Büyük dil modelleri (LLM’ler) ve üretken yapay zeka küresel olarak hızla ilerlemekte, büyük faydalar sunmakta ancak aynı zamanda kötüye kullanım endişelerini de artırmaktadır.
Üretken yapay zekanın ve yapay zeka benzerlerinin hızlı modernizasyonu, siber güvenlik tehditlerinin tüm geleceğini önemli ölçüde dönüştürecek. Ancak potansiyel risklerinin yanı sıra, meşru uygulamalarda üretken yapay zekanın değerini anlamak da önemlidir.
Avast’ın Tehdit İstihbarat Ekibi’ndeki siber güvenlik araştırmacıları yakın zamanda bilgisayar korsanlarının kötü amaçlı yazılım ve sosyal mühendislik tehditleri oluşturmak için ChatGPT’yi aktif olarak kötüye kullandığını bildirdi.
Hackerlar ChatGPT’yi Kötüye Kullanıyor
Son zamanlarda yapay zeka destekli dolandırıcılıkların yükselişe geçmesi, siber suçluların veya tehdit aktörlerinin aşağıdaki gibi ikna edici tuzaklar oluşturmasını kolaylaştırıyor: –
- E-postalar
- Sosyal dolandırıcılıklar
- E-mağaza incelemeleri
- SMS dolandırıcılığı
- Piyango dolandırıcılığı e-postaları
Artan tehditler ileri teknolojiyi kullanıyor ve bu senaryo, aşağıdaki gibi alanlardaki suiistimalleri yansıtarak yapay zeka teknolojilerinin savaş alanını yeniden şekillendiriyor:
- Kripto para birimleri
- COVID-19
- Ukrayna çatışması
ChatGPT’nin şöhreti, bilgisayar korsanlarını yapay zeka komplosundan daha çok şöhreti nedeniyle çekiyor ve bu da onu, çalışmalarında keşif için olgunlaştırıyor.
Şu anda ChatGPT, gelişmiş kimlik avı saldırılarına yönelik hepsi bir arada bir araç değildir. Saldırganlar, girişimlerini ikna edici kılmak için genellikle şablonlara, kitlere ve manuel çalışmaya ihtiyaç duyar. LlamaIndex gibi çok türlü modeller, çeşitli içeriklerle gelecekteki kimlik avı ve dolandırıcılık kampanyalarını geliştirebilir.
TTP’ler ve Araçlar
Aşağıda, tehdit aktörlerinin ChatGPT’yi kötüye kullanmak için kullandığı tüm TTP’lerden ve ortamlardan bahsettik: –
- Kötü amaçlı reklamcılık
- YouTube dolandırıcılıkları
- Yazım hatası
- Tarayıcı Uzantıları
- Kurulumcular
- Çatlaklar
- Sahte güncellemeler
Kötü Amaçlı Yazılım ve Sosyal Mühendislik Tehditlerine ilişkin Yüksek Lisans Dereceleri
Hukuk Yüksek Lisansı kötü amaçlı kod üretimini basitleştirir ancak yine de biraz uzmanlığa ihtiyaç vardır. Özel kötü amaçlı yazılım araçları, güvenlik önlemlerini aşarak süreci karmaşık hale getirebilir.
LLM kötü amaçlı yazılım istemleri oluşturmak, istem uzunluğuna ilişkin kısıtlamalar ve karmaşıklığı sınırlayan güvenlik filtreleri ile birlikte hassasiyet ve teknik uzmanlık gerektirir.
Yapay zeka teknolojisi, spam botlarının farkında olmadan ChatGPT’nin hata mesajlarını paylaşarak varlıklarını vurgulayarak kendilerini açığa çıkarmasıyla spam taktiklerini önemli ölçüde değiştirdi.
Özellikle spambotlar artık ChatGPT yanıtlarını kopyalayarak kullanıcı incelemelerinden yararlanıyor ve geri bildirimleri ve ürün derecelendirmelerini yanıltıcı bir şekilde artırmayı hedefliyor.
Bu, manipüle edilmiş incelemelerin tüketicileri daha düşük kaliteli ürünleri satın almaya yönlendirdiği için dijital etkileşimlerde dikkatli olunması gerektiğini vurgulamaktadır.
Kötü aktörler ChatGPT’nin filtrelerini aşabilir ancak bu zaman alıcıdır. Genellikle geleneksel arama motorlarına veya GitHub’daki yalnızca eğitim amaçlı kullanıma yönelik kötü amaçlı yazılımlara başvuruyorlar.
Bunun yanı sıra Deepfake’ler, önemli tehditler oluşturan, ikna edici videolar üreten ve itibara, kamu güvenine ve hatta kişisel güvenliğe zarar veren yapay zeka tarafından desteklenmektedir.
Olumlu Senaryo
Güvenlik analistleri, algılama kuralları oluşturmak veya mevcut olanları netleştirmek için ChatGPT’yi kullanabilir ve hem yeni başlayanlara hem de deneyimli analistlere aşağıdaki gibi model algılama araçlarını geliştirmede yardımcı olabilir: –
Yapay zeka tabanlı yardımcı araçlar
Yüksek Lisans tabanlı yapay zeka asistanlarını entegre eden, ofis çalışmalarından teknik çalışmalara kadar çeşitli görevlerde üretkenliği artıran çeşitli projeler var.
Yapay zeka asistanları, derlemenin anlaşılmasını basitleştirerek, kod analizini parçalara ayırarak ve hata ayıklamayı basitleştirerek ve tersine mühendislik çalışmalarını kolaylaştırarak kötü amaçlı yazılım analistlerine yardımcı olur.
Aşağıda bilinen yapay zeka tabanlı yardımcı araçlardan bahsettik: –
- IDA Pro için Gepetto
- VulChatGPT
- Windbg Yardımcı Pilotu
- GitHub Yardımcı Pilotu
- Microsoft Güvenlik Yardımcı Pilotu
- PentestGPT
- BurpGPT
Öneriler
Aşağıda, güvenlik araştırmacıları tarafından sunulan tüm önerilerden bahsettik: –
- İnanılmaz tekliflere karşı dikkatli olun.
- Yayıncıyı ve incelemeleri doğruladığınızdan emin olun.
- Her zaman istediğiniz ürünü anlayın.
- Crackli yazılım kullanmayın.
- Şüpheli etkinliği bildirin.
- Yazılımınızı düzenli olarak güncelleyin.
- Siber güvenlik sağlayıcınıza güvenin.
- Kendi kendine eğitim çok önemlidir.
Bizi Google Haberler, Linkedin’den takip ederek en son Siber Güvenlik Haberlerinden haberdar olun, heyecanve Facebook.
İlgili Okuma