Geçtiğimiz senenin sonlarında bir prototip olarak piyasaya sürülen, detaylı ve anlaşılır yanıtlarıyla kısa sürede dikkatleri üzerine çeken suni zeka dil modeli ChatGPT, siber güvenlik dünyasında endişelere yol açıyor. Fena amaçlı yazılım türlerini tekrardan oluşturmak ve değişik türde saldırılar gerçekleştirmek için ChatGPT suni zeka aracını kullanmaya başlamış olan siber suçlular potansiyel olarak çekince arz ediyor. Bütünleşik siber güvenlik alanında küresel bir önder olan WatchGuard’ın Türkiye ve Yunanistan Ülke Müdürü Yusuf Evmez, ChatGPT yardımıyla üretilebilecek 5 siber tehdidi sıralayarak uyarılarda bulunuyor.
Yusuf Evmez
1. Kimlik Avı: Tehdit oyuncuları, ChatGPT sisteminin Geniş Dil Modelini (LLM) kullanarak evrensel formatlardan uzaklaşabilir. Her hedefe hususi muhteşem gramer ve organik konuşma kalıplarıyla yazılmış benzersiz kimlik avı yada sahtekarlık e-postalarının oluşturulmasını otomatikleştirebilir. Bu değişen teknolojinin yardımıyla hazırlanan e-posta saldırıları oldukça daha ikna edici göründüğünden, hedeflerin fena amaçlı bağlantıları tespit etmesini ve tıklamaktan kaçınmasını zorlaştırabilir.
2. Kimlik Hırsızlığı: Siber suçlular, ChatGPT’yi kullanarak, suni zekanın bir banka yada kuruluşun kurumsal tonunu ve söylemini yansılamak etme kabiliyeti yardımıyla güvenilir bir kurumu yansılamak edebilir. Ondan sonra bu mesajları toplumsal medya, SMS yada e-postalar vesilesiyle insanların hususi ve finansal bilgilerini elde etmek için kullanabilir. Fena niyetli erkek oyuncular bu kabiliyetten yararlanarak ünlülerin yerine geçerek toplumsal medya vesilesiyle kontakt oluşturmayı deneyebilir.
3. Öteki toplumsal mühendislik saldırıları: Toplumsal mühendislik saldırıları, aktörlerin ChatGPT kullanarak toplumsal medyada düzmece profiller oluşturması ile başlayabilir. Bu profilleri oldukça gerçekçi gösterip insanları fena niyetli bağlantılara tıklamaları için kandırarak ve kişisel bilgilerini paylaşmaya ikna ederek amaçlarına ulaşabilirler.
4. Fena niyetli botların oluşturulması: ChatGPT, öteki sohbetleri besleyebilen bir API’ye haiz olduğundan söyleşi botları oluşturmak için kullanılabilir. Yararlı amaçlar için tasarlanmış kullanıcı dostu arayüzü, insanları kandırmak ve ikna edici dolandırıcılıklar yapmanın yanı sıra spam yaymak yada kimlik avı saldırıları başlatmak için de kullanılabilir.
5. Fena amaçlı yazılım: ChatGPT, çoğu zaman çeşitli programlama dillerinde kod üretmek benzer biçimde üst düzey beceriler gerektiren bir görevi yerine getirmeye destek olabilir. Bu model, sınırı olan teknik beceriye haiz yada asla kodlama becerisi olmayan tehdit aktörlerinin fena amaçlı yazılım geliştirmesine olanak tanır. ChatGPT, fena amaçlı yazılımın hangi işlevselliğe haiz olması icap ettiğini bilerek onu yazar. Buna karşılık, deneyimli siber suçlular da tehditlerini daha etkili hale getirmek ya da mevcut boşlukları kapatmak için bu teknolojiyi kullanabilir. Bir siber suçlu tarafınca paylaşılan vakada ChatGPT, virüslü bir sistemden Office belgeleri, PDF’ler ve resimler benzer biçimde 12 yaygın dosya türünü arayabilen, kopyalayabilen ve dışarı çıkarabilen Python tabanlı bir kod kullanarak fena amaçlı yazılım oluşturmak için kullanıldı. Başka bir deyişle, eğer ilgilenilmiş olduğu bir dosya bulursa, fena amaçlı yazılım onu geçici bir dizine kopyalıyor, sıkıştırıyor ve web üstünden gönderiyor. Aynı zararı dokunan yazılımın geliştiricisi ek olarak ChatGPT’yi kullanarak Java kodu yazıp PuTTY SSH ve telnet istemcisini iyi mi indirdiğini ve PowerShell vesilesiyle gizlice bir sistemde iyi mi çalıştırdığını da deklare etti.
WatchGuard Türkiye ve Yunanistan Ülke Müdürü Yusuf Evmez‘e nazaran ChatGPT benzer biçimde bir aracın inovasyonu, dünya için mühim olabilir ve mevcut paradigmaları değiştirebilir sadece yanlış ellerde ciddi zararlar da yaratabilir. Doğru siber güvenlik çözümüne haiz olmak, gelecek vadeden araçların siber suçlular tarafınca kötüye kullanılarak kurumunuza ulaşmasını önleyebilir. Mesela WatchGuard’ın Bütünleşik Güvenlik Platformu®’nun mühim bir bileşeni olan ThreatSync, değişik WatchGuard güvenlik ürünlerinden izlenen etkinlikleri çapraz alan kullanarak ve ilişkilendirerek, ihtimaller içinde fena niyetli senaryoları puanlar ve tespit eder. Bu, averaj tespit süresini azaltırken tesir ve kapsamın genel olarak süratli bir halde denetim altına alınmasını sağlar.
