Kolayca tespit edebileceğiniz eski, hata dolu e-postaları unutun. Siber suçlular, tespit edilmesi zor olabilecek yeni bir kimlik avı dolandırıcılığı oluşturmak için yapay zeka (yapay zeka) kullanarak yöntemlerini tamamen yükselttiler.
Microsoft Tehdit İstihbaratı yakın zamanda 18 Ağustos’ta bir kimlik bilgisi avlama kampanyası tespit etti ve engelledi. Analizleri, bilgisayar korsanlarının, ortak sohbet botlarına güç veren AI’ya atıfta bulunan ve geleneksel güvenlik önlemlerinden kaçan karmaşık kod yazmaya atıfta bulunan büyük dil modellerini (LLMS) kullandığını gösterdi. Bu sınırlı, ancak önemli kampanya öncelikle ABD merkezli kuruluşları hedefledi.
Saldırı nasıl düz görüşte saklanıyor
Saldırı, zaten tehlikeye atılmış küçük işletme e-posta hesabından gönderilen hileli bir dosya paylaşımı e-postasıyla başladı. Mesaj meşru görünüyordu, ancak ekli dosya (23mb – PDF- 6 pages.svg) gerçek hile oldu.
Bir PDF gibi görünse de, .SVG uzantısı aslında ölçeklenebilir bir vektör grafik (SVG) dosyası olduğu anlamına gelir. Saldırganlar, bu tür dolandırıcılıklar için SVG dosyalarını tercih ederler, çünkü kullanıcılara ve birçok güvenlik aracı için zararsız görünen dinamik, etkileşimli kodu kolayca yerleştirebilirler.
Dosyanın içindeki kötü amaçlı kod benzersiz bir şekilde gizlendi. SVG dosyası, standart karıştırma tekniklerini (şifreleme veya rastgele karakter ikamesi gibi) kullanmak yerine, grafik çubukları için sahte öğelerle tamamlanan meşru bir iş analizi kontrol paneli gibi görünecek şekilde yapılandırılmıştır.
Gerçek, zararlı yük, dosyanın standart veriler olarak görünmesini sağlamak için “gelir”, “operasyonlar” ve “risk” gibi normal iş terimleri dizisi kullanarak bu tuzak içinde gizlenerek gizlenerek, kullanıcıları kimlik bilgilerini çalmak için sahte bir oturum açma sayfasına yönlendirme niyetini gizlemek için gizlenmiştir.
AI ve AI savunması
Saldırganların kodu nasıl bu kadar zor hale getirdiğini anlamak için Microsoft kendi AI analiz aracı Güvenlik Copilot’u kullandı. Araç, “bir insanın karmaşıklığı, dayanak ve pratik fayda eksikliği nedeniyle tipik olarak sıfırdan yazacağı bir şey olmadığını” değerlendirdi. Bu, aşırı mühendislik, sistematik kod yapısının büyük olasılıkla bir insan programcının değil, bir AI modelinin ürünü olduğu anlamına geliyordu.
AI destekli saldırıların yükselişi endişe verici olsa da, bu dava rakipsiz olmadıklarını kanıtlıyor. Kampanya, Office 365’in kendi AI koruma sistemleri için Microsoft Defender tarafından başarıyla engellendi.
Bu sistemler, BCC alanında gizlenmiş alıcılar, dosya türü ve adının şüpheli kombinasyonu ve nihai olarak bilinen bir kötü niyetli web sitesine yönlendirme gibi, AI’nın kolayca gizleyemeyeceği davranışsal kırmızı bayraklar arar.
Buradaki ders, saldırganların dolandırıcılıklarını sinsi ve daha etkili hale getirmek için AI’ya giderek daha fazla güvendikçe, güvenlik ekiplerinin sürekli olarak adapte olmaları ve önde kalmanın yeni yollarını bulmaları gerektiğidir.
Uzman bilgiler
Microsoft’un bulgularının ardından, birkaç güvenlik uzmanı bakış açılarını sadece hackread.com ile paylaştı. Radiant Logic’in ürün pazarlaması başkan yardımcısı Anders Askasen, AI odaklı kimlik avı, “cephe hattı yük değil, girişin arkasındaki kişi” olduğunu gösteriyor.
Yetkili, bu “AI ölçekli aldatmacaya” karşı koymak için kuruluşların kimlik gözlemlenebilirliğine odaklanması gerektiğini, kimlik verilerini “bir hesabın karakter dışı ne zaman davrandığını görmek” için birleştirmesi gerektiğini de sözlerine ekledi.
Benzer şekilde, Cobalt’taki CISO olan Andrew Obadiaru, AI’nın “kurumsal iş akışlarıyla sorunsuz bir şekilde karışan kamuflaj” kod oluşturarak oyunu temelde değiştirdiğini belirtti.
Güvenlik ekiplerinin odağını davranışsal algılama, AI destekli taktiklere karşı kırmızı takım oluşturma ve iyileştirme döngülerini kısaltmaları gerektiği sonucuna varmıştır. Buradaki temel ders, saldırganların dolandırıcılıklarını daha gizli ve etkili hale getirmek için giderek daha fazla güvendikçe, güvenlik ekiplerinin sürekli olarak adapte olmaları ve önde kalmanın yeni yollarını bulmaları gerektiğidir.