IBM X-Force henüz yapay zeka destekli bir kampanya görmedi ancak karanlık ağda yapay zeka ve ChatGPT’den bahsediliyor.
X-Force Tehdit İstihbaratı Endeksi 2024 raporu, geçen yıl yasa dışı ve karanlık web forumlarında gelişen teknolojiye 800.000’den fazla referans tespit etti. X-Force yakın vadede yapay zeka destekli saldırılar beklese de gerçek tehdit, yapay zekanın kurumsal olarak benimsenmesi olgunlaştığında ortaya çıkacak.
Şu anda çok fazla yapay zeka sistemi devrede.
OpenAI’nin ChatGPT’si üretken yapay zeka ile eşanlamlı hale gelmiş olsa da, hangi büyük dil modellerinin en etkili ve şeffaf olduğunu belirlemek için bir rekabet sürüyor. 10 popüler yapay zeka modelinin yer aldığı bir testte, Google’ın Gemini modeli rakiplerini geride bıraktı, ardından OpenAI’nin GPT-4’ü ve Meta’nın Llama 2’si geldi. Vero AI tarafından oluşturulan test, modellerin görünürlüğünü, bütünlüğünü, optimizasyonunu, mevzuata hazırlığını, etkililiğini ve şeffaflığını ölçüyor.
İşletmeler yapay zekanın benimsenmesini kolaylaştırmak için bulut ve yazılım sağlayıcılarına güveniyor. Coca-Cola’nın bulut ve üretken yapay zeka hizmetlerini kullanmak için Microsoft ile 1,1 milyar dolarlık bir ortaklığı var. General Mills, çalışanlarına özel bir üretken yapay zeka aracı dağıtmak için Google’ın PaLM 2 modelini kullandı.
X-Force, siber suçluların bu noktaya kadar fidye yazılımlara, iş e-postalarının ele geçirilmesine ve kripto korsanlığa odaklandığını tespit etti. Ancak tehdit istihbaratı firması, tek bir yapay zeka teknolojisi %50 pazar payına ulaştığında veya 3’ten fazla birincil yapay zeka teklifi bulunmadığında, siber suç ekosisteminin yapay zekanın peşinden gidecek araçlar ve saldırılar geliştirmeye başlamasını bekliyor.
Yapay zeka, halihazırda baskın olan saldırı kampanyalarını güçlendirebilir
Şubat ayında Microsoft, Kuzey Kore, İran ve Rusya’dan gelen bilgisayar korsanlarının siber güvenlik saldırıları düzenlemek için Açık Yapay Zeka kullandığını bildirmişti ve şirket daha sonra bunu kapatacaklarını söylemişti.
AppOmni’nin yapay zeka direktörü Melissa Ruzzi, bunun şaşırtıcı olmadığını söyledi. Üretken yapay zeka, sosyal mühendislik ve kimlik avı saldırılarını hızlandırabilir.
Tehdit aktörleri, internetin her köşesinden kullanıcılar hakkındaki verileri toplayarak ve bir kişi hakkında daha fazla bilgi edinmek için benzer görünebilecek bilgi parçalarını eşleştirerek karmaşık kimlik avı saldırıları düzenleyebilir. Örneğin, bir kişinin tam olarak gerçek adı olmayan bir Instagram kullanıcı adını tanımlayabilirler.
Ruzzi, bunun sadece sahte e-postalar göndermekle ilgili olmadığını söyledi. Yapay zeka, güzel yazılmış bir ön yazı ve PDF özgeçmişi içeren bir şirkette işe başvuran gerçek bir kişi gibi davranmak için kullanılabilir.
Bilgisayar korsanları, bir pozisyonun ne kadar süredir açık olduğunu belirlemek için de yapay zekayı kullanabilir, böylece “ne kadar çaresiz olduğunuzu görebilirler” dedi.
Tehdit aktörlerinin, şifreleri kırmak, daha önce başarılı olan saldırıların başlatma hacmini artırmak ve siber güvenlik savunmalarını aşmak için üretken yapay zekayı kullanabileceğini ekledi. Maalesef sınır gökyüzüdür.
Yapay zeka gerçeği çarpıtmak için kullanılabilir
CrowdStrike’ın düşmana karşı operasyonlardan sorumlu kıdemli başkan yardımcısı Adam Meyers, üretken yapay zekanın aynı zamanda dezenformasyon ve yanlış bilgilendirme kampanyalarını körüklemek için de kullanıldığını söyledi. Crowdstrike 2024 Küresel Tehdit Raporu’nda şirket, İsrail ve Hamas savaşıyla ilgili yapay zeka görüntülerini takip etti.
Sahte görsellerin fark edilmesi nispeten kolay olsa da (örneğin, altı parmaklı insanlar gibi bazı sahte görsellerde) hala kullanılıyor ve büyük ihtimalle seçimleri aksatacak şekilde 2024 yılına kadar geliştirilmeye devam edecek. Crowdstrike’ın araştırmasına göre dünya nüfusunun %42’sinden fazlası bu yıl başkanlık, parlamento ve/veya genel seçimlerinde oy kullanacak.
Meyers, son New Hampshire önseçimleri sırasında kullanılan sahte Başkan Biden otomatik çağrıları da dahil olmak üzere, “Yanlış bilgi için üretken yapay zeka derin sahtekarlıklarının kullanıldığını zaten görüyoruz” dedi.
Bu, kurumsal siber güvenlik uzmanlarının işin dışında olduğu anlamına gelmiyor çünkü saldırılar yalnızca siyasi arenada sınırlı kalmayacak.
Meyers, eğer birisi bir ülke başkanını derinlemesine taklit edebiliyorsa, aynı zamanda bir şirket başkanını da derinlemesine taklit etme potansiyeline sahip olduğunu söyledi. Kötü niyetli bir aktör, çalışanların para transferi yapma gibi şeyler yapmalarını sağlamak için bir Zoom çağrısında bu derin sahtekarlığı kullanabilir ve bilgisayar korsanlarının, sosyal mühendislik aracılığıyla başkanın o sırada müsait olmayacağını bilmesini sağlayacak şekilde zamanlayabilir.
Ruzzi, “Oluşturabilecekleri saldırıların hacmi ve kalitesi gerçekten korkutucu olmaya başlıyor” dedi.