IBM X-Force Red tarafından yürütülen araştırmaya göre, insanlar kimlik avı e-postaları oluşturma konusunda yapay zekaya kıyasla hâlâ daha iyi, ancak bu çok uzak değil ve muhtemelen çok uzun sürmeyecek.
Kimlik avı e-postaları oluşturma: İnsanlar vs. Yapay Zeka
Araştırmacılar, ChatGPT’nin saldırganlar kadar “iyi” bir kimlik avı e-postası yazma becerisine sahip olup olmadığını görmek istedi.
IBM X-Force Red’in Baş İnsan Hacker’ı Stephanie Carruthers, “Geçimini sağlamak için kimlik avı e-postaları yazan biri olarak, cevabı bulmak beni heyecanlandırdı” dedi.
Araştırmacılar çeşitli istemleri denediler ve sonunda ChatGPT’nin kimlik avı e-postasını üretmesi için yeterli olan yalnızca beş taneden oluşan bir liste elde etmek için bunları geliştirdiler.
İlk olarak ChatGPT’den belirli bir sektördeki çalışanların en önemli endişe duyduğu alanları tanımlamasını istediler. Daha sonra, kimlik avı e-postasının etkinliğini en üst düzeye çıkarma olasılığı daha yüksek olan sosyal mühendislik ve pazarlama tekniklerini seçmesi talimatını verdiler.
ChatGPT’den taklit edilecek ideal göndereni seçmesini istedikten sonra, kimlik avı e-postasının taslağını hazırlaması talimatını verdiler.
Yapay zeka tarafından oluşturulan kimlik avı e-postası. (Kaynak: IBM X-Force Red)
Eş zamanlı olarak, X-Force Red sosyal mühendisleri, kimliğine bürünecek göndereni seçmelerine ve tuzağa karar vermelerine (şirket içi bir anket) yardımcı olacak bilgileri toplamak için OSINT tekniklerini kullandıktan sonra kendi kimlik avı e-postalarını hazırladılar.
Ancak – ve bu önemli – ChatGPT’nin e-postayı oluşturması beş dakika sürerken araştırmacılar bu görev için 16 saat harcadılar.
Son test
Yapay zeka tarafından oluşturulan ve sosyal mühendisler tarafından yazılan her e-posta, küresel bir sağlık kuruluşunun 800’den fazla çalışanına gönderildi.
Carruthers, “Yoğun bir A/B testi turundan sonra sonuçlar açıktı: İnsanlar galip geldi, ancak çok dar bir farkla” dedi.
İnsanların duyguları anlayabildiğini ve bu nedenle yürekleri çeken ve kulağa daha gerçekçi gelen anlatılar oluşturmada daha başarılı olduklarını açıkladı.
Ayrıca e-postaları kişiselleştirme ve alıcıların şüphesini tetikleme olasılığı daha düşük olan konu satırları yazma konusunda da daha iyidirler. (Örnek bir örnek: Yapay zeka tarafından oluşturulan kimlik avı e-postasının rapor oranı, insan yapımı e-postadan daha yüksekti.)
“Yaratıcılık ve biraz da psikolojiyle donanmış bu sosyal mühendisler, kişisel düzeyde hedefleriyle örtüşen kimlik avı e-postaları yarattılar. İnsan unsuru çoğu zaman kopyalanması zor olan bir özgünlük havası kattı,” diye tamamladı Carruthers.
“İnsanlar bu maçı az farkla kazanmış olabilir ancak yapay zeka sürekli olarak gelişiyor. Teknoloji ilerledikçe yapay zekanın daha karmaşık hale gelmesini ve bir gün potansiyel olarak insanlardan daha iyi performans göstermesini bekleyebiliriz. Bildiğimiz gibi saldırganlar sürekli olarak uyum sağlıyor ve yenilik yapıyor. Sadece bu yıl dolandırıcıların, insanları para göndermeleri, hediye kartları göndermeleri veya hassas bilgileri ifşa etmeleri için kandırmak amacıyla yapay zeka tarafından üretilen ses klonlarını giderek daha fazla kullandıklarını gördük.”