Şimdiye kadar, kuruluşların siber suçla mücadelede en büyük zayıflıkları kontrol altındaydı: çalışanlar başarılı bir şekilde eğitildi ve duyarlı hale getirildi. Ancak yapay zeka tarafından üretilen sosyal mühendislik dolandırıcılıklarıyla yeni bir dalga geliyor. Sophos Uygulamalı Araştırmalar CTO'su Chester Wisniewski, teknoloji olgunlaşana kadar insanların bekçi köpeği oynaması gerektiğini söylüyor ve gelecek için üç tahminde bulunuyor.
Kuruluşlar, en kritik siber güvenlik bileşenlerinden biriyle boğuşuyor: çalışanları. Sürekli eğitimle "insan zayıflığına" karşı koyarlar ve artık kullanıcıların, örneğin dilsel düzensizlikler veya yanlış yazım ve dilbilgisi nedeniyle olası kimlik avı saldırılarını fark edeceklerine güvenirler.
AI artık yazım hatalarıyla kendini göstermiyor
Ancak ChatGPT gibi yapay zeka destekli ses ve içerik oluşturucular, dolandırıcılıklardan, kimlik avı girişimlerinden ve diğer sosyal mühendislik saldırılarından bu açıklayıcı unsurları ortadan kaldırma yolunda ilerliyor. "Amir" den gelen sahte bir e-posta, yapay zeka sayesinde kulağa her zamankinden daha inandırıcı gelebilir ve çalışanlar şüphesiz gerçekle kurguyu ayırt etmekte daha fazla zorlanacaklar. Bu dolandırıcılıklar söz konusu olduğunda, AI dil araçlarının ortaya koyduğu riskler teknik değil, sosyal ve dolayısıyla korkutucu.
Yapay zeka tarafından oluşturulan kimlik avı saldırılarının belirli riskleri
Yapay zeka dil araçları, blog gönderileri ve kodlama kodu oluşturmaktan profesyonel e-postalar oluşturmaya kadar her şeyi yapabilir.
Bu programların toplum tarafından tasarlanmış içerikler için herhangi bir şekilde kötüye kullanıldığını henüz doğrulamamış olsak da, bunun çok yakın olduğundan şüpheleniyoruz. ChatGPT zaten kötü amaçlı yazılım yazmak için kullanılıyor ve suç aktörlerinin yakında AI ses araçları için kötü amaçlı uygulamalar geliştirmesini bekliyoruz. Ancak: AI tarafından oluşturulan kimlik avı içeriği, halihazırda teknik savunmayı baltalayan benzersiz sosyal riskler oluşturuyor!
AI kimlik avı saldırıları: Her e-posta bir tehdit olabilir mi?
Örneğin, yapay zeka tarafından üretilen kötü amaçlı yazılımları ele alalım: mevcut güvenlik ürünleri, kodlama kodunu milisaniyeler içinde analiz edebilir ve güvenle güvenli veya kötü amaçlı olarak değerlendirebilir. Daha da önemlisi, teknoloji teknolojiye karşı koyabilir.
Ancak yapay zeka ile oluşturulan kimlik avı mesajlarına gömülü kelimeler ve nüanslar makineler tarafından algılanamaz - bu dolandırıcılık girişimlerini alıcı olarak yorumlayacak olan insanlardır. AI araçları talep üzerine sofistike ve gerçekçi içerik üretebildiğinden, savunma hattının bir parçası olarak insanlara giderek daha az güvenebiliriz.
Yeni Gerçek: Teknoloji ve Teknoloji
Hızla gelişen bu durum, sosyal mühendislik saldırılarıyla mücadelede güvenlik eğitiminin rolünün yeniden değerlendirilmesini gerektiriyor. Henüz yapay zeka kaynaklı dolandırıcılığa karşı ticari bir uygulama bulunmamakla birlikte, teknoloji giderek artan bir şekilde, makine kaynaklı kimlik avı saldırılarına karşı bireyleri belirlemek ve korumak için önemli bir araç olarak hizmet edecektir. İnsanlar hala bir rol oynayacak, ama sadece çok küçük bir rol oynayacak.
ChatGPT çağı için üç kehanet
Henüz bu yeni yapay zeka çağının ilk aşamalarında olsak da, yapay zeka tarafından oluşturulan kimlik avı içeriğinin kurumsal güvenlik stratejisi için son derece önemli bir konu haline geleceği şimdiden belli. ChatGPT'nin bir siber suç aracı olarak nasıl kullanılabileceğine ve bundan hangi güvenlik tepkilerinin gelişeceğine ilişkin aşağıdaki üç tahmin en olası görünmektedir:
1. Daha karmaşık kullanıcı kimlik doğrulaması gerekli hale gelecektir.
Makineler insan gibi ses çıkarmada çok iyidir, bu nedenle şirketlerde yeni kimlik doğrulama seçenekleri sağlamaya ihtiyaç vardır. Bunun anlamı: şirket bilgilerine, sistemlere veya parasal unsurlara erişimle ilgili her iletişim, daha karmaşık kullanıcı kimlik doğrulaması biçimleri gerektirmelidir. Telefonla doğrulama, muhtemelen bu tür e-postaları veya mesajları doğrulamanın en yaygın yöntemi haline gelecektir. Şirketler ayrıca kendilerini diğer kuruluşlara veya bireylere tanıtmak için gizli bir günlük şifre kullanabilir.
Bazı finansal kurumlar zaten bu şekilde çalışıyor. Hangi doğrulama biçimi kullanılırsa kullanılsın, yöntemin kullanıcı kimlik bilgilerini tehlikeye atan saldırganlar tarafından kolayca kullanılamaması çok önemlidir.
Yapay zeka teknolojileri son derece hızlı bir şekilde gelişip yayıldıkça, kimlik doğrulama yöntemlerinin de buna ayak uydurması gerekir. Örneğin, bu yılın Ocak ayında Microsoft, üç saniyelik ses kaydından sonra insan sesini klonlayabilen yeni bir yapay zeka teknolojisi olan VALL-E'yi açıkladı. Yani yakın gelecekte, telefon araması muhtemelen artık bir kimlik doğrulama gereksinimi olarak da yeterli olmayacak...
2. Meşru kullanıcılar güvenlik uyarılarını sulandırır: ya hep ya hiç
Chester Wisniewski, Sophos'ta Uygulamalı Araştırmalar CTO'su (Resim: Sophos).
Birçok kullanıcı, hızlı bir şekilde profesyonel veya tanıtım içeriği üretmek için ChatGPT'yi kullanır. AI dil araçlarının bu meşru kullanımı, suç örneklerini tanımlamayı zorlaştırarak güvenlik yanıtlarını karmaşık hale getirir.
Örnek: ChatGPT tarafından oluşturulan metin içeren tüm e-postalar kötü amaçlı değildir, bu nedenle hepsini doğrudan engelleyemeyiz. Bu, bir dereceye kadar, güvenlik yanıtımızı sulandırıyor. Karşı önlem olarak, güvenlik çözümü sağlayıcıları "güven noktaları" veya bir mesajın veya e-postanın yapay zeka tarafından oluşturulmuş olmasına rağmen hala güvenilir olma olasılığını değerlendiren başka göstergeler geliştirebilir. Ayrıca, AI modellerini yapay zeka ile oluşturulan metni tanıması ve kullanıcıya yönelik sistemlere bir "dikkat" başlığı yerleştirmesi için eğitebilirler. Bazı durumlarda bu teknoloji, çalışanın e-posta gelen kutusundaki mesajları filtreleyebilir.
3. AI tarafından üretilen dolandırıcılık daha etkileşimli hale gelecek
AI dil programlarının gelecekte suçlular tarafından kimlik avı e-postaları veya tek seferlik mesajlar üretmek için daha etkileşimli olarak kullanılacağını umuyorum. Dolandırıcılar, gerçek zamanlı sohbet yoluyla bireyleri manipüle etmek için bu teknolojiyi kullanabilir.
WhatsApp, Signal veya Telegram gibi mesajlaşma hizmetleri uçtan uca şifrelenmiştir, bu nedenle bu platformlar, özel kanallardaki sahte veya yapay zeka tarafından oluşturulan mesajları filtreleyemez. Bu, onları bu platformlarda kurbanlarını takip eden dolandırıcılar için çok çekici hale getirebilir.
Öte yandan bu gelişme, kuruluşların güvenlik çözümlerini yeniden yapılandırmasına yol açabilir. Bireysel çalışan uç cihazlarında filtre teknolojilerinin kullanılması gerekebilir.
Yeni teknolojiler yerleşene kadar, aşağıdakiler geçerlidir: tüm iletişimlere güvenme
AI dil araçları, siber güvenliğin geleceği için temel sorular soruyor. Neyin gerçek olduğunu anlamak zorlaşıyor ve gelecekteki gelişmeler bunu daha da kolaylaştırmıyor. Teknolojiler, yapay zeka güdümlü siber suçlara karşı birincil silah olacak. Ancak şimdi çalışanların devreye girmesi ve tüm iletişime güvenmemeyi öğrenmesi gerekiyor. ChatGPT çağında bu aşırı bir tepki değil, kritik bir tepki.
Daha fazlası Sophos.com'da
Sophos Hakkında Sophos, 100 ülkede 150 milyondan fazla kullanıcı tarafından güvenilmektedir. Karmaşık BT tehditlerine ve veri kaybına karşı en iyi korumayı sunuyoruz. Kapsamlı güvenlik çözümlerimizin kurulumu, kullanımı ve yönetimi kolaydır. Sektördeki en düşük toplam sahip olma maliyetini sunarlar. Sophos uç noktalar, ağlar, mobil cihazlar, e-posta ve web için ödüllü şifreleme çözümleri ve güvenlik çözümleri sunar. Tescilli analiz merkezlerinden oluşan küresel ağımız SophosLabs'tan da destek var. Sophos'un genel merkezi Boston, ABD ve Oxford, İngiltere'dedir.