[ This article was originally published here ]
John E. Dunn tarafından
AI sohbet robotlarının neyin mümkün olduğuna dair algıları ne kadar hızlı değiştireceğini kimse tahmin edemedi. Bazıları bunun kimlik avı saldırılarını nasıl iyileştirebileceğinden endişe ediyor. Uzmanlar, hedefleme üzerindeki etkisinin büyük olasılıkla olacağını düşünüyor.
Kasım 2022’de kullanıma sunulduğundan bu yana ChatGPT’nin oyunun kurallarını değiştiren yetenekleri hakkında çok şey söylendi. En ilginçlerinden biri, chatbot’un, siber suçluların kullanıcı kimlik bilgilerini toplamak için kullandığı en önemli teknik olan yeni nesil gelişmiş kimlik avı saldırılarını başlatacak olmasıdır. ve kişisel tanımlanabilir bilgiler (PII).
ChatGPT, web arayüzü veya API aracılığıyla kötüye kullanılabilecek bir makine öğrenimi büyük öğrenme modeli (LLM) kullanan tek sohbet robotu değil elbette. Google’ın Bard’ından başlayarak en az yarım düzine makul rakip var ve bu, kötü niyetli kişilerin kendi özel LLM’lerini geliştirme olasılığını düşünmeden önce.
Bu tür yapay zeka, saldırganlar için büyük bir fırsat gibi görünüyor. Teorik olarak, kötü niyet, belirli sorular sorulduğunda bir yapay zekanın yanıtlarını sınırlayan güvenlik korkulukları ile sınırlandırılmalıdır. Ancak bu, araştırmacıların ChatGPT’nin GPT-3.5 kontrollerini başarılı bir şekilde atlaması nedeniyle bir garanti değildir (GPT-4’ü oynamak çok daha zordur, ancak daha erkendir).
Sektördeki güvenlik araştırmacıları birkaç ayını ChatGPT ile oynayarak geçirdiler – ne buldular?
Daha İyi Kimlik Avı Dilbilgisi
Muhtemelen birden fazla varyasyonda bir milyon gelen kutusuna gönderilmiş olan aşağıdaki sıra dışı kimlik avı e-postasını düşünün:
Windows kullanıcı uyarısı
Olağandışı oturum açma etkinliği
Windows bilgisayarınızda oturum açmak için bir uygulama kullanmak gibi alışılmadık bir şey tespit ettik. Windows bilgisayarınızda bilinmeyen bir kaynak üzerinden şüpheli oturum açma girişimi bulduk. Güvenlik görevlilerimiz tarafından yapılan incelemede, yabancı IP adresinden birisinin ağınızda yasaklanmış bir bağlantı kurmaya çalıştığı tespit edilmiştir.
Bu e-postayı oluşturan kişi muhtemelen konuşma İngilizcesi konuşabiliyordu, ancak yazılı biçiminde hızla ortaya çıkan dilbilgisi nüanslarını barındıracak kadar iyi değil. Aynı e-postayı GPT-4’te ChatGPT aracılığıyla çalıştırın ve diğer uçtan yalnızca kulağa kusursuz, resmi bir metin gibi gelmekle kalmaz, aynı zamanda kendi faydalı tavsiyesini de ekler:
Hemen harekete geçmenizi ve parolanızı değiştirerek, virüs taraması yaparak ve iki faktörlü kimlik doğrulamayı etkinleştirerek bilgisayarınızın güvenliğini sağlamanızı öneririz. Herhangi bir yardıma ihtiyacınız olursa veya herhangi bir sorunuz varsa lütfen bizimle iletişime geçmekten çekinmeyin.
Açıkçası, ChatGPT gibi bir sohbet botu ile kimlik avı e-postası yazmak çocuk oyuncağı. Saldırganlar için bu yetenek, kimlik avı ve spam’in 20 yıl önce küresel bir sorun haline gelmesinden bu yana en büyük yükseltme olabilir.
Daha İyi İş E-postası Uzlaşması (BEC)
İçin Boston College’da yardımcı profesör olarak siber güvenlik dersi vermediği zamanlarda Cato Networks için çalışan BEC, her halükarda savunma amaçlı yapay zeka ile karşılanabilecek kimlik avından daha büyük bir endişe kaynağı.
Saldırganların bir CEO tarafından gönderilen gerçek bir e-postaya erişimi olduğu bir senaryo görebilir. “Bir saldırgan, yapay zekadan CEO tarzında bir e-posta yazmasını isteyebilir. Peki bunu ses sentezi ve derin taklitlerle tamamlarsanız ne olur?
Bunun anlamı, hedeflemede çarpıcı bir gelişmedir. Günümüzün kimlik avı e-postaları çoğunlukla geneldir. Şimdi, aniden, sınırsızca özelleştirilebilir hale geldiler. Örneğin Maor, bunu açık kaynak verilerden araştırdıktan sonra birinin patronunun veya iş arkadaşının e-posta yazma stilini taklit etmenin ne kadar kolay olacağını yüksek sesle merak ediyor.
Maor, “Yapay zekayı bir hedefe doğrultun, tüm araştırmayı yapmasına izin verin ve bu kişi hakkındaki her soruyu yanıtlayabilir,” dedi. Tüm LLM’lerde bunu durdurmak için tasarlanmış korkuluklar vardır, ancak bunlar, istenen yanıtları vermek için bir dereceye kadar baypas edilebilir.
“Yeni bir kimlik avı çağında mıyız? Hayır, aynı şey ama daha iyi,” diye tartıştı Maor. “Tehdit ortamını hızlandırmak ve daha profesyonel hale getirmek kadar değiştireceğini düşünmüyorum. Giriş çubuğunu düşürür.”
Uzun Oyun Kimlik Avı Saldırıları
Birleşik Krallık penetrasyon testi şirketi teknik direktörü Gavin Watson, “ChatGPT ile yazabileceğiniz e-postaların özelliği, her birinin benzersiz olmasıdır,” dedi. . “Aynı e-postayı milyonlarca kez göndermiyorlar. Bu inanılmaz derecede güçlü.”
Yapay zeka sistemlerinin hedeflerle uzun bir ileri geri etkileşime girdiği, insanlara muhtemelen kabul edecekleri kötü amaçlı bir ek veya bağlantı göndermeden önce yavaş yavaş güvenlerini oluşturduğu bir kimlik avı senaryosu görebilir.
“Kimlik avı e-postası sizden bir bağlantıya tıklamanızı veya bir eki indirmenizi istemiyor. ChatGPT, insanları bir insanla olduğuna inandıkları ikna edici bir sohbete sokar ve ardından onlara bir özgeçmiş veya iş örneği gönderir. Bu tür bir kimlik avı saldırısına karşı savunmak inanılmaz derecede zor olurdu.”
Tehdit İstihbaratı Toplama
Buradaki tehdit, sistemleri ve onları yöneten kişiler de dahil olmak üzere hedefler hakkında kamu malı istihbarat toplamaya yönelik normalde zahmetli olan süreci otomatikleştirmek için bir sohbet robotunun kullanılabilmesidir. ChatGPT’nin bireyleri araştırmak için korkulukları vardır, ancak bu, saldırganların kendilerininkini kullanmadığını varsayar. Bu açıkça daha fazla araştırmaya ihtiyaç duyan bir alandır. Bununla birlikte, prensipte tahmin edilmesi zor olarak kabul edilen pek çok bilgi – örneğin bir annenin kızlık soyadı – tahmin edilemeyebilir. Watson, “Bir kişi veya şirket hakkında toplayabileceğiniz bilgi miktarı inanılmaz” dedi.
Siber Güvenlik Farkındalığı 2.0
Son on yılda, kuruluşların çalışanlarını kimlik avı saldırılarını ve diğer dolandırıcılıkları tanıyacak şekilde eğitmesi ve onlara bu saldırılara karşı direnmeleri için zihinsel yetenek vermesi geleneksel hale geldi. Bu hiçbir zaman kusursuz olmamıştır – eninde sonunda herkes bir şeye tıklamak zorundadır – ancak işe yaradığına dair mütevazı kanıtlar vardır.
Oltalama düzeni ve hedefleme gelişirse, iyiyi kötüden ayırt etme görevi çok hızlı bir şekilde çok daha zor hale gelecektir. Örneğin, İK ekibi üyeleri, uygulama yöneticileri veya genel çalışanlar yerine sistem yöneticileri için gereken eğitimi özelleştirerek, güvenlik farkındalığı eğitimi şimdiden daha hedefli hale geliyor. Chatbot’lar, şirketleri henüz bunun çoğunu gözden geçirmeye zorlayabilir.
Watson, “İnsanlar bir sohbete çekilirse ve saldırganlar küçük bir miktar da olsa güven kazanmaya başlarsa, bunun büyük bir etkisi olabilir” diye ekledi.
reklam