Yapay Zeka ve Siber Güvenlik Tehditleri
Son yıllarda yapay zeka (YZ) teknolojisinin gelişimi, birçok sektörde devrim yaratmıştır. Ancak bu gelişmelerin yanı sıra, siber güvenlik tehditleri de artış göstermektedir. Özellikle şirketler ve bireyler, YZ destekli saldırılara maruz kalma riski taşımaktadır. Yakın zamanda Guardio Labs tarafından tanıtılan PromptFix tekniği, bu tür saldırıların nasıl gerçekleştirilebileceği konusunda önemli ipuçları sunmaktadır.
- Yapay Zeka ve Siber Güvenlik Tehditleri
- PromptFix ve YZ’nin Manipülasyonu
- Scamlexity: Yeni Bir Dolandırıcılık Dönemi
- Dikkat Edilmesi Gereken Saldırı Yöntemleri
- Email Dolandırıcılıkları ve Otomatik Etkileşimler
- Gizli Talimatlar ve İçerik Yönetimi
- Yapay Zeka ve Siber Savunma
- Gelecek Öngörüleri ve Siber Güvenlik
PromptFix ve YZ’nin Manipülasyonu
PromptFix tekniği, bir generatif yapay zeka (GenAI) modeli üzerinde yapılan yenilikçi bir saldırı yöntemidir. Bu yöntemde, kötü niyetli talimatlar bir web sayfasında sahte bir CAPTCHA kontrolü içerisine yerleştirilir. Bu durum, YZ destekli tarayıcıların, kullanıcıların bilgilendirilmeden dolandırıcılık siteleriyle etkileşime girmesine olanak tanır. Guardio, bu saldırının “ClickFix dolandırıcılığının bir YZ çağı versiyonu” olduğunu belirtiyor.
Scamlexity: Yeni Bir Dolandırıcılık Dönemi
Bu yeni teknik, Scamlexity adını verdiği bir olgunun ortaya çıkmasına yol açmıştır. Scamlexity, “dolandırıcılık” ve “karmaşıklık” terimlerinin birleşimidir. YZ sistemleri, minimal insan müdahalesiyle hedeflerini otonom bir şekilde takip ederek dolandırıcılıkları daha da karmaşık hale getirmektedir. Guardio, bu durumu şu şekilde tanımlıyor: “YZ kolaylığı, yeni görülmeyen dolandırıcılık yüzeyleri ile çarpışıyor ve insanlar, yan etki olarak zarar görüyor.”
Dikkat Edilmesi Gereken Saldırı Yöntemleri
Saldırganlar, Lovable gibi YZ destekli kodlama asistanlarını kullanarak onların zayıf noktalarını hedef alabilirler. Örneğin, “Bana bir Apple Watch al” gibi basit bir talimat, YZ modelinin sahte bir e-ticaret sitesine yönlendirilerek satın alma işlemi yapmasına neden olabilir. Bu tür saldırılar genellikle sosyal medya reklamları, spam mesajları veya SEO zehirlemesi gibi yöntemlerle gerçekleştirilmektedir.
Email Dolandırıcılıkları ve Otomatik Etkileşimler
Benzer şekilde, kullanıcıların e-postalarını kontrol etmesi istendiğinde, YZ sistemleri sahte e-postalardaki bağlantılara tıklayabilir ve kullanıcı bilgilerini kötü niyetli bir sayfada girebilirler. Guardio, “Tam bir güven zinciri bozuldu. Comet tüm etkileşimi ele alarak dolandırıcılık sayfasını onayladı,” diyor. Kullanıcı, şüpheli bir gönderen adresini hiç görmeden ve bağlantıya tıklamadan işlem yapabiliyor.
Gizli Talimatlar ve İçerik Yönetimi
Gizli talimatları içeren PromptFix saldırısı, YZ modelinin göze çarpmayan butonlara tıklamasını sağlayarak CAPTCHA kontrollerini bypass etmeyi hedefler. Bu tür bir saldırı, insan katılımı olmadan kötü niyetli yazılımların indirilmesine yol açabilir. Guardio, “PromptFix yalnızca Comet üzerinde çalışıyor ve ChatGPT’nin Agent Modu’nda da başarılı olduk,” diyor.
Yapay Zeka ve Siber Savunma
Bu durum, YZ sistemlerinin daha proaktif güvenlik önlemleri almasını zorunlu kılıyor. Phishing tespitinin, URL reputasyon kontrollerinin ve sahte alan adlarının etkili bir şekilde yönetilmesi gerektiği sonucuna varılmaktadır. Palo Alto Networks tarafından yapılan analizler, saldırganların YZ platformlarını kullanarak daha gerçekçi dolandırıcılık içeriği oluşturduğunu göstermektedir.
Gelecek Öngörüleri ve Siber Güvenlik
Proofpoint isimli siber güvenlik şirketi, Lovable hizmetlerini kullanarak yapılan çok sayıda dolandırıcılık kampanyası gözlemlediğini bildirmiştir. Bu kampanyalar arasında çok faktörlü kimlik doğrulama (MFA) dolandırıcılık kitleri, kripto para mala yazılımları ve kişisel bilgileri hedef alan phishing kitleri bulunmaktadır. Dolandırıcıların oluşturduğu sahte web siteleri, dolandırıcılığı daha da kolaylaştırmaktadır.
CrowdStrike’in Tehdit Avı Raporu, YZ’nin tehdit aktörlerinin operasyonlarını artırdığını vurgulamaktadır. GenAI araçları, sosyal mühendislik saldırılarında kullanılacağını öngörmektedir. “Bu araçlar daha erişilebilir, kullanıcı dostu ve karmaşık hale geldikçe, tehdit aktörleri tarafından daha fazla kullanılacaktır,” denmektedir.
Yapay zeka temelli dolandırıcılıklar, siber güvenlik tehditlerini artırarak, hem şirketler hem de bireyler için yeni riskler oluşturuyor. Bu nedenle, YZ sistemlerinin geliştirilmesinde güçlü savunma mekanizmalarını oluşturmak için gerekli adımların atılması büyük önem taşımaktadır.
