Yeni yapay zeka araçları, siber suçlular da dahil olmak üzere insanların işlerini halletmeleri için daha kolay ve hızlı yollar sunuyor. AI, otomatik saldırıların başlatılmasını daha verimli ve erişilebilir hale getirir.
Tehdit aktörlerinin ChatGPT’yi ve diğer yapay zeka araçlarını kötü amaçlarla kullandığını muhtemelen duymuşsunuzdur. Örneğin, üretken yapay zekanın başarılı kimlik avı e-postaları yazabileceği, fidye yazılımı için hedefler belirleyebileceği ve sosyal mühendislik gerçekleştirebileceği kanıtlanmıştır. Ancak muhtemelen duymadığınız şey, saldırganların kurumsal güvenlik savunmalarından doğrudan kaçmak için yapay zeka teknolojisini nasıl kullandıklarıdır.
Bu AI platformlarının kötüye kullanımını kısıtlayan politikalar olsa da, siber suçlular bu kısıtlamaları ve güvenlik korumalarını nasıl atlatacaklarını bulmakla meşguller.
ChatGPT Plus’ı Jailbreaking ve ChatGPT’nin API Korumalarını Aşma
Kötü aktörler, GPT-4’ün gücünü etik olmayan veya yasa dışı kullanımı engellemeye çalışan tüm kısıtlamalar ve korkuluklar olmaksızın ücretsiz olarak kullanmak için ChatGPT Plus’ı hapse atıyor.
Kasada’nın araştırma ekibi, insanların coğrafi çitleme ve diğer hesap sınırlamalarını ortadan kaldırmak için GPT jailbreaks Reddit dizisinde bulunanlar gibi GitHub havuzlarından yararlanarak ChatGPT’nin API’sine yetkisiz erişim elde ettiğini ortaya çıkardı.
Kullanıcılar, GitHub’ın gpt4free gibi kaynaklardan doğru OpenAI atlamalarını bulursa, kimlik bilgisi doldurma yapılandırmaları da ChatGPT ile değiştirilebilir., Bu, OpenAI’nin API’sini, You.com gibi ücretli OpenAI hesaplarına sahip web sitelerinden meşru bir istek aldığına inandırarak kandırır.
Bu kaynaklar, dolandırıcıların yalnızca ChatGPT hesaplarına karşı başarılı hesap devralma (ATO) saldırıları başlatmasını değil, aynı zamanda diğer siteler ve uygulamalar genelinde dolandırıcılık planlarına yardımcı olmak için jailbreak yapılmış hesapları kullanmasını da mümkün kılar.
Jailbreak yapılmış ve çalınmış ChatGPT Plus hesapları, Dark Web’de ve diğer pazaryerlerinde ve forumlarda aktif olarak alınıp satılmaktadır. Kasada araştırmacıları, çalınan ChatGPT Plus hesaplarının 5 ABD Doları gibi düşük bir fiyata satıldığını buldular, bu da aslında %75’lik bir indirim anlamına geliyor.
Çalınan ChatGPT hesaplarının, hesap sahipleri ve diğer web siteleri ve uygulamalar için önemli sonuçları vardır. Yeni başlayanlar için, tehdit aktörleri bir ChatGPT hesabına erişim sağladıklarında, hesabın hassas bilgiler içerebilecek sorgu geçmişini görüntüleyebilirler. Ek olarak, kötü kişiler hesap kimlik bilgilerini kolayca değiştirerek asıl sahibin tüm erişimi kaybetmesine neden olabilir.
Daha da önemlisi, hapishaneden kırılan hesaplarla korkuluklar kaldırıldığından ve siber suçluların kuruluşlara yönelik gelişmiş hedefli otomatik saldırılar gerçekleştirmek için yapay zekanın gücünden yararlanmasını kolaylaştırdığından, daha fazla ve daha karmaşık dolandırıcılığın gerçekleşmesi için zemin hazırlıyor.
AI ile CAPTCHA’ları Atlama
Tehdit aktörlerinin kurumsal savunmalardan yararlanmak için yapay zekayı kullanmalarının bir başka yolu da CAPTCHA’lardan kaçınmaktır. CAPTCHA’lardan evrensel olarak nefret edilse de, tüm İnternet sitelerinin 2,5 milyonunu – üçte birinden fazlasını – koruyorlar.
Yapay zekadaki yeni gelişmeler, siber suçluların CAPTCHA’ları atlamak için yapay zekayı kullanmasını kolaylaştırıyor. ChatGPT, bir CAPTCHA’yı çözebileceğini kabul etti ve Microsoft kısa süre önce görsel bulmacaları çözebilen bir yapay zeka modelini duyurdu.
Ek olarak, CAPTCHA’lara güvenen siteler, ucuz ve bulması kolay CaptchaAI gibi yapay zeka destekli CAPTCHA çözücüleri aracılığıyla bunları kolayca atlayabilen ve çevrimiçi güvenlik için önemli bir tehdit oluşturan günümüzün gelişmiş botlarına karşı giderek daha duyarlı hale geliyor.
Çözüm
Yapay zeka platformlarında kötüye kullanımı önlemeye yönelik katı politikalar yürürlükte olsa bile, kötü aktörler, geniş ölçekte saldırılar başlatmak için yapay zekayı silah haline getirmenin yaratıcı yollarını buluyor. Savunmacılar olarak, her zamankinden daha hızlı gelişmeye ve ilerlemeye devam edecek olan yapay zeka destekli siber tehditlerle etkin bir şekilde mücadele etmek için tasarlanmış daha fazla farkındalığa, iş birliğine dayalı çabalara ve sağlam güvenliğe ihtiyacımız var.