İlk günlerinde, kimlik avı saldırıları (Fransızca’da kimlik avı) genellikle oldukça basitti ve hassas verilere erişmek için yazılı iletişimler (örneğin e-posta ve mektuplar) aracılığıyla güvenilir kaynakların kimliğini gasp etmekten oluşuyordu.
Her yıl 28 Ocak’ta gerçekleşen Avrupa Veri Koruma Günü’nü kutlamak için, saldırganların yapay zekadaki (AI) ilerlemelere yanıt olarak taktiklerini nasıl ayarladıklarını araştırdık. Yapay zeka araçlarının popülaritesinin artmasıyla birlikte, “vishing” olarak bilinen sesli kimlik avı saldırıları sıradan hale geldi.
Bu nedenle kuruluşlara bu gelişmeye karşı mücadele etmeleri ve BT güvenliklerini modernleştirmeleri çağrısında bulunuluyor.
Kimlik avı, daha büyük bir saldırının fark edilme aşamasıdır
Bir saldırının anatomisini dikkatle incelemek, kimlik avının kötü amaçlı yazılım endüstrisinde oynadığı rolü tam olarak anlamanıza olanak tanır. Fidye yazılımı, enfeksiyon döngüsünün sonunda yük teslim edildikten sonra çabalarından para kazanmayı başardığında manşetlere çıkar. Bununla birlikte, genellikle bir kimlik avı saldırısıyla başlayan genel enfeksiyon döngüsü daha az tartışılmaktadır.
Bir saldırının ilk aşamalarındaki keşif aşaması, savunma stratejisinde daha da baskın bir rol oynar. Saldırganlar bir kuruluşun saldırı yüzeyini belirlemeye çalıştığında gizli kişisel bilgileri toplamak için kimlik avını kullanır. Bu, belirli bir makineye sızmak için kimlik bilgilerinin çalınmasını veya sıfır gün kötü amaçlı yazılımlarının indirilmeye çalışılmasını içerebilir.
Saldırganlar, kullanıcıları kandırmak için başta yapay zeka olmak üzere en son trendlerden aktif olarak yararlanırken, işletmelerin de saldırı yüzeylerini en aza indirmesi ve gelişmiş davranışsal analiz mekanizmalarını uygulaması gerekiyor.
Kimlik avı saldırıları giderek kişiselleşiyor
Kullanıcıya yönelik cazibe gelişti. Artık basit e-posta dolandırıcılığından değil, en son teknolojileri, özellikle de yapay zeka araçlarını kullanan çok daha kişiselleştirilmiş saldırılardan bahsediyoruz. Gerçekten de kullanıcılar geleneksel kimlik avı kampanyalarına karşı giderek daha dikkatli olmaya başlıyor. Bu nedenle hackerlar yeni kanallar ve yeni teknikler geliştirdiler.
Son zamanlarda sahte telefon aramaları veya “vishing” popülerlik kazandı. Bu teknik, üst düzey bir yöneticinin gerçek sesini bir ses klonlama aracı kullanarak taklit etmeyi içerir. Bu araçlar, insan sesinin özelliklerini belirleyerek başlıyor, ardından sistemi farklı mesajlar söyleyerek sesi taklit edecek şekilde eğitmek için yapay zekayı kullanıyor. Bu tekniği geleneksel kimlik avı yöntemleriyle birleştirmek, artık saldırıların meşruiyetini anlamak zorunda olan kullanıcılar için yeni zorluklar yaratıyor.
Ancak mesele sadece ses klonlama meselesi değil. 2024 yılına damgasını vuracak kimlik avı konusunda son gelişme ise “Quishing”. Bu saldırı türünde e-posta yoluyla bir QR kodu gönderilir. Görüntünün arkasında kötü amaçlı bir bağlantı gizlenmişti. Bu, bağlantının doğrulanmasını zorlaştırır ve güvenlik araçları genellikle bağlantıyı algılamaz. Bu durum özellikle kişisel cep telefonlarını kullanan çalışanlar için risk altındadır. Bunun nedeni, bu cihazların çoğunun yeterince korunmamasıdır. Kimlik avı tekniklerinin gelişimine karşı koymak için Sıfır Güven yöntemi gibi standart güvenlik çözümleri çok önemlidir. Ancak Sıfır Güven’in uygulanması yalnızca teknolojik düzeyle sınırlı kalmamalı, aynı zamanda insan düzeyine de genişletilmelidir.
Asla güvenme, her zaman doğrula
Kuruluşlar, artan karmaşık kimlik avı tehdidiyle etkili bir şekilde mücadele etmek ve Sıfır Güven zihniyetini uygulayarak hassas bilgileri korumak için siber güvenlik stratejilerini uyarlamaya zorlanıyor.
Şu anda çalışanlar mevcut güvenlik çözümlerine aşırı güveniyor ve şüpheli iletişim durumunda yeterince dikkatli davranmıyor. Tanıdığınızı düşündüğünüz ancak talebi olağandışı veya beklenmedik görünen birinden gelen bir telefon, sistematik olarak kontrol edilmeye değerdir. Çalışan herhangi bir girişimde bulunmadan önce söz konusu kişinin kimliğini doğrulamaya çalışmalıdır. Yüz yüze etkileşimlerin her zaman mümkün olmadığı modern hibrit çalışma ortamında, ilk bilgilerin doğrulanması için başka bir kanalın kullanılması önemle tavsiye edilir. Örneğin, WhatsApp üzerinden potansiyel bir arama olması durumunda, hedefin telefonu açması, Slack üzerinden bir mesaj göndermesi veya kendisini arayan kişiyi arayan meslektaşının iddia ettiği kişi olduğunu doğrulamak için e-posta kullanması gerekiyor. Ayrıca, hesapların güvenliğinin sağlanması ve herhangi bir güvenlik açığının önlenmesi amacıyla çalışanlar, kişisel verilerini veya şifrelerini, talep edilse bile, hiçbir durumda telefon veya e-posta yoluyla iletmemeye dikkat etmelidir. Sistem içindeki verilere veya varlıklara erişmek için dahili olarak hiç kimsenin başka bir personelin şifresini kullanması gerekmemelidir. Dolayısıyla bu tür bilgileri başkalarıyla paylaşmanıza gerek yoktur.
Kimlik avı genellikle risk zincirinin ilk halkasıdır ve yalnızca Veri Koruma Günü’nde değil, daha fazla dikkat çekmelidir. İşletmeler, yapay zekanın kimlik avı saldırılarını iyileştirmeye yönelik yeni yetenekleri konusunda endişelenmeli. Bu zorlukların farkında olan ve bunlarla doğrudan mücadele eden kuruluşlar, daha dayanıklı bir siber güvenlik kültürünü teşvik edebilir ve hassas verileri etkili bir şekilde koruyabilir. Sıfır Güven zihniyetinin insan düzeyinde benimsenmesi, personelin tek bir bilgi kaynağına örtülü güvenmemesi, bunun yerine doğrulamaları başka bir iletişim kanalı üzerinden gerçekleştirmesi konusunda eğitilmesini içerir. Yapay zeka gelecekte dezenformasyon ve yanlış bilgilendirme kampanyalarında önemli bir rol oynayacağından bu ilke daha da geçerli olacaktır.