Yapay zeka, siber suçluların insan davranışını manipüle etme biçimini değiştiriyor.
Garip ifadeler, genel selamlamalar ve beceriksiz biçimlendirme gibi kimlik avı e-postalarının bir zamanlar belirgin işaretleri, yerini büyük dil modelleri tarafından hazırlanmış gösterişli, bağlamsal olarak bilinçli mesajlara bırakıyor.
Deepfake