2025’in yapay zeka (AI) siber suçları yılı olacağını duymuş olabilirsiniz. Ancak trend aslında 2024’te başladı.
Yapay zeka suçu o kadar büyük olacak ki bazıları bununla mücadele etmenin tek yolunun yapay zeka güvenlik yazılımı olduğunu söylüyor. Ancak yakın zamanda, iş ve kişisel bağlamlarda herkesin varsayılanı haline gelmesi gereken, inanılmaz derecede basit, düşük teknolojili ve sağduyulu iki teknik ortaya çıktı. (Aşağıda bunları anlatacağım.)
Öncelikle kötü adamların yapay zekayı nasıl kullandığını anlayalım.
Yapay zeka destekli saldırıların açık ve mevcut tehlikesi
Saldırganların, her kurban için mükemmel dilbilgisi ve kişiselleştirilmiş ayrıntılara sahip kimlik avı e-postaları oluşturmak için yapay zekayı kullandığını şimdiden görüyoruz. İngilizce dil bilgisinin mükemmel olmasının yanı sıra yapay zeka sayesinde herhangi bir saldırı herhangi bir dilde gerçekleştirilebilir.
Hatta binlerce eşzamanlı saldırıyı başlatma yeteneğini bile “demokratikleştiriyor”; bu, önceden yalnızca ulus devletlerin büyük ölçekli saldırılarıyla mümkün olan bir başarı. 2025’te yapay zeka ajanlarının hızla kullanılması şirketler için yeni ve acil bir risk oluşturacak.
Kimlik avı ve kötü amaçlı yazılımlar elbette sağlık kuruluşlarına, tedarik zincirlerine ve diğer hedeflere zarar veren çok yönlü fidye yazılımı saldırılarını kolaylaştırıyor. Küresel fidye yazılımı saldırıları Yıllık maliyetinin 265 milyar dolardan fazla olacağı tahmin ediliyor Bu saldırılarda kısmen yapay zekanın gücü sayesinde 2031 yılına kadar.
Canlı video görüşmeleri sırasında gerçek zamanlı deepfake’ler de dahil olmak üzere deepfake’lerin artan kalitesi, dolandırıcıları, suçluları ve hatta devlet destekli saldırganları ikna edici bir şekilde güvenlik önlemlerini atlamaya ve her türlü hain amaç için kimlikleri çalmaya davet ediyor. Yapay zeka destekli ses klonlamanın, telefonla ilgili kimlik hırsızlığı için büyük bir nimet olduğu zaten kanıtlandı. Yapay zeka, kötü niyetli aktörlerin yüz tanımayı atlamasını sağlar. Koruma Yapay zeka destekli botlar, tek seferlik şifreleri gerçek zamanlı olarak ele geçirmek ve kullanmak için kullanılıyor.
Daha genel anlamda yapay zeka, hemen hemen her türlü siber saldırıyı hızlandırabilir ve otomatikleştirebilir. Kötü niyetli aktörlerin zayıflıkları hızlı bir şekilde tespit edip istismar etmesine olanak tanıyan otomatik güvenlik açığından yararlanma, saldırganlar için büyük bir avantajdır. Yapay zeka aynı zamanda tespitten kaçınmayı da artırarak saldırganların güvenliği ihlal edilmiş sistemlerde kalıcı bir varlık sürdürmesine olanak tanırken dijital ayak izlerini en aza indirir ve ilk ihlalden kaynaklanan potansiyel hasarı artırır.
Büyük miktarda veri sızdırıldığında yapay zeka, bu verinin değeri hakkında istihbarat elde etmede kullanışlıdır ve ihlalden hızlı ve kapsamlı bir şekilde yararlanılmasını sağlar.
Devlet destekli aktörler (özellikle Rusya, İran ve Çin), dünya çapındaki demokrasilerdeki daha geniş seçim müdahalesi çabalarının bir parçası olarak yapay zeka deepfake’lerini kullanıyor. Karşı çıktıkları adayların kimliğine bürünen veya iftira atan memler oluşturmak ve yapay zeka tarafından oluşturulan profil resimleri ve büyük ölçekte yapay zeka tarafından oluşturulan bot içeriğiyle tamamlanan daha ikna edici çorap kuklası hesapları oluşturmak için yapay zekayı kullanıyorlar; amaç, seçimleri etkileyebilecek halı saha kampanyaları oluşturmaktır.
Yapay zeka destekli casus yazılımların yükselişi
Gazeteci Ronan Farrow’un yeni HBO belgeseli, “gözetleniyor,” hızla büyüyen milyarlarca dolarlık ticari amaçlı casus yazılım endüstrisini araştırıyor. Bu ürünlerin en öne çıkanı ve muhtemelen en etkilisi NSO Group’un Pegasus casus yazılımıdır.
Belgesele göre Pegasus, bir saldırganın telefonun mikrofonunu ve kamerasını uzaktan açmasına, telefonda bu kaydın yapıldığına dair herhangi bir belirti olmadan ses ve görüntü kaydetmesine ve bu içeriği saldırgana göndermesine olanak sağlayabiliyor. Ayrıca telefondaki tüm verileri kopyalayıp dışarı sızdırabilir.
