Siber güvenlik uzmanları, en sık kullanılan siber dolandırıcılık tekniği olan oltalamanın ChatGPT ile yaygın ve daha aktif hale geldiği konusunda uyarıyor.
Zararı en az milyonu bulan taarruzlar için şirketler ve kurumların atması gereken iki kıymetli adımı ise, çalışanlarını oltalama konusunda eğitmek ve gerçek siber güvenlik araçlarını kullanmak.
Dünyada her dokuz şahıstan birini etkileyen bir akın olarak bilinen oltalama (phishing), en sık kullanılan siber dolandırıcılık metotlarından biri olmaya devam ediyor. İnternet kullanıcılarının zaaflarından faydalanarak ferdî bilgilerini ya da şifrelerini çalma tekniklerinden biri olan phishing, ChatGPT’nin piyasaya sürülmesiyle daha yaygın ve tesirli hale gelmeye başladı.
Dil yeteneğini kullanarak aktif ve inandırıcı phishing tuzakları oluşturmaya elverişli bu teknolojiyle insan zekasının iştirakinden oluşturulan bildirinin daha sofistike olması kullanıcıları daha savunmasız hale getiriyor. Bu oltalama ataklarında milyarlarca dolara ulaşan kaybın katlanarak artacağını gösteriyor. Uzmanlar bunun sebebinin, insan zekasının toplumsal mühendislikten faydalanarak bildirilerin bağlamını ve kültürel art planını oluşturması ve bu bildirilerin ChatGPT ile uygun tarz ve tonla özelleştirimesi olarak açıklıyor.
CHATGPT BİR HÜCUM ROBOTUNA DÖNÜŞÜR MÜ?
ChatGPT’nin öbür bir kaygı verici potensiyeli ise vakit içinde internet saldırganları tarafından ChatGPT’ye hedeflenen emailleri ve şifreleri ele geçirmenin öğretilebilir olması.
Yapılan araştırmalara nazaran, oltalama saldırısı emelli her 5 mesajdan 4’ü kimlik avı maksadıyla tasarlanıyor. Sürekli çalışır vaziyette olan ve birebir anda binlerce kullanıcıyla erişebilen bir teknoloji olan ChatGPT ile spear-phishing (yemleme) ataklarında spam göndericisi olarak beşere muhtaçlık kalmıyor, gerekli komutlardan sonra hackerlar bağını sormadan üzüm yiyebilecekler. Bu öğretilebilir hilelerden, son vakitlerde süratle yayılan ‘prompt-bombing’ atakları daima artıyor.
PROMPT BOMBING ATAKLARI NASIL OLUYOR?
– Daima gelen bildirim yahut yönlendirme bildirileri ile başlar
– Kullanıcı bir mühlet sonra gerçek olduğu algısına kapılır. Ya da, bildirim almaktan yorgun düşer.
– Giriş yaparak bildirimi sonlandırmak ister.
– Dikkati dağılan kullanıcının onay vermesiyle hackerlar hesaplara erişim sağlar.
PISHING SALDIRISI NASIL ANLAŞILIR?
Kullanıcıların en zayıf anını hedefleyen bu siber atak sisteminin nasıl anlaşılacağı konusunda bilgi veren Türkiye’nin dijital dönüşüm danışmanı BeyazNet’in CEO’su Fatih Zeyveli kullanıcıları uyarıyor:
“Hackerlar bu tip taarruzla kullanıcıların en zayıf anını kolluyor. Bu da, iki vakitte olur: Uykusuz kalınan gece saatleri ya da çok bildirim gelmesinden bıkarak giriş onayı verilmesi. Hiçbir erişim sağlayıcı sık ikaz göndermez. Bir yerden erişim doğrulama sık geliyorsa, atak altındasınız demektir.”
ÖNCELİKLİ TAHLİL ÇALIŞANLARA OLTALAMA EĞİTİMİ
Oltalama prosedürleri daima gelişirken, çalışanlar bu mevzuda neredeyse hiç bilgi sahibi olmaması saldırganların işini kolaylaştırıyor. Tahlil olarak, kurumlar çalışanları için phishing eğitimlerini güçlendirirken yapay zeka takviyeli farklı siber güvenlik araçlarından faydalanması gerekiyor. Aksi halde GPT-4’ün süratle gelişen toplumsal mühendislik yeteneklerine kanıp oltaya takılan kullanıcıların sayısı katlanarak büyüyecek.
Kurumları oltalama eğitimi ve yeni sistemler ile ilgili daima bilgi güncellemesi gerektiği ilgili uyaran Fatih Zeyveli, şöyle konuştu:
“Şirketler ve kurumlara bir oltalama saldırısının maliyetinin milyonlarca liraya ulaşabileceğini görüyoruz. Bu data kaybı, prestij kaybı, müşteri kaybı, hukuksal masraflar, siber güvenlik tedbirleri ve öteki maliyetleri kapsıyor. Taarruzlardan en az hasarla ya da hasarsız çıkmanın yolunun birinci adımı çalışanların pishing eğitimi almasıdır. Bununla birlikte altyapının siber güvenlik araçlarıyla donatılmasıdır.”
Kaynak: (BYZHA) Beyaz Haber Ajansı
