Siber suçlular, etkinliklerine yardımcı olmak için üretken yapay zeka teknolojisinden yararlanıyor ve özellikle kötü amaçlı etkinlikler için tasarlanmış GPT modellerine alternatif bir kara şapka olan WormGPT olarak bilinen bir aracın kullanımı da dahil olmak üzere iş e-postası ele geçirme (BEC) saldırıları başlatıyor.
SlashNext’in bir raporuna göre WormGPT, kötü amaçlı yazılımla ilgili verilere odaklanarak çeşitli veri kaynakları üzerinde eğitildi, aldığı girdiye göre insan benzeri metinler üretiyor ve son derece ikna edici sahte e-postalar oluşturabiliyor.
Bir siber suç formundan alınan ekran görüntüleri, başarılı BEC saldırılarına yardımcı olmak için ChatGPT’nin nasıl dağıtılacağı konusunda kötü niyetli aktörler arasındaki alışverişi gösteriyor ve hedef dilde sınırlı akıcılığa sahip bilgisayar korsanlarının ikna edici bir e-posta oluşturmak için gen yapay zekayı kullanabileceğini gösteriyor.
Araştırma ekibi ayrıca, özellikle BEC saldırılarına odaklanarak WormGPT ile ilişkili potansiyel risklerin bir değerlendirmesini yaptı ve araca, hileli bir fatura için ödeme yapması için şüphelenmeyen bir hesap yöneticisine baskı yapmayı amaçlayan bir e-posta oluşturma talimatı verdi.
Sonuçlar, WormGPT’nin yalnızca ikna edici bir üslup kullanmakla kalmayıp, aynı zamanda karmaşık kimlik avı ve BEC saldırıları düzenleme yeteneklerinin bir göstergesi olarak “stratejik olarak kurnaz” olduğunu ortaya çıkardı.
Raporda, “ChatGPT’ye benziyor ancak etik sınırları veya sınırlamaları yok” deniliyor ve araçların geliştirilmesinin, acemi siber suçluların elinde bile WormGPT dahil üretken yapay zeka teknolojilerinin oluşturduğu tehdidin altını çizdiği belirtiliyor.
Rapor ayrıca, siber suçluların hassas bilgileri ifşa etmeyi, uygunsuz içerik üretmeyi ve hatta zararlı kod yürütmeyi içerebilecek çıktılar oluşturmak üzere üretici yapay zeka arayüzlerini manipüle etmek için tasarlanmış özel istemler olan “jailbreak” tasarladığını da ortaya çıkardı.
Hatta bazı hırslı siber suçlular, ChatGPT tarafından kullanılanlara benzer ancak saldırıları gerçekleştirmelerine yardımcı olmak için tasarlanmış özel modüller oluşturarak işleri bir adım öteye taşıyor; bu, siber savunmayı daha da karmaşık hale getirebilecek bir evrim.
SlashNext CEO’su Patrick Harr, “Kötü niyetli aktörler artık bu saldırıları sıfır maliyetle geniş ölçekte başlatabilir ve bunu eskisinden çok daha hedefli bir hassasiyetle yapabilirler,” diye açıklıyor. “İlk BEC veya kimlik avı girişiminde başarılı olamazlarsa, yenilenen içerikle yeniden deneyebilirler.”
Üretken yapay zekanın kullanımı, Harr’ın büyük bir hızla ve saldırıyı destekleyen kişi veya kuruluşa hiçbir maliyeti olmadan başlatılabilen saldırıların “polimorfik doğası” dediği şeye yönelecektir. “Şirketleri güvenlik duruşlarını gerçekten yeniden düşünmeye sevk edecek olan, saldırıların sıklığı ile birlikte bu hedeflenen niteliktir” diyor.
Ateşe Ateşle Karşı Koymak
Üretken yapay zeka araçlarının yükselişi, siber güvenlik çabalarında ek karmaşıklıklar ve zorluklar getiriyor, saldırı karmaşıklığını artırıyor ve gelişen tehditlere karşı daha sağlam savunma mekanizmalarına olan ihtiyacı vurguluyor.
Harr, yapay zeka destekli BEC, kötü amaçlı yazılım ve kimlik avı saldırılarının tehdidiyle en iyi şekilde yapay zeka destekli savunma yetenekleriyle mücadele edilebileceğini düşündüğünü söylüyor.
“Yapay zeka ile savaşmak için yapay zekayı entegre etmeniz gerekecek, aksi takdirde dışarıdan içeriye bakacaksınız ve ihlallerin devam ettiğini göreceksiniz” diyor. Ve bu, yapay zeka kaynaklı tehditlerin karmaşık, hızla gelişen bir dizisini keşfetmek, tespit etmek ve nihayetinde engellemek için yapay zeka tabanlı savunma araçlarının eğitilmesini gerektirir.
Harr, “Bir tehdit aktörü bir saldırı oluşturur ve ardından gen yapay zeka aracına bunu değiştirmesini söylerse, aynı şeyi söylemenin yalnızca pek çok yolu vardır,” diye açıklıyor Harr, örneğin fatura sahtekarlığı gibi bir şey için. “Yapabileceğiniz şey, yapay zeka savunmalarınıza o çekirdeği almalarını ve aynı şeyi söylemenin 24 farklı yolunu oluşturmak için klonlamalarını söylemek.” Güvenlik ekipleri daha sonra bu sentetik veri klonlarını alıp geri dönüp kuruluşun savunma modelini eğitebilir.
“Bir sonraki tehditlerinin ne olacağını onlar onu başlatmadan önce neredeyse tahmin edebilirsiniz ve bunu savunmanıza dahil ederseniz, gerçekten bulaşmadan önce onu tespit edip engelleyebilirsiniz” diyor. “Bu, AI ile savaşmak için AI kullanmanın bir örneğidir.”
Onun bakış açısına göre, kuruluşlar nihayetinde keşif tespiti yapmak ve nihayetinde bu tehditlerin düzeltilmesi için yapay zekaya güvenecek, çünkü bunu yapmadan insan olarak eğrinin önüne geçmenin hiçbir yolu yok.
Nisan ayında, bir Forcepoint araştırmacısı, yapay zeka aracını, kötü niyetli istekleri reddetme yönergesine rağmen, belirli belgeleri bulup dışarı sızdırmak için kötü amaçlı yazılım oluşturmaya ikna etti.
Bu arada, geliştiricilerin ChatGPT ve diğer büyük dil modeli (LLM) araçlarına yönelik coşkusu, çoğu kuruluşu yeni ortaya çıkan teknolojinin yarattığı güvenlik açıklarına karşı savunma konusunda büyük ölçüde hazırlıksız bıraktı.