Siber tehditlerin yüzü on yıllar boyunca önemli ölçüde değişti. İlk başta, genellikle heyecan ve övünme hakları peşinde koşan genç bilgisayar dahileri tarafından ortaya atılan saldırılar, virüsler ve hizmet reddi saldırıları olarak ortaya çıktılar. Daha sonra, suç örgütleri özel müşteri verilerini çalmak, iş operasyonlarını durdurmak, gizli/hassas kurumsal bilgilere erişmek ve fidye yazılımı planları başlatmak için giderek daha karmaşık araçlar ve teknikler kullandılar.
Günümüzde yapay zeka (AI), tehdit aktörlerine katlanarak daha yüksek verimlilik, hacim, hız ve etkinlik seviyeleri sağlıyor. Tek bir AI aracı, öğrenme, işleme, uyum sağlama ve benzeri görülmemiş bir hız ve hassasiyetle saldırma yeteneğiyle kelimenin tam anlamıyla yüzlerce – hatta binlerce – insan hacker ve spam göndericisinin işini yapabilir. Dahası, Terminator 2’deki T-1000 android suikastçısı gibi, AI, bir sonraki nesil saldırıları geliştirmek ve serbest bırakmak için arkadaşlarınızı, ailenizi, iş arkadaşlarınızı ve hatta potansiyel romantik partnerlerinizi taklit edebilir.
Yapay zeka araçlarının bu evrimi ve bunun sonucunda yapay zeka tarafından üretilen siber saldırılardaki artış, son 12 ayda kuruluşlar üzerinde muazzam bir baskı oluşturdu. Bu olaylar ışığında, FBI yakın zamanda yapay zeka destekli kimlik avı/sosyal mühendislik ve ses/video kopyalama dolandırıcılıklarının “artan tehdidi” hakkında bir uyarı yayınladı.
FBI’a göre, “Bu yapay zeka destekli kimlik avı saldırıları, belirli alıcılara özel, ikna edici mesajlar hazırlama ve uygun dil bilgisi ve yazım kurallarını içerme yetenekleriyle öne çıkıyor” ve “başarılı aldatma ve veri hırsızlığı olasılığını artırıyor.”
Daha fazla içgörü sağlamak amacıyla, siber suç ve yapay zeka ile ilişkili gelişen uygulamalar ve eğilimler hakkında daha iyi bir fikir edinmek için Ocak 2023’ten Mart 2024’e kadar olan faaliyetlerin kapsamlı bir analizini gerçekleştirdik. Sonuç olarak, yapay zeka destekli tehditlerin aşağıdaki dört ana biçimini bulduk:
Chatbot suistimali. Yeraltı forumları, ifşa edilmiş ChatGPT oturum açma kimlik bilgilerini, kötü amaçlı komut dosyalarını otomatik olarak kodlayan sohbet robotlarını ve ChatGPT “jailbreak’lerini” (AI’ye programlanmış belirli sınırları veya kısıtlamaları aşmak için komutların kullanımı) kullanıma sundu. Ancak, siber suçlular istenen sonuçları elde etmek için ChatGPT komutlarını nasıl manipüle edeceklerini öğrendikçe, bu sohbet robotlarına olan ilginin 2023’ün sonuna doğru azaldığını fark ettik.
Sosyal mühendislik kampanyaları. Siber suçlular, kendi kendine yönlendirilen ChatGPT istemlerinin olasılıklarını araştırırken, diğer istismarların yanı sıra kimlik avı bağlantılı kötü amaçlı yazılım ve iş e-postası ihlali (BEC) saldırılarını tetiklemek için sosyal mühendisliğe yoğun bir şekilde odaklandılar. Yapay zeka, otomatik çeviri yapmalarını, kimlik avı sayfaları oluşturmalarını, BEC şemaları için metin üretmelerini ve çağrı hizmeti operatörleri için komut dosyaları oluşturmalarını fazlasıyla kolaylaştırıyor. FBI’ın da belirttiği gibi, teknolojinin giderek daha da karmaşık hale gelmesi, potansiyel olarak zararlı spam’i meşru e-postalardan ayırt etmeyi her zamankinden daha da zorlaştırıyor.
Deepfake’ler. Deepfake’ler yıllardır ortalıkta dolaşırken, AI bu konsepti yeni aldatma yollarına taşıyor. Daha önce, deepfake’ler hileyi kurmak için kapsamlı ses, fotoğraf ve/veya video gerektiriyordu. Ünlü deepfake’ler bu kadar yaygın hale geldi, çünkü internet haberlerdeki insanlarla ilgili bol miktarda içerik barındırıyor. Ancak AI, saldırganların sosyal medya gönderileri şeklinde insanları ve işletmeleri taklit ederek ve tehlikeye atarak dezenformasyon kampanyaları yoluyla sıradan bireyleri ve şirketleri hedef almak için içeriği daha kolay bir şekilde kullanmalarına olanak sağlıyor.
Önemli bir örnek vermek gerekirse, “Yahoo Boys” sahte romantik/cinsel şantaj dolandırıcılıkları yapmak için deepfake’leri kullandı – sahte kişilikler yaratıp kurbanların güvenini kazanarak onları tehlikeli fotoğraflar göndermeye kandırdı – ve ardından kurbanları fotoğrafların kamuoyuna açıklanmasını önlemek için para ödemeye zorladı. Başka bir örnekte, bir tehdit aktörü Kasım 2023’te yapay ses ve video deepfake hizmetleri reklamı yaptı ve sahte reklamlar, animasyonlu profil resimleri, afişler ve tanıtım videoları üretmek amacıyla yapay zeka kullanarak herhangi bir dilde ses üretebildiğini iddia etti.
Müşterinizi tanıyın (KYC) doğrulamasını atlatın. Kuruluşlar, dolandırıcılığı önlemek amacıyla müşterilerinin kimliğini, finansal faaliyetlerini ve risk seviyesini doğrulamak için KYC doğrulamasını kullanmıştır. Elbette suçlular her zaman doğrulama sürecini atlatmaya çalışırlar ve bunu yapmak için artık yapay zekayı kullanmaktadırlar. John Wick adlı bir tehdit aktörü, iddiaya göre OnlyFake adlı bir hizmeti işletiyordu ve kimlik kartlarının gerçekçi görünümlü fotoğraflarını çekmek için “sinir ağları” kullanıyordu. *Maroon adlı bir başkası ise, kullanıcıları telefon kameralarından gerçek zamanlı olarak fotoğraflarını yüklemeye yönlendirenler gibi yüz doğrulaması gerektiren tüm hesapların kilidini açabilen KYC doğrulama atlama hizmetlerini reklam ediyordu.
Analizimizde bulduğumuz ortak bir tema varsa, o da yapay zekanın siber suçlular için amaçlanan nihai oyunu değiştirmediğidir – sadece oraya daha hızlı ve başarılı bir şekilde ulaşmayı çok daha kolay hale getiriyor. Teknoloji, doğrudan daha karmaşık, daha az tespit edilebilir ve daha ikna edici tehditlere yol açan iyileştirmelere izin veriyor. Bu nedenle güvenlik ekipleri, açıklanan gelişmelere/eğilimlere ve FBI uyarısına kulak vermeli ve giderek daha zorlu, yapay zeka destekli saldırılara karşı koymak için yeni çözümler ve teknikler uygulamalıdır. Tarih bize bir şey öğrettiyse, o da yeni bir tehdit ile etkili bir şekilde mücadele etmenin ilk adımının, onun ne olduğunu tam olarak anlamak olduğudur.
Reklam