Sosyal mühendislik siber hatalıların dolandırıcılık için ağır olarak kullandığı formüller içerisinde yer alıyor. Çoğunlukla kimlik avı e-postaları, bildiriler yahut telefon aramaları yolu kullanılarak yapılan bu çeşit dolandırıcılıkta yapay zekâ dayanaklı sistemler de benimsenmeye başladı.
Siber güvenlik alanında dünya lideri olan ESET, üretken yapay zekâ (GenAI) teknolojilerinin berbata kullanımıyla artan tehditlere karşı ihtarda bulundu. “Grokking” olarak isimlendirilen bu yeni teknik, toplumsal medya platformu X’te yapay zekâ sohbet robotu Grok’un manipüle edilerek kimlik avı ilişkilerini yaymasına neden oluyor.
Yapay zekâ, farklı prosedürlerle toplumsal mühendislik tehdidi oluşturabiliyor. LLM olarak adlandılan büyük lisan modelleri büyük ölçekte, son derece ikna edici kimlik avı kampanyaları tasarlamak ve en kuşkucu kullanıcıları bile kandırmak için derin düzmece ses ve görüntüler oluşturmak için kullanılabiliyor. Ancak X’in yakın vakitte keşfettiği üzere, bir diğer, muhtemelen daha sinsi bir tehdit daha var: Grokking.
Bu taarruz kampanyasında, tehdit aktörleri, tıklama tuzağı görüntüler içeren görüntü kartı gönderileri yayımlayarak, X’in tanıtılan gönderilerdeki ilişkileri yasaklamasını (kötü emelli reklamlarla çaba etmek için tasarlanmış) atlayabiliyor. Görüntünün altındaki küçük “kaynak” alanına makus emelli ilişkilerini gömebiliyorlar. Berbat niyetli aktörler daha sonra X’in yerleşik GenAI botu Grok’a görüntünün nereden geldiğini soruyor. Grok gönderiyi okuyor, küçük ilişkiyi fark ederek ve cevabında onu büyütüyor. Bu durum, Grok’un güvenilirliği sayesinde dolandırıcılık içeriklerinin daha geniş kitlelere ulaşmasına ve arama motorlarında daha yüksek sıralamalara çıkmasına yol açıyor.
Grokking neden tehlikeli?
Tehdit aktörlerinin güvenlik düzeneklerini atlatmanın bir yolunu bulmadaki yaratıcılığını ve kullanıcıların yapay zekânın çıktısına güvenirken aldıkları riskleri görmemiz gerekiyor.
- Bu hile, Grok’u sağlam hesabında bir kimlik avı kontağını yine paylaşmaya yönlendirerek onu tesirli bir biçimde berbat niyetli bir aktör hâline getiriyor.
- Ücretli görüntü gönderileri çoklukla milyonlarca kere görüntüleniyor; dolandırıcılık ve makûs maksatlı yazılımları geniş bir alana yayma potansiyeline sahiptir.
- Grok son derece muteber bir kaynak olduğu için temaslar SEO ve alan ismi prestijinde da güçleniyor.
- Bağlantılar, kimlik bilgilerini çalan formlara ve makûs emelli yazılım indirmelerine yönlendiriliyor. Bu da kurbanların hesaplarının ele geçirilmesine, kimlik hırsızlığına ve daha fazlasına yol açabiliyor.
Prompt Enjeksiyonu: GenAI’nin Yeni Açığı
Grokking, prompt enjeksiyonu ismi verilen daha geniş bir taarruz çeşidinin kesimi. Bu cins taarruzlarda tehdit aktörleri, GenAI botlarına berbat maksatlı komutlar vererek onları manipüle ediyor. Bu komutlar direkt sohbet arayüzüne yazılabileceği üzere, içerik meta bilgilerine gizlenerek dolaylı yollarla da uygulanabiliyor.
ESET uzmanları, bu cins taarruzların sadece X platformuyla hudutlu olmadığını, teorik olarak her türlü GenAI aracına uygulanabileceğini vurguluyor. Bu durum, yapay zekâ teknolojilerinin güvenlik açıklarını ve kullanıcıların bu araçlara körü körüne güvenmemesi gerektiğini ortaya koyuyor.
Kullanıcılar için güvenlik teklifleri:
Gömülü yapay zekâ araçları, kimlik avına karşı uzun müddettir devam eden savaşta yeni bir cephe açtı. Bu yeni dolandırıcılık tekniğine karşı dikkatli olmak için her vakit sorgulayıcı olun. Aldığınız yanıtların büsbütün hakikat olduğunu düşünmeyin.
- Bir GenAI botu tarafından bir temas sunulursa üzerine gelerek gerçek amaç URL’sini denetim edin. Kuşkulu görünüyorsa tıklamayın.
- Yapay zekâ çıktısına her vakit kuşkuyla yaklaşın, bilhassa de cevap/öneri uygunsuz görünüyorsa.
- Kimlik bilgilerinin çalınma riskini azaltmak için güçlü, eşsiz parolalar (parola yöneticisinde saklanan) ve çok faktörlü kimlik doğrulama (MFA) kullanın.
- Güvenlik açığı istismar riskini en aza indirmek için tüm cihaz/bilgisayar yazılımlarınızın ve işletim sistemlerinizin aktüel olduğundan emin olun.
- Cihazınızdaki makûs emelli yazılım indirmelerini, kimlik avı dolandırıcılıklarını ve öbür kuşkulu aktiflikleri engellemek için saygın bir güvenlik yazılımı sağlayıcısından çok katmanlı muhafaza edinin.
Kaynak: (BYZHA) Beyaz Haber Ajansı