLM, ‘bağlam anlayışında gelişmiş yetenekler, yanıt üretme hızı ve konuşmada akıcılıktan kaynaklanıyordu, bu da bir telefon görüşmesinde gerçek zamanlı bir konuşma yanılsaması’.
AI-Powered Vishing ile Ölçeklendirme Saldırıları
Bu yapay zeka odaklı yaklaşım, geleneksel vishing çağrı merkezlerinden uzun bir yoldur ve insan ajanları fiziksel iş istasyonlarından çağrı yapar. Siber suçlular artık hiper kişiselleştirilmiş 1: 1 saldırıyı ölçekte başlatabilir ve gerektiğinde mesajları birden fazla hedefe kişiselleştirebilir. Ve sonra, bir saldırı başarısız olursa yeniden programlanması gerekmek yerine, AI’nın öğrenilen girdilerine göre dili güncelleyin.
Bu AI ses klonlama araçlarının çoğu açık kaynaktır ve dünya çapında daha geniş bir kötü amaçlı aktör yelpazesine ücretsiz veya düşük maliyetli erişim açar. Gelişme hızlandıkça, Vishing’in doğası da gelişmektedir, AI saldırganların FBI’ın ‘benzeri görülmemiş gerçekçilik’ olarak tanımladığı şeyle konuşlandırmasına izin verir. 2023’ün 4. çeyreğinde, pervaz saldırıları yıllık% 260 oranında arttı. Bu arada, 2024’ün başlarında bir derin pasba videosu, bir finans çalışanının CFO’ları olduğunu düşündükleri birine 25 milyon dolar ödemesine yol açtı.
Saldırganlar, gelişmekte olan teknolojilerle genellikle ilk hareket avantajı elde edebilir ve savunma ekiplerini yakalamak ve bunlara karşı sistemler inşa etmek için yarış bırakabilir. Bununla birlikte, hala başarılı bir şekilde ihlal etmek için insan güvenlik açıklarına güvenmektedirler. Bu, AI güdümlü perdeye karşı savunmaya insan merkezli bir yaklaşım benimseyerek işler başlamalıdır.
AI Vishing’in ilk hareket avantajı nasıl başa çıkılır
İşgücünü, vishing ve AI gelişmelerinin farkında olmak için eğitmekle başlar ve duygularının potansiyel olarak ne zaman tetiklendiğini tanımalarına yardımcı olur. Özellikle bu, veri, şifreleri veya diğer hassas bilgileri paylaşma isteği içeriyorsa.
Teori ile birlikte, aynı zamanda onlara bir atış saldırısının konusu olmaları için pratik yapmak anlamına gelir. Sonuçta, insanlar bir öğretim görevlisinin veya çevrimiçi kursun yapay zeka hakkında söylediklerini unutabilirler. Ai Vishing ve düşünme deneyimini hatırlama olasılıkları daha yüksektir, ‘Ya bu gerçek bir saldırı olsaydı’.
Bu, çalışanların yeni davranışları ve düşünce süreçlerini yansıtmalarını ve öğrenmelerini sağlar. Saldırganların sömürmek istedikleri duyguları ve düşünceleri bastırmak zorunda değiller. Sadece bir çağrı sırasında ne zaman geri adım atacaklarını bilmeyi öğreniyorlar ve düşünüyorlar: Bu kişi için bu eylemi tamamlamak için baskı altında mıyım? Herhangi bir kanıt olmadan söyledikleri bir şeye inanmam isteniyor mu? Aramayı bitirip ana ofis numaralarını tekrar arayalım mı?
Simülasyon, siber güvenlik ekiplerindeki yükü de hafifletmeye yardımcı olur. Her zaman en son vishing stratejilerinin önünde kalamazlar ve ses biyometri gibi koruma sistemleri geliştirmek zaman alır. Oysa çalışanları simülasyon ve gerçek dünya eğitimi ile eğitmek etkili ve acil bir savunma alternatifi olabilir.
Yazar hakkında
Thomas Le Coz, Arsen’in CEO’sudur. Sosyal mühendisliğin siber saldırılardaki etkisini azaltmak için çözümler geliştirmektedir. Arsen, düzenli kimlik avından ses klonu vishing’e kadar değişen saldırıları simüle ederek, işgücünün davranış iyileştirmelerini “yaparak öğrenme” yaklaşımı ile değerlendirmek, eğitmek ve otomatikleştirmek için eksiksiz bir platform sunar. Thomas’a çevrimiçi olarak LinkedIn’de ve şirket web sitemizde https://arsen.co’da ulaşılabilir.