Yapay Zeka ve Makine Öğrenimi, Sahtekarlık Yönetimi ve Siber Suç, Yeni Nesil Teknolojiler ve Güvenli Gelişim
Hoxhunt, Hizmet Olarak Kimlik Yardımının AI Spear Kimlik Avı Acentelerini benimseyeceğini öngörüyor
Rashmi Ramesh (Rashmiramesh_) •
7 Nisan 2025
Artık satranç ve Go’da insanları yenmek için memnun değil, yapay zeka artık kırmızı takımları kendi kimlik avı oyunlarında ölçeklendirebilir.
Ayrıca bakınız: İş başarınızı yönlendirmek için teminatla güvenli bir strateji
AI, kimlik avı saldırılarında, ölçeklendirme ve endişe verici bir başarı ile insan kırmızı takımlarını aştı, siber güvenlik eğitim firması Hoxhunt’un araştırmalarını ileri sürüyor. Şirketin Joker için JKR olarak adlandırılan özel AI Spear Kimlik Yardımcılığı, Mart ayında, Hoxhunt benzer bir test yaptığında 2023’te% 31’lik bir açıktan bir geri dönüş olan insan meslektaşlarından% 24 daha iyi performans gösterdi.
“Bu, sosyal mühendislik için bir skynet anıdır,” dedi şirket bir blog yazısında, Terminator franchise’ından AI kötü adamını atıfta bulundu. Diyerek şöyle devam etti: “AI ajanlarının ölçekte üstün mızrak kimlik avı saldırıları yaratabileceğini kanıtladık.”
JKR’nin kenarı, istemlerini ve çıktılarını gerçek zamanlı olarak ince ayarlama yeteneğinden geliyor. Bu yinelemeli mekanizma, AI’nın milyonlarca kurumsal kullanıcı için hiper kişiselleştirilmiş e-postalar oluşturarak rol ve konum gibi kullanıcıya özgü bağlamlara uyum sağlamasına izin verdi.
Şirket, hizmet olarak kimlik avı piyasasının yakında AI Spear kimlik avı temsilcilerinin kitlesel olarak benimsenmesine geçeceğini söyledi. Bu gerçekleştiğinde, kitle kimlik avı kampanyalarının temel kalitesi ve etkinliği, şu anda hedefli mızrak kimlik avı saldırılarına eşit olduğumuz bir seviyeye yükseleceğini söyledi.
Mart ayında kar amacı gütmeyen kimlik avı karşıtı çalışma grubu, son altı ay boyunca bir durgunluktan sonra geçen yılın ikinci yarısında küresel kimlik avı e-postalarının arttığını bildirdi. Sadece 2024’ün son üç ayında APWG, yaklaşık bir milyon özel kimlik avı sitesi tespit ettiğini söyledi. ABD’li yetkililer, bir yol ücretli toplama hizmetinden geldiğini iddia eden metinlerin geçtiğimiz yıllarında sakinleri tekrar tekrar uyardı – kar amacı gütmeyen kuruluş, kampanyaların arkasındaki Çinli dolandırıcıların hedeflerini seçmek için çok fazla enerji yatırmadığını söyledi (bkz:: Lucid Phaas platformu tarafından yakıtlı smacada dalgalanma).
APWG, “Phisher’ların mesajları gönderdiği telefon numaraları genellikle rastgele – bazen paralı yollar kullanmayan veya yanlış durumdaki kullanıcıları hedefleyen kişilere gönderilirler.” Dedi.
Bugcrowd’un kurucusu Casey Ellis, Information Security Media Group’a “insanlar benzersiz bir şekilde yaratıcı ve uyarlanabilir”, ancak AI saldırı ajanlarının ölçekli olarak çalışabileceğini ve asla uyumaya gerek yok olduğunu söyledi. Hedef derinlikten ziyade ulaşıldığında, “AI daha iyi performans gösterme eğilimindedir.”
Oasis Security’nin kurucu ortağı ve baş ürün sorumlusu Amit Zimerman, yalnızca AI kimlik avına karşı koymak için sadece AI’ya güvenmeye karşı uyardı. Sınırlamalar yanlış pozitifler, zayıf bağlamsal yargı ve potansiyel kör noktaları içerir. Zimerman, insan gözetiminin sonuçları yorumlamada ve karar verme sürecine rehberlik etmede anahtar olduğunu söyledi.