Yapay Zeka ve Makine Öğrenimi , Siber Suçlar , Dolandırıcılık Yönetimi ve Siber Suçlar
Yapay Zekanın Oluşturduğu Kimlik Avı Hala İnsanları Yenemez, Ama Çok Uzun Sürmeyecek: IBM
Rashmi Ramesh (raşmiramesh_) •
25 Ekim 2023
IBM tarafından yapılan “tırnak ısıran” bir deney, ChatGPT’nin beş dakika içinde mükemmele yakın kimlik avı e-postaları oluşturabildiğini, onlarca yıllık deneyime sahip bir sosyal mühendislik ekibini neredeyse birkaç saat geride bırakabildiğini gösterdi.
Ayrıca bakınız: Güvenlik Operasyon Merkezini Modernleştirmeye Yönelik 5 İpucu
Teknoloji devi, adı açıklanmayan bir sağlık şirketinin 1.600 çalışanına, yarısı insan sosyal mühendisleri tarafından, yarısı da yapay zeka tarafından oluşturulan kimlik avı e-postaları gönderdi.
IBM, Salı günü yayınlanan bir raporda, “İnsanlar galip geldi, ancak çok dar bir farkla” dedi.
Kimlik avı, kötü amaçlı yazılım yaymanın en yaygın yollarından biridir; Proofpoint’in Phish Durumu raporundaki kuruluşların %84’ü geçen yıl en az bir başarılı kimlik avı saldırısıyla karşılaştı.
ChatGPT de dahil olmak üzere pek çok üretken yapay zeka modeli, kötü niyetli kullanımı engellemeye yönelik yerleşik bir korumaya sahiptir; araştırmacılar ve bilgisayar korsanları bunu kolaylıkla yapabilir (bkz.: Evet, Virginia, ChatGPT Kimlik Avı E-postaları Yazmak İçin Kullanılabilir).
Deneyi yöneten IBM’in baş hacker’ı Stephanie Carruthers, ChatGPT’nin kimlik avı e-postaları yazmaya karşı blokajını kırmak ve modeli “yalnızca beş dakika içinde son derece ikna edici kimlik avı e-postaları” geliştirecek şekilde kandırmak için araştırmacıların yalnızca birkaç ipucu almasının yeterli olduğunu söyledi.
“Zamanımın çoğunu istemleri hazırlamak ve en etkili kimlik avı e-postasını oluşturmak için doğru sayıyı ve türü bulmakla harcadım. Birkaç saat süren deneme yanılma sonrasında, beş istem seçtim ve bunları LLM’ye göndererek kimlik avını oluşturmasını sağladım. Doğrudan bir kimlik avı e-postası yazmasını istemedim, bunun yerine istemlere dayalı bir e-posta oluşturmasını istedim” dedi.
Ekibinin bir kimlik avı e-postası oluşturması genellikle yaklaşık 16 saat sürüyor; bu da yapay zekanın aynı amaç için kullanılmasının potansiyel olarak kullanıcılara “neredeyse iki günlük çalışma” tasarrufu sağladığı anlamına geliyor.
Carruthers, Information’a verdiği demeçte, büyük dil modelini bir kimlik avı e-postası yazmak için kandırmak mümkün olsa da, saldırganlar için görevi çok daha kolay ve verimli hale getirmek mümkün olsa da, bu yalnızca şu anda “doğru istemleri oluşturmak için işe koyulurlarsa” mümkün. Güvenlik Medya Grubu.
Ekip, hedef sektördeki (bu örnekte sağlık hizmetleri) çalışanların en önemli endişe duyduğu alanları dikkate alarak “son derece kurnaz” yapay zeka kimlik avı e-postasını oluşturdu. Güven, otorite ve sosyal kanıt gibi sosyal mühendislik tekniklerini kullanması ve kişiselleştirme, mobil optimizasyon ve harekete geçirici mesaj gibi pazarlama tekniklerini kullanması talimatını verdiler. Ayrıca kimliğine bürünmesi gereken kişi veya şirkete, yani dahili insan kaynakları yöneticisine de işaret ettiler.
Deneyi doğrulamak için IBM’in sosyal mühendislik ekibi, “yaratıcılık ve bir miktar psikolojiyle donanmış” kendi kimlik avı e-postasını hazırladı. Sosyal medya platformlarından, örgütün resmi blogundan, Glassdoor’dan ve açıklanmayan kaynaklardan açık kaynaklı istihbarat topladılar. Bu e-postayı aynı sağlık şirketinin çalışanlarına gönderdiler. Carruthers, insan unsurunun “çoğunlukla kopyalanması zor olan bir özgünlük havası kattığını” söyledi.
İnsan yapımı kimlik avı e-postaları, kötü amaçlı bir bağlantıya tıklayan kişi sayısı açısından yapay zeka tarafından oluşturulan e-postalardan daha iyi performans gösterdi; ancak sırasıyla %14 ve %11 gibi küçük bir farkla da olsa. İlkinin avantajı öncelikle insanların duyguları “Yapay Zekanın yalnızca hayal edebileceği şekillerde” anlama yeteneğinden ve içeriği kişiselleştirip kısa ve öz tutma yeteneğinden geliyordu.
Carruthers, yapay zeka tarafından üretilen kimlik avının “duygusal zekadan yoksun olduğunu ve bana hala robot gibi geldiğini söyledi. Bu yüzden sonuçta insanlar zirveye çıktı” dedi.
İnsanlar bu maçı az farkla kazanmış olsa ve siber güvenlik araştırmacıları tehdit aktörleri tarafından üretken yapay zekanın geniş ölçekli kullanımına tanık olmasa da Carruthers, yapay zekanın bir gün insanlardan daha iyi performans gösterebileceğini öngörüyor. O gün ne kadar uzakta? “Bu soruyu bana bu araştırmadan önce sorsaydın belki bir veya iki yıl derdim. Ancak yapay zekanın kimlik avı e-postaları oluşturduğunu ve bunları oluşturma hızını gördükten sonra şunu söyleyebilirim: belki üç-altı ay sonra bu farkın daha da daraldığını göreceğiz” dedi ISMG’ye.
Kimlik avı saldırılarında yapay zekanın kullanılması, şirketlerin siber güvenliğe yaklaşımlarını yeniden değerlendirmeleri gerektiği anlamına geliyor. Yapay zeka artık saldırganların daha etkili kimlik avı e-postaları yazmasına yardımcı oluyor diye güvenlik farkındalığı programlarını tamamen yenilemeleri gerekmiyor, ancak sesli kimlik avı gibi en son teknikleri kullanmaya başlamaları ve çalışanları daha karmaşık kimlik avı e-postalarına hazırlamaları gerektiğini söyledi.
Carruthers, yapay zeka destekli içeriğin bu tehlike işaretlerini ortadan kaldırması nedeniyle kuruluşların çoğu kimlik avı e-postasının kötü dilbilgisi ve yazım hatalarıyla dolu olduğu şeklindeki stereotipi terk etmelerini tavsiye etti. Genellikle yapay zeka tarafından oluşturulan metinlerin ayırt edici özelliği olan daha uzun e-postaların bir uyarı işareti olabileceğini söyledi.