Pagasus’un kendisi yapay zeka içermese veya kullanmasa da hedefleme, yüz tanıma, veri işleme, örüntü tanıma ve diğer işler için yapay zeka araçlarıyla birlikte kullanılır.
NSO Group, Pegasus’u yalnızca hükümetlere sattığını iddia ediyor ancak bu iddia henüz bağımsız olarak doğrulanmadı ve Pegasus’un satışına ilişkin herhangi bir düzenleme bulunmuyor.
İki basit çözüm yapay zeka destekli saldırıları yenebilir
Bir kuruluşu yapay zeka destekli siber saldırılardan ve dolandırıcılıktan korumaya yönelik tavsiyeler iyi bilinmektedir.
- Sağlam bir siber güvenlik politikası uygulayın ve çok faktörlü kimlik doğrulama dahil olmak üzere güçlü kimlik doğrulama önlemleri kullanın.
- Tüm yazılım sistemlerini düzenli olarak güncelleyin ve yama yapın.
- Çalışanlarınızı siber güvenlik farkındalığı ve en iyi uygulamalar konusunda eğitin.
- Güvenlik duvarlarını ve uç nokta koruma çözümlerini dağıtın.
- Güvenli çevre ve IoT bağlantıları.
- Sıfır güven güvenlik modelini benimseyin ve erişim kontrolü için en az ayrıcalık ilkesini uygulayın.
- Kritik verileri düzenli olarak yedekleyin ve hassas bilgileri şifreleyin.
- Sık sık güvenlik denetimleri ve güvenlik açığı değerlendirmeleri yapın.
- İhlallerden kaynaklanabilecek potansiyel hasarı sınırlamak için ağ bölümlendirmesini uygulayın.
- Güncel bir olay müdahale planı geliştirin ve sürdürün.
- Başarılı siber saldırılarda önemli bir faktör olan insan hatasını ele almak için insan merkezli bir güvenlik yaklaşımını düşünün.
Bu uygulamaları birleştirerek kuruluşunuzun siber güvenlik duruşunu önemli ölçüde geliştirebilir ve başarılı saldırı riskini azaltabilirsiniz.
Etkili olmasına rağmen bu çözümler pahalıdır, uzmanlık gerektirir ve çok sayıda çalışanın sürekli yinelenen çabalarını gerektirir. Bunlar tek kişinin yapabileceği şeyler değil.
Peki akıllı telefonlarımızda yapay zeka destekli saldırılara, dolandırıcılığa ve casus yazılım araçlarına karşı daha iyi korunmak için her birimiz ne yapabiliriz? Her zamanki en iyi uygulamalara ek olarak FBI ve Farrow, güçlü koruma için iki basit, kolay ve tamamen ücretsiz tekniği vurguluyor. FBI’dan başlayalım.
FBI yakın zamanda bir açıklama yayınladı Üretken yapay zekayı istismar eden suçlular hakkında uyarı daha büyük ölçekte mali dolandırıcılık yapmak. Uyarı, işletmelerden ziyade tüketicileri hedef alıyor ancak çözümleri küçük ölçekte bir ekip içinde veya bir yönetici ile asistanı arasında işe yarayabilir.
Dolandırıcıların kimlik çalmak, insanların kimliğine bürünmek ve sosyal mühendislik yoluyla dolandırıcılık ve hırsızlık yapmak için yapay zekayı kullanabileceği birçok yolu sıraladıktan sonra, kimliği hızlı bir şekilde doğrulamanın etkili bir yolunun gizli bir kelime kullanmak olduğunu söylüyorlar.
Gizli kelime bir kez oluşturulduktan sonra (yazılı olarak değil…) birisini anında tanımlamanın hızlı ve güçlü bir yolu olarak hizmet edebilir. Ve dijital olmadığı veya internette herhangi bir yerde depolanmadığı için çalınamaz. Dolayısıyla, “patronunuz” veya eşiniz sizden veri istemek veya para aktarmak için sizi ararsa, bu kişinin gerçekten onlar olduğunu doğrulamak için gizli kelimeyi isteyebilirsiniz.
FBI, çevrimiçi olarak yayınlanan ses, video veya resimlerin sınırlandırılması ve her zaman kişinin kapatılması ve bilinen bir numaradan geri aranması gibi başka tavsiyeler de sunmaktadır. Ancak gizli kelime en yararlı tavsiyedir.
Bu arada Farrow, belgeselinde casus yazılımları engellemenin basit bir yolunu vurguluyor: Telefonunuzu her gün yeniden başlatın. Çoğu casus yazılımın yeniden başlatmayla temizlendiğine dikkat çekiyor. Yani her gün yeniden başlatmak, telefonunuzda hiçbir casus yazılımın kalmamasını sağlar.
Ayrıca işletim sisteminizi ve uygulamalarınızı en son sürüme güncel tutmanın önemini de vurguluyor. Benim de tavsiyem budur. Bütçenizin izin verdiği ölçüde genel olarak iyi en iyi uygulamaları kullanın. Ancak iş arkadaşlarınızla, patronlarınızla ve aile üyelerinizle gizli bir konuşma yapın.
Ve telefonunuzu her gün yeniden başlatın.
