reklam
reklam
DOLAR
EURO
STERLIN
FRANG
ALTIN
BITCOIN
DMD hastası Boran’ın vakti kısıtlı!
Merkez Bankası yeni talimat gönderdi.
Haluk Levent ve Ahbap Derneği Deprem Bölgesindeki Yardım Çalışmalarına Devam Ediyor
Yerli ve Milli Aşı Çalışmaları Devam Ediyor
Fed Üyeleri Arasında Görüş Birliği Sağlanamadı, Piyasalar Tedirgin
İstanbul’da Yaşanan Sağanak Yağış, Trafiği Durma Noktasına Getirdi
Kemal Kılıçdaroğlu, Mevzular Açık Mikrofon’a Konuk Olacak
Twitter, Türkiye’de Seçimler Öncesi Erişimi Engelledi
Merkez Bankası’ndan Nakit Avans ve Altın İçin Düzenleme: Yüzde 30 Oranında Menkul Kıymet Tesisine Tabi Olacak!
Deprem Bölgesine Yardım Eden Bergüzar Korel, Dayanışmanın Önemine Vurgu Yaptı!
reklam

Yapay zekâ ile büyüyen yeni tehdit: Grokking

Toplumsal mühendislik siber hatalıların dolandırıcılık için ağır olarak kullandığı yollar içerisinde yer alıyor

Yayınlanma Tarihi : Google News
Yapay zekâ ile büyüyen yeni tehdit: Grokking
0
reklam

Sosyal mühendislik siber hatalıların dolandırıcılık için ağır olarak kullandığı yollar içerisinde yer alıyor. Çoğunlukla kimlik avı e-postaları, bildiriler yahut telefon aramaları yolu kullanılarak yapılan bu çeşit dolandırıcılıkta yapay zekâ takviyeli yollar de benimsenmeye başladı. 

Siber güvenlik alanında dünya lideri olan ESET, üretken yapay zekâ (GenAI) teknolojilerinin berbata kullanımıyla artan tehditlere karşı ihtarda bulundu. “Grokking” olarak isimlendirilen bu yeni teknik, toplumsal medya platformu X’te  yapay zekâ sohbet robotu Grok’un manipüle edilerek kimlik avı ilişkilerini yaymasına neden oluyor.

Yapay zekâ, farklı tekniklerle toplumsal mühendislik tehdidi oluşturabiliyor. LLM olarak adlandılan büyük lisan modelleri büyük ölçekte, son derece ikna edici kimlik avı kampanyaları tasarlamak ve en kuşkucu kullanıcıları bile kandırmak için derin uydurma ses ve görüntüler oluşturmak için kullanılabiliyor.  Ancak X’in yakın vakitte keşfettiği üzere, bir diğer, muhtemelen daha sinsi bir tehdit daha var: Grokking. 

Bu akın kampanyasında, tehdit aktörleri, tıklama tuzağı görüntüler içeren görüntü kartı gönderileri yayımlayarak, X’in tanıtılan gönderilerdeki temasları yasaklamasını (kötü maksatlı reklamlarla uğraş etmek için tasarlanmış) atlayabiliyor. Görüntünün altındaki küçük “kaynak” alanına makus gayeli kontaklarını gömebiliyorlar. Berbat niyetli aktörler daha sonra X’in yerleşik GenAI botu Grok’a görüntünün nereden geldiğini soruyor. Grok gönderiyi okuyor, küçük ilişkiyi fark ederek ve karşılığında onu büyütüyor. Bu durum, Grok’un güvenilirliği sayesinde dolandırıcılık içeriklerinin daha geniş kitlelere ulaşmasına ve arama motorlarında daha yüksek sıralamalara çıkmasına yol açıyor.

Grokking neden tehlikeli?

Tehdit aktörlerinin güvenlik düzeneklerini atlatmanın bir yolunu bulmadaki yaratıcılığını ve kullanıcıların yapay zekânın çıktısına güvenirken aldıkları riskleri görmemiz gerekiyor.

  • Bu hile, Grok’u sağlam hesabında bir kimlik avı kontağını yine paylaşmaya yönlendirerek onu tesirli bir biçimde makus niyetli bir aktör hâline getiriyor.
  • Ücretli görüntü gönderileri ekseriyetle milyonlarca kere görüntüleniyor; dolandırıcılık ve makus hedefli yazılımları geniş bir alana yayma potansiyeline sahiptir.
  • Grok son derece muteber bir kaynak olduğu için irtibatlar SEO ve alan ismi prestijinde da güçleniyor.
  • Bağlantılar, kimlik bilgilerini çalan formlara ve berbat hedefli yazılım indirmelerine yönlendiriliyor. Bu da kurbanların hesaplarının ele geçirilmesine, kimlik hırsızlığına ve daha fazlasına yol açabiliyor.

Prompt Enjeksiyonu: GenAI’nin Yeni Açığı

Grokking, prompt enjeksiyonu ismi verilen daha geniş bir hücum çeşidinin modülü. Bu tıp akınlarda tehdit aktörleri, GenAI botlarına berbat gayeli komutlar vererek onları manipüle ediyor. Bu komutlar direkt sohbet arayüzüne yazılabileceği üzere, içerik meta bilgilerine gizlenerek dolaylı yollarla da uygulanabiliyor.

ESET uzmanları, bu cins hücumların sadece X platformuyla hudutlu olmadığını, teorik olarak her türlü GenAI aracına uygulanabileceğini vurguluyor. Bu durum, yapay zekâ teknolojilerinin güvenlik açıklarını ve kullanıcıların bu araçlara körü körüne güvenmemesi gerektiğini ortaya koyuyor.

Kullanıcılar için güvenlik teklifleri:

Gömülü yapay zekâ araçları, kimlik avına karşı uzun müddettir devam eden savaşta yeni bir cephe açtı. Bu yeni dolandırıcılık formülüne karşı dikkatli olmak için her vakit sorgulayıcı olun. Aldığınız karşılıkların büsbütün gerçek olduğunu düşünmeyin.

  • Bir GenAI botu tarafından bir irtibat sunulursa üzerine gelerek gerçek maksat URL’sini denetim edin. Kuşkulu görünüyorsa tıklamayın.
  • Yapay zekâ çıktısına her vakit kuşkuyla yaklaşın, bilhassa de cevap/öneri uygunsuz görünüyorsa.
  • Kimlik bilgilerinin çalınma riskini azaltmak için güçlü, eşsiz parolalar (parola yöneticisinde saklanan) ve çok faktörlü kimlik doğrulama (MFA) kullanın.
  • Güvenlik açığı istismar riskini en aza indirmek için tüm cihaz/bilgisayar yazılımlarınızın ve işletim sistemlerinizin aktüel olduğundan emin olun.
  • Cihazınızdaki berbat maksatlı yazılım indirmelerini, kimlik avı dolandırıcılıklarını ve öteki kuşkulu aktiflikleri engellemek için saygın bir güvenlik yazılımı sağlayıcısından çok katmanlı müdafaa edinin.

 

Kaynak: (BYZHA) Beyaz Haber Ajansı

reklam