Dünyada her dokuz kişiden birini etkileyen bir hücum olarak malum oltalama (phishing), en sık kullanılan siber dolandırıcılık şekillerinden biri olmaya devam ediyor. İnternet kullanıcılarının zaaflarından faydalanarak kişisel verilerini ya da şifrelerini çalma şekillerinden önde gelen phishing, ChatGPT’nin piyasaya sürülmesiyle daha yaygın ve etkili hale gelmeye başladı.
Dil kabiliyetini kullanarak etkin ve inandırıcı phishing tuzakları meydana getirmeye elverişli bu teknolojiyle insan zekasının ortaklığından oluşturulan mesajın daha sofistike olması kullanıcıları daha savunmasız hale getiriyor. Bu oltalama saldırılarında milyarlarca dolara ulaşan kaybın katlanarak artacağını gösteriyor. Uzmanlar bunun sebebinin, insan zekasının toplumsal mühendislikten faydalanarak mesajların bağlamını ve kültürel arka planını oluşturması ve bu mesajların ChatGPT ile uygun yoldam ve tonla özelleştirimesi olarak açıklıyor.
CHATGPT BİR SALDIRI ROBOTUNA DÖNÜŞÜR MÜ?
ChatGPT’nin öteki bir kaygı verici potensiyeli ise süre içinde web saldırganları tarafınca ChatGPT’ye hedeflenen emailleri ve şifreleri ele geçirmenin öğretilebilir olması.
Meydana getirilen araştırmalara gore, oltalama saldırısı amaçlı her 5 iletiden 4’ü kimlik avı amacıyla tasarlanıyor. Devamlı çalışır vaziyette olan ve aynı anda binlerce kullanıcıyla erişebilen bir teknoloji olan ChatGPT ile spear-phishing (yemleme) saldırılarında spam göndericisi olarak insana gereksinim kalmıyor, lüzumlu komutlardan sonrasında hackerlar bağını sormadan üzüm yiyebilecekler. Bu öğretilebilir hilelerden, son zamanlarda hızla yayılan ‘prompt-bombing’ saldırıları devamlı artıyor.
PROMPT BOMBING SALDIRILARI NASIL OLUYOR?
– Devamlı gelen bildirim yada yönlendirme mesajları ile adım atar
– Kullanıcı bir süre sonrasında gerçek olduğu algısına kapılır. Ya da, bildirim almaktan bitkin düşer.
– Giriş yaparak bildirimi sonlandırmak ister.
– Dikkati dağılan kullanıcının onay vermesiyle hackerlar hesaplara erişim sağlar.
PISHING SALDIRISI NASIL ANLAŞILIR?
Kullananların en zayıf anını hedefleyen bu siber hücum yönteminin iyi mi anlaşılacağı mevzusunda informasyon veren Türkiye’nin dijital dönüşüm danışmanı BeyazNet’in CEO’su Fatih Zeyveli kullanıcıları uyarıyor:
“Hackerlar bu tip saldırıyla kullananların en zayıf anını kolluyor. Bu da, iki zamanda olur: Uykusuz kalınan gece saatleri ya da oldukça bildirim gelmesinden bıkarak giriş onayı verilmesi. Hiçbir erişim sağlayıcı sık uyarı göndermez. Bir yerden erişim doğrulama sık geliyorsa, hücum altındasınız anlamına gelir.”
ÖNCELİKLİ ÇÖZÜM ÇALIŞANLARA OLTALAMA EĞİTİMİ
Oltalama şekilleri devamlı gelişirken, çalışanlar bu mevzuda neredeyse asla informasyon sahibi olmaması saldırganların işini kolaylaştırıyor. Çözüm olarak, kurumlar çalışanları için phishing eğitimlerini güçlendirirken suni zeka destekli değişik siber güvenlik araçlarından faydalanması gerekiyor. Aksi halde GPT-4’ün hızla gelişen toplumsal mühendislik kabiliyetlerine kanıp oltaya takılan kullananların sayısı katlanarak büyüyecek.
Kurumları oltalama eğitimi ve yeni yöntemler ile ilgili devamlı informasyon güncellemesi gerektiği ilgili uyaran Fatih Zeyveli, şöyleki konuştu:
“Firmalar ve kurumlara bir oltalama saldırısının maliyetinin milyonlarca liraya ulaşabileceğini görüyoruz. Bu veri kaybı, saygınlık kaybı, satın alan kaybı, hukuki harcamalar, siber güvenlik önlemleri ve öteki maliyetleri kapsıyor. Saldırılardan minimum hasarla ya da hasarsız çıkmanın yolunun ilk adımı çalışanların pishing eğitimi almasıdır. Bununla beraber altyapının siber güvenlik araçlarıyla donatılmasıdır.”