Kaspersky, kimlik avı saldırılarında yapay zeka kullanımının temel işaretlerini belirledi
Kaspersky Yapay Zeka Araştırma Merkezi uzmanları, siber suçluların büyük ölçekli kimlik avı ve dolandırıcılık odaklı saldırıları için içerik oluşturmak üzere Büyük Dil Modellerini (LLM’ler) giderek daha fazla kullandığını keşfetti. Tehdit aktörleri yüksek hacimlerde sahte web siteleri oluşturmaya odaklanırken, genellikle arkalarında kendilerini bu siteleri manuel olarak oluşturulanlardan ayıran yapay zekaya özgü ifadeler gibi ayırt edici ipuçları bırakıyor. Şimdiye kadar Kaspersky tarafından gözlemlenen kimlik avı örneklerinin çoğu kripto para borsaları ve kripto cüzdan kullanıcılarını hedef alıyor.
Kaspersky uzmanları bir kaynak örneğini analiz ederek, yapay zekanın içerik oluşturmak ve hatta kimlik avı ve dolandırıcılık web sitelerinin baştan sona oluşturmak için kullanıldığı durumları ayırt etmeye ve tespit etmeye yardımcı olan temel özellikleri belirledi.
LLM tarafından oluşturulan metinlerin belirgin işaretlerinden biri, “Bir yapay zeka dil modeli olarak…” gibi ifadeler de dahil olmak üzere komutları yürütmeyi reddeden feragatnamelerin varlığı şeklinde öne çıkıyor. Örneğin, KuCoin kullanıcılarını hedef alan iki ayrı kimlik avı sayfası bu tür ifadeler içeriyor.
Büyük dil modeli kullanımının bir başka ayırt edici göstergesi de belirli tümcelerin varlığı. Örneğin: “İstediğinizi tam olarak yapamasam da benzer bir şey deneyebilirim” gibi. Gemini ve Exodus kullanıcılarını hedef alan diğer örneklerde, LLM ayrıntılı giriş talimatları vermeyi reddediyor.
Kaspersky Araştırma Geliştirme Grup Müdürü Vladislav Tushkanov, şunları söylüyor: “Saldırganlar, LLM’ler ile benzersiz, yüksek kaliteli içeriğe sahip düzinelerce, hatta yüzlerce kimlik avı ve dolandırıcılık web sayfası oluşturmayı otomatik hale getirebiliyor. Önceden bunun için manuel çaba gerekiyordu, ancak yapay zeka artık tehdit aktörlerinin bu tür içerikleri otomatik olarak oluşturmasına yardımcı olabilir.”
LLM’ler sadece metin blokları değil, tüm web sayfalarını oluşturmak için de kullanılabiliyor. Ortaya çıkan sonuçlar hem metnin kendisinde hem de meta etiketler gibi alanlarda görünüyor. Bunlar özellikle web sayfasının içeriğini tanımlayan ve HTML kodunda görünen metin parçacıkları arasında dikkat ediyor.
Sahte sitelerin oluşturulmasında yapay zeka kullanımının başka göstergeleri de mevcut. Örneğin bazı modeller “araştırmak”, “sürekli gelişen manzarada” ve “sürekli değişen dünyada” gibi belirli ifadeler kullanma eğiliminde. Bu terimler yapay zeka tarafından oluşturulan içeriğin güçlü göstergeleri olarak kabul edilmese de, bunun bir işareti olarak görülebilir.
Büyük dil modeli tarafından üretilen metnin bir başka özelliği de modelin dünya hakkındaki bilgisinin nereye kadar uzandığını göstermesi. Model genel olarak bu sınırlamayı “Ocak 2023’teki son güncellememe göre” gibi ifadeler kullanarak dile getiriyor.
LLM tarafından oluşturulan metin, genellikle kimlik avı sayfasının tespitini siber güvenlik araçları için daha karmaşık hale getiren taktiklerle birleştiriyor. Örneğin saldırganlar, metni gizlemek ve kural tabanlı tespit sistemlerinin eşleştirmesini önlemek için aksan işaretleri veya matematiksel gösterimler gibi standart olmayan Unicode sembolleri kullanabiliyor.
Vladislav Tushkanov, sözlerini şöyle sürdürüyor: “Büyük dil modelleri gelişiyor ve siber suçlular bu teknolojiyi kötü amaçları için kullanmanın yollarını araştırıyor. Bununla birlikte zaman zaman yapılan hatalar, bu tür araçların kullanımına, özellikle de otomasyonun artan boyutuna ilişkin içgörü sağlıyor. Gelecekteki gelişmelerle birlikte, yapay zeka tarafından üretilen içeriği insan tarafından yazılan metinden ayırt etmek daha zor hale gelebilir. Bu da metinsel bilgileri meta veriler ve diğer dolandırıcılık göstergeleriyle birlikte analiz eden gelişmiş güvenlik çözümlerinin kullanılmasını çok daha önemli hale getirebilir.”
Ek örnekler ve analizler içeren raporun tamamına Securelist’ten ulaşabilirsiniz.
Kimlik avına karşı korunmak için Kaspersky aşağıdaki korunma yöntemlerini öneriyor:
- Adreslerin yazımını kontrol edin. Bazı e-postalar ve web siteleri sahte olmasına rağmen gerçek gibi görünür. Bu, suçluların işini ne kadar iyi yaptıklarına bağlıdır. Ancak adresler ve bağlantılar büyük olasılıkla yanlış olacaktır. Bunlarda yazım hataları olabilir veya sizi farklı bir yere yönlendirebilir.
- Web adreslerini doğrudan web tarayıcısına girin. Bir e-posta bir bağlantı içeriyorsa, bağlantıya tıklamak yerine doğru görünüp görünmediğini görmek için üzerine gelmek güvenli bir alışkanlık olacaktır. Doğru görünse bile web sitesi bağlantısına tıklamak yerine bağlantıyı kendiniz girin. Tehlikeli web siteleri gerçek olanlarla aynı görünebilir.
- Kullanıcılara güvenli tarama özellikleri sunarak tehlikeli web sitelerine, indirmelere ve uzantılara karşı koruma sağlayan modern bir güvenlik çözümü kullanın.
Kaynak: (BYZHA) Beyaz Haber Ajansı