Eşiniz veya çocuğunuz sizi telefonla arayıp çığlıklar atarak ve ağlayarak kaçırıldıklarını söylese, bunu sakin ve ölçülü bir şüpheyle karşılama olasılığınız nedir?
Bu yılki Black Hat Avrupa’da, Trend Micro’dan iki araştırmacı, belki de yapay zekanın şimdiye kadarki en korkunç kötü amaçlı uygulaması olan “sanal adam kaçırma”nın gerçek, yeni ortaya çıkan yeni trendini tartışacak.
Tipik bir sanal adam kaçırma olayında saldırganlar, siber saldırıları, sosyal medyadan veya Dark Web’den toplanan bilgileri ve AI ses klonlama yazılımını birleştirerek hedefleri sevdiklerinin kayıp olduğuna gerçekçi bir şekilde ikna eder. Sonuç, gerçeğinden neredeyse ayırt edilemez gibi görünebilir; bu nedenle, giderek daha fazla saldırgan, bunu denemek için gelişmiş yapay zeka teknolojisinden yararlanıyor.
“Potansiyel sanal adam kaçıranlarla yapılan yeraltı sohbetlerine baktığımda, bir düzine kadarını görürdüm [posts about it] Trend Micro Research’ün baş tehdit savunma mimarı Craig Gibson şöyle diyor: “Artık herhangi bir zamanda 150’ye yakın.”
Sanal Kaçırma Nasıl Çalışır?
Suçlular, sanal bir adam kaçırma olayına kurbanları, “kaçırılan” kişiyi ve daha da önemlisi müzakereler için iletişime geçilecek akrabayı tespit ederek başlar.
Gibson, eğer bir failin aklında halihazırda bir hedef yoksa, bazı sosyal medya veya Dark Web veri toplamanın en önemli adayları belirlemeye yardımcı olabileceğini öne sürüyor. Tıpkı bir reklam kampanyasında olduğu gibi, “eğer daha önce saldırıya uğramış çok sayıda veriye sahipseniz” diyor Gibson, “belirli bir tür saldırı için en iyi hedefi tanımlamak üzere reklam analitiği yapanlar gibi yazılımları doldurabilirsiniz.” saldırı.”
Sosyal medya istihbaratı aynı zamanda bir saldırının ne zaman gerçekleştirileceğinin belirlenmesine ve saldırının daha gerçekçi hale getirilmesi için ayrıntıların doldurulmasına da yardımcı olacaktır.
Muhtemelen Jennifer DeStefano’nun bilgisayar korsanları bunu böyle yaptı.
Nisan ayında bir öğleden sonra Arizona merkezli DeStefano, bilinmeyen bir numaradan bir çağrı aldı. “Anne, berbat ettim!” büyük kızı hattın diğer ucundan ağladı.
CNN’in haberine göre 15 yaşındaki çocuk kuzeyde kayak yarışına hazırlanıyordu. DeStefano yaralandığından endişeliydi ama sonrasında yaşananlar çok daha korkutucuydu:
Onu esir alan kişi, “Burayı dinleyin,” diye araya girdi. “Kızınız elimde. Polisi arayın, herhangi birini arayın, ona öyle uyuşturucu dolu bir şey vereceğim ki. Onunla istediğimi yapacağım, sonra onu Meksika’ya bırakacağım ve sen asla bunu yapamayacaksın.” onu tekrar gör.” Nakit olarak ödenen bir milyon dolarlık fidye talep etti.
DeStefano’nun bilmediği kızının sesi: “Yardım edin, yardım edin!” çağrının arka planında – bir AI ses emülatörü kullanılarak önceden kaydedildi. O kadar gerçekçiydi ki, oğlu gerçek kızını telefona ulaştırdıktan sonra bile şöyle dedi: “İlk başta onun güvende olduğuna inanmadım çünkü sesi benim için çok gerçekti.”
Kaçıranlar Sadece Daha İyi Olacak
DeStefano’yu sahte olarak kaçıranlar, onu zengin olarak tanımlamayı, ne zaman en savunmasız olacağını belirlemeyi ve yalnızca internette mevcut olan verileri kullanarak, muhtemelen dünyanın öbür ucundan bir telefon görüşmesi yoluyla geri bildirim sağlamak için ses verileri toplamayı başardılar.
Ve bu vakada ne kadar ikna edici olsalar da, sanal kaçıranların yalnızca bugün ellerinde bulunan teknolojileri kullanarak bile gelişebilecekleri çok daha fazla alan var.
Bir saldırgan, örneğin klasik bir SIM değişimiyle sanal bir kaçırma olayını önleyebilir. DeStefano’nun saldırganları kızının telefonunu karartmış olsaydı, kız planlarını anlamadan önce fidyeyi alabilirlerdi.
Özellikle gelişen yapay zeka böyle bir hikayenin planlanmasına ve yürütülmesine yardımcı olabilir. Trend Micro’nun araştırmacıları Haziran ayındaki bir blog yazısında şöyle yazdı: “Bir saldırgan, ChatGPT’yi kullanarak potansiyel kurbanların büyük veri kümelerini yalnızca ses ve video bilgileriyle değil aynı zamanda Uygulama İşleme Arayüzü (API) bağlantısı aracılığıyla coğrafi konum gibi diğer sinyal verileriyle de birleştirebilir.”
Teorik olarak ChatGPT, yapay zeka tarafından oluşturulan bir kurbandan neredeyse gerçek zamanlı yanıtlar oluşturmak için metinden konuşmaya ve otomasyon yazılımıyla işbirliği içinde de kullanılabilir. Böyle bir sistem, daha iyi bir amaç için, yalnızca otomatik botlar kullanarak tele pazarlamacılarla aramaları kolaylaştırmak için Rube Goldberg benzeri bir yapay zeka ve yapay zeka olmayan yazılım koleksiyonu kullanan Jolly Roger Telephone tarafından zaten gösterildi.
Şu an yaşadığımız böyle bir dünyada kurbanların konuştuğu dili anlamak bile bir zorunluluk değil. Gibson bize şunu hatırlatıyor: “ChatGPT ve çeviri işlevleriyle, birdenbire İngilizce konuşmayan veya müzakere edebilecek kadar iyi konuşmayan insanların bunu başarabildiği bir ileri atılım elde edersiniz. Onlar her şeyi yönetebilirler.” Bu kültürel ve dilsel boşlukları, gerçekte nereden geldiklerine bakılmaksızın, saf teknoloji kullanarak ortadan kaldırıyoruz.”
Sanal Kaçırmalar Gerçekten Durdurulabilir mi?
Suçluların sanal adam kaçırmayı daha geleneksel siber şantaj yerine seçmesinin iyi bir nedeni var.
“Geleneksel güvenlik mimarisinin bir daire gibi olduğunu hayal edebilirsiniz ve bu dairenin içindeki her şey geleneksel güvenlik ürünleri tarafından yönetilir. Onun dışındaki her şey insan dünyasıdır. Sanal adam kaçırma, elbette güvenlik ürünlerinin olmadığı insan dünyasına saldırır ve bu nedenle de Yakalanma şansı çok daha az,” diye yakınıyor Gibson.
Sonuçta, bilinmeyen telefon numaralarını engellemek veya ikinci bir dilde konuşarak yapay zeka ses üretecinin kafasını karıştırmaya çalışmak dışında, sanal bir adam kaçırma olayına karşı çok az gerçek teknik çözüm vardır.
Gibson şu sonuca varıyor: “Satıcılar bu çevreyi koruma konusunda giderek daha iyi hale geldikçe, bu durum [cybercriminals] çemberin dışına, diğer saldırı bölgesine.”