ChatGPT İle Üretilebilecek 5 Siber Tehdit
Kasım 2022’nin sonlarında ortaya çıkan yapay zeka lisan modeli ChatGPT, siber tehditlerin ciddiyetini ve karmaşıklığını artırma potansiyelini de beraberinde getirdi. ChatGPT’nin makûs emelli yazılım oluşturmak ve kimlik avı taarruzlarını artırmak için kullanıldığı farklı siber tehditler görülmeye başlandı. Bütünleşik siber güvenlik alanında global bir önder olan WatchGuard’ın Türkiye ve Yunanistan Ülke Müdürü Yusuf Evmez, ChatGPT yardımıyla üretilebilecek 5 siber tehdidi sıralıyor.
Geçtiğimiz yılın sonlarında bir prototip olarak piyasaya sürülen, detaylı ve anlaşılır karşılıklarıyla kısa müddette dikkatleri üstüne çeken yapay zeka lisan modeli ChatGPT, siber güvenlik dünyasında kaygılara yol açıyor. Berbat hedefli yazılım tiplerini tekrar oluşturmak ve farklı cinste ataklar gerçekleştirmek için ChatGPT yapay zeka aracını kullanmaya başlayan siber hatalılar potansiyel olarak tehlike arz ediyor. Bütünleşik siber güvenlik alanında global bir önder olan WatchGuard’ın Türkiye ve Yunanistan Ülke Müdürü Yusuf Evmez, ChatGPT yardımıyla üretilebilecek 5 siber tehdidi sıralayarak ihtarlarda bulunuyor.
1. Kimlik Avı: Tehdit aktörleri, ChatGPT sisteminin Geniş Lisan Modelini (LLM) kullanarak kozmik formatlardan uzaklaşabilir. Her gayeye özel kusursuz dilbilgisi ve doğal konuşma kalıplarıyla yazılmış eşsiz kimlik avı yahut sahtekarlık e-postalarının oluşturulmasını otomatikleştirebilir. Bu teknolojinin yardımıyla hazırlanan e-posta akınları çok daha ikna edici göründüğünden, maksatların makus hedefli ilişkileri tespit etmesini ve tıklamaktan kaçınmasını zorlaştırabilir.
2. Kimlik Hırsızlığı: Siber hatalılar, ChatGPT’yi kullanarak, yapay zekanın bir banka yahut kuruluşun kurumsal tonunu ve telaffuzunu taklit etme yeteneği sayesinde emniyetli bir kurumu taklit edebilir. Daha sonra bu bildirileri toplumsal medya, SMS yahut e-postalar aracılığıyla insanların özel ve finansal bilgilerini elde etmek için kullanabilir. Berbat niyetli aktörler bu yetenekten yararlanarak ünlülerin yerine geçerek toplumsal medya aracılığıyla bağlantı kurmayı deneyebilir.
3. Başka toplumsal mühendislik akınları: Sosyal mühendislik taarruzları, aktörlerin ChatGPT kullanarak toplumsal medyada geçersiz profiller oluşturması ile başlayabilir. Bu profilleri çok gerçekçi gösterip insanları makus niyetli kontaklara tıklamaları için kandırarak ve şahsî bilgilerini paylaşmaya ikna ederek maksatlarına ulaşabilirler.
4. Makûs niyetli botların oluşturulması: ChatGPT, başka sohbetleri besleyebilen bir API’ye sahip olduğu için sohbet botları oluşturmak için kullanılabilir. Yararlı hedefler için tasarlanmış kullanıcı dostu arayüzü, insanları kandırmak ve ikna edici dolandırıcılıklar yapmanın yanı sıra spam yaymak yahut kimlik avı akınları başlatmak için de kullanılabilir.
5. Makus maksatlı yazılım: ChatGPT, çoklukla çeşitli programlama lisanlarında kod üretmek üzere üst seviye hünerler gerektiren bir misyonu yerine getirmeye yardımcı olabilir. Bu model, sonlu teknik marifete sahip yahut hiç kodlama hüneri olmayan tehdit aktörlerinin berbat emelli yazılım geliştirmesine imkan tanır. ChatGPT, berbat hedefli yazılımın hangi fonksiyonelliğe sahip olması gerektiğini bilerek onu müellif. Buna karşılık, tecrübeli siber hatalılar da tehditlerini daha tesirli hale getirmek ya da mevcut boşlukları kapatmak için bu teknolojiyi kullanabilir. Bir siber hatalı tarafından paylaşılan hadisede ChatGPT, virüslü bir sistemden Office dokümanları, PDF’ler ve fotoğraflar üzere 12 yaygın belge çeşidini arayabilen, kopyalayabilen ve dışarı çıkarabilen Python tabanlı bir kod kullanarak makus gayeli yazılım oluşturmak için kullanıldı. Diğer bir deyişle, şayet ilgilendiği bir belge bulursa, makus maksatlı yazılım onu süreksiz bir dizine kopyalıyor, sıkıştırıyor ve web üzerinden gönderiyor. Tıpkı ziyanlı yazılımın geliştiricisi ayrıyeten ChatGPT’yi kullanarak Java kodu yazıp PuTTY SSH ve telnet istemcisini nasıl indirdiğini ve PowerShell aracılığıyla gizlice bir sistemde nasıl çalıştırdığını da açıkladı.
WatchGuard Türkiye ve Yunanistan Ülke Müdürü Yusuf Evmez’e nazaran ChatGPT üzere bir aracın inovasyonu, dünya için kıymetli olabilir ve mevcut paradigmaları değiştirebilir fakat yanlış ellerde önemli ziyanlar da yaratabilir. Yanlışsız siber güvenlik tahliline sahip olmak, gelecek vadeden araçların siber hatalılar tarafından berbata kullanılarak kurumunuza ulaşmasını önleyebilir. Örneğin WatchGuard’ın Bütünleşik Güvenlik Platformu®’nun kıymetli bir bileşeni olan ThreatSync, farklı WatchGuard güvenlik eserlerinden izlenen aktiflikleri çapraz alan kullanarak ve ilişkilendirerek, muhtemel makûs niyetli senaryoları puanlar ve tespit eder. Bu, ortalama tespit müddetini azaltırken tesir ve kapsamın genel olarak süratli bir biçimde denetim altına alınmasını sağlar.
Kaynak: (BYZHA) Beyaz Haber Ajansı
