Sosyal mühendislik, insan güvenlik açıklarına nasıl odaklandığı için uzun zamandır etkili bir taktik olmuştur. Brute-Force ‘Sprey ve Dua’ şifresi tahmini yok. Satılmamış yazılım için ovma sistemi yok. Bunun yerine, genellikle hassas bilgilere veya korunan sistemlere erişim sağlamak amacıyla güven, korku ve otoriteye saygı gibi duyguları manipüle etmeye dayanır.
Geleneksel olarak bu, zaman ve kaynak alan bireysel hedefleri araştırmak ve manuel olarak ilgilendirmek anlamına geliyordu. Bununla birlikte, AI’nın ortaya çıkışı, sosyal mühendislik saldırılarını farklı şekillerde, ölçekte ve genellikle psikolojik uzmanlık olmadan başlatmayı mümkün kıldı. Bu makale, AI’nın yeni bir sosyal mühendislik saldırısı dalgasına güç vermesinin beş yolunu kapsayacaktır.
Slovakya seçimlerini etkilemiş olabilecek ses derinlik
2023’teki Slovak parlamento seçimleri öncesinde, tanınmış bir gazeteci Monika Todova ile konuşmada aday Michal Simecka’yı öne çıkaran bir kayıt ortaya çıktı. İki dakikalık ses parçası, oy satın alma ve bira fiyatlarının artırılması tartışmalarını içeriyordu.
Çevrimiçi yayıldıktan sonra, konuşma, konuşmacıların sesleri üzerinde eğitilmiş bir AI tarafından konuşulan kelimelerle sahte olduğu ortaya çıktı.
Ancak, derinlik seçimden sadece birkaç gün önce piyasaya sürüldü. Bu, birçok kişinin AI’nın sonucu etkileyip etkilemediğini merak etmesine yol açtı ve Michal Simecka’nın İlerici Slovakya partisine ikinci sırada yer aldı.
25 milyon dolarlık video görüşmesi
Şubat 2024’te, çok uluslu Arup’ta bir finans çalışanına yapay zeka destekli bir sosyal mühendislik saldırısından oluşan raporlar ortaya çıktı. CFO’ları ve diğer meslektaşları olduğunu düşündükleri çevrimiçi bir toplantıya katılmışlardı.
VideoCall sırasında, finans çalışanından 25 milyon dolarlık bir transfer yapması istendi. Talebin gerçek CFO’dan geldiğine inanan işçi talimatları izledi ve işlemi tamamladı.
Başlangıçta, toplantı davetini e -posta ile aldıkları bildirildi, bu da onları bir kimlik avı saldırısının hedefi olmaktan şüphelendi. Ancak, CFO ve meslektaşları olan şeyleri şahsen gördükten sonra, güven geri kazanıldı.
Tek sorun, işçinin mevcut tek gerçek kişi olmasıydı. Diğer tüm katılımcılar, DeepFake teknolojisi kullanılarak dijital olarak oluşturuldu ve para dolandırıcıların hesabına gidiyor.
Annenin 1 milyon dolarlık fidye talebi
Birçoğumuz ‘merhaba anne/baba varyasyonu ile başlayan rastgele SMS’ler aldık, bu benim yeni numaram. Yeni hesabıma biraz para aktarabilir misin lütfen? ‘ Metin formunda alındığında, geri adım atmak ve ‘Bu mesaj gerçek mi?’ Diye düşünmek daha kolaydır. Ancak, bir çağrı alırsanız ve kişiyi duyarsanız ve seslerini tanırsanız? Peki ya kaçırılmış gibi geliyorsa?
2023 yılında ABD Senatosu’nda AI tarafından üretilen suç riskleri hakkında ifade veren bir anneye olan buydu. 15 yaşındaki kızından olduğu gibi görünen bir çağrı almıştı. Cevap verdikten sonra, ‘Anne, bu kötü adamlar bana sahip’ kelimelerini duydu, ardından 1 milyon dolarlık bir fidye ödenmedikçe bir dizi korkunç tehdit üzerinde hareket etmekle tehdit eden bir erkek ses izledi.
Panik, şok ve aciliyetle boğulmuş olan anne, çağrının AI-klonlu bir ses kullanılarak yapıldığı ortaya çıkana kadar duyduğuna inanıyordu.
Kullanıcı adlarını ve şifreleri toplayan sahte Facebook Chatbot
Facebook şöyle diyor: ‘Facebook’tan olduğunu iddia eden şüpheli bir e -posta veya mesaj alırsanız, herhangi bir bağlantı veya eki tıklamayın.’ Yine de sosyal mühendislik saldırganları bu taktiği kullanarak hala sonuç alıyor.
İnsanların hesaplarına erişimi kaybetme korkuları üzerinde oynayabilir, kötü niyetli bir bağlantıyı tıklamalarını ve sahte bir yasağa itiraz etmelerini isteyebilirler. ‘Bu videoda siz misiniz?’ Sorusuyla bir bağlantı gönderebilirler. ve doğal bir merak, endişe ve tıklama arzusunu tetiklemek.
Saldırganlar şimdi bu tür bir sosyal mühendislik saldırısına AI ile çalışan sohbet botları şeklinde başka bir katman ekliyor. Kullanıcılar Facebook’tan geliyormuş gibi bir e -posta alır ve hesaplarını kapatmakla tehdit eder. ‘BURADA İTİRAZ’ düğmesini tıkladıktan sonra, kullanıcı adı ve şifre ayrıntıları isteyen bir sohbet botu açılır. Destek penceresi Facebook markalıdır ve canlı etkileşim, saldırıya aciliyet ekleyerek ‘şimdi harekete geçme’ talebi ile birlikte gelir.
‘Silahlarını bırak’ diyor Deepfake Başkanı Zelensky
Söylediği gibi: Savaşın ilk yaralısı gerçektir. Sadece yapay zeka ile, gerçek de dijital olarak yeniden yapılabilir. 2022’de, Başkan Zelensky’nin Ukraynalıları Rusya’ya karşı savaşta teslim olmaya ve savaşmayı bırakmaya çağırdığını gösteren sahte bir video ortaya çıktı. Kayıt, saldırıya uğrayan ve daha sonra çevrimiçi olarak paylaşılan bir televizyon istasyonu olan Ukrayna24’te çıktı.
 |
| Başkan Zelensky Deep Prafe Video, Yüz ve Boyun Cilt Tonu Farklılıkları |
Birçok medya raporu, videonun geniş bir şekilde inanılacak çok fazla hata içerdiğini vurguladı. Bunlar, cumhurbaşkanının kafasının vücut için çok büyük olduğunu ve doğal olmayan bir açıya yerleştirilmesini içerir.
Sosyal mühendislik alanında yapay zeka için nispeten erken günlerde hala, bu tür videolar en azından insanları durdurmak ve ‘ya bu doğru olsaydı?’ Diye düşünmek için yeterlidir. Bazen bir rakibin özgünlüğüne bir şüphe unsuru eklemek, kazanmak için gereken tek şeydir.
AI sosyal mühendisliği bir sonraki seviyeye taşıyor: nasıl yanıt verilir
Kuruluşlar için en büyük zorluk, sosyal mühendislik saldırılarının duyguları hedeflemesi ve hepimiz insan yapan düşünceleri uyandırmasıdır. Sonuçta, gözlerimize ve kulaklarımıza güvenmeye alışkınız ve bize söylenenlere inanmak istiyoruz. Bunlar, sadece devre dışı bırakılamayan, düşürülemeyen veya bir güvenlik duvarının arkasına yerleştirilemeyen doğal içgüdülerdir.
AI’nın yükselişini ekleyin ve bu saldırıların hacim, çeşit ve hızda ortaya çıkmaya, gelişmeye ve genişlemeye devam edeceği açıktır.
Bu nedenle, alışılmadık veya beklenmedik bir talep aldıktan sonra çalışanları tepkilerini kontrol etmek ve yönetmek için eğitmeye bakmalıyız. İnsanları ne yapmaları istendiğini tamamlamadan önce durmaya ve düşünmeye teşvik etmek. Onlara AI tabanlı bir sosyal mühendislik saldırısının ne göründüğünü ve en önemlisi pratikte gibi hissettiğini gösteriyor. Böylece AI ne kadar hızlı gelişse de, işgücünü ilk savunma hattına dönüştürebiliriz.
İşte başlamak için kullanabileceğiniz 3 noktalı bir eylem planı:
- Bu vakalar hakkında çalışanlarınıza ve meslektaşlarınıza konuşun ve bunları özellikle derin düneme tehditlerine karşı eğitin – farkındalıklarını artırmak ve nasıl yanıt vereceklerini (ve yapmaları gerektiğini) keşfetmek.
- Çalışanlarınız için bazı sosyal mühendislik simülasyonları oluşturun – böylece ortak duygusal manipülasyon tekniklerini deneyimleyebilir ve tıpkı gerçek bir saldırıda olduğu gibi yanıt vermek için doğal içgüdülerini tanıyabilirler.
- Organizasyonel savunmalarınızı, hesap izinlerinizi ve rol ayrıcalıklarınızı gözden geçirin – Potansiyel bir tehdit oyuncunun hareketlerini anlamak için başlangıç erişimini elde edeceklerse.