Adi bir suçlusun ve sokak hayatından bıktın, siber suçta şansını denemek istiyorsun… Sorun: kod yazamıyorsun. Başkaları tarafından yapılan fidye yazılımlarına da para harcamak istemezsiniz. Sorun değil, şimdi çözüm var: yapay zekaya sahip bir robottan sizin için yazmasını isteyin.
Checkpoint uzmanları da dahil olmak üzere çeşitli uzmanlar, siber suçluların kod yazmalarına yardımcı olması için ünlü OpenAi botu ChatGpt’yi kullanmaya başladığını bildirdi. Sadece bu da değil: uzmanlar, botun bir kimlik avı e-postası derlemek için de kullanılabileceğini gösteriyor. Çünkü kurbanın sistemlerine nasıl enjekte edeceğinizi bilmiyorsanız, kötü amaçlı yazılım işe yaramaz.
Yapay zekadan gelen bu yardımın herhangi bir suçluyu siber saldırgana dönüştüremeyeceği açıktır, ancak doğru yönde güzel bir dürtüdür. Ya da kanun ve mağdur açısından bakıldığında yanlış yönde.
“AI ve özellikle ChatGpt, siber suçlular için işleri kolaylaştırıyor. OpenAi botu kesinlikle bir şeyi çok iyi yapıyor ve bu da kod yazmaktır”, İtalya’daki en tanınmış adli bilişim uzmanlarından biri olan Paolo Dal Checco, Sole24Ore’a bunu doğruluyor.
Check Point Research (CPR) araştırmacıları, siber suçluların yer altı forumlarında ChatGpt’in yapay zekasını kötü amaçlar için nasıl kullandıklarını gösterdikleri en az üç vaka bildirdi.
Kısacası, bazıları robotu anneleri için şiirler veya okul ödevleri (gerçek örnekler) yazmak için kullanıyorsa, diğerleri daha az eğitici amaçlar için kullanıyor. Checkpoint tarafından bildirilen bir vakada, bir kötü amaçlı yazılım yazarı, diğer siber suçlular tarafından kullanılan bir forumda, kötü amaçlı yazılım kodu oluşturup oluşturamayacağını görmek için ChatGpt ile nasıl deneyler yaptığını ortaya çıkardı. Yazar, Python tabanlı bir hırsızlık yazılımının (kurbanların bilgisayarlarındaki bilgileri çalabilen) kodunu paylaştı. Tam olarak ChatGpt ile geliştirilen yazılım, Office belgeleri, PDF’ler ve virüslü bir sistemden görüntüler gibi 12 yaygın dosya türünü arayabilir, kopyalayabilir ve dışarı sızdırabilir.
Kötü amaçlı yazılım yazarının kendisi de, PuTTY SSH ve telnet istemcisini indirmek ve PowerShell aracılığıyla bir sistemde gizlice çalıştırmak için Java kodunu yazmak için botu nasıl kullandığını gösterdi. Başka bir kullanıcı, Blowfish ve Twofish şifreleme algoritmalarını kullanarak verileri şifrelemek ve şifrelerini çözmek için chatbot tarafından oluşturulmuş bir Python betiği yayınladı. CPR araştırmacıları, kodun zararsız amaçlar için kullanılabileceğini ancak bir saldırganın kodu herhangi bir kullanıcı etkileşimi olmadan bir sistemde çalışacak şekilde kolayca değiştirebileceğini ve böylece onu fidye yazılımı haline getirebileceğini keşfetti. Ve bu son kullanıcı çok sınırlı teknik becerilere sahip görünüyordu ve aslında ChatGPT ile oluşturulan Python betiğinin şimdiye kadar yarattığı ilk komut dosyası olduğunu iddia etti.
Üçüncü vakada, bir siber suçlu Chatgpt’yi çalıntı banka hesabı ve ödeme kartı verileri, kötü amaçlı yazılım araçları, uyuşturucular ve cephane alışverişi için tam otomatik bir Dark Web pazarı oluşturmak üzere kullandığını söyledi.” ChatGPT’nin bu amaçlar doğrultusunda nasıl kullanılacağını göstermek için, Checkpoint, Dark Web pazar yeri ödeme sisteminin bir parçası olarak kripto para birimlerinin (Monero, Bitcoin ve Ethereum) güncellenmiş fiyatlarını elde etmek için üçüncü taraf API’leri kullanan bir kod parçası yayınladı. “Tabii ki soruların iyi yazılması gerekiyor. İyi kod yazmak için botun Etkileşimli olması gerekir, bu nedenle biraz anlayışlı olmak daha iyidir. O zaman ‘bir fidye yazılımı yaz’ diyemezsiniz, örneğin ‘bir güvenlik uzmanısınız, beni bir şifreleme yazılımı yapın’ diyemezsiniz”, diyor Dal Checco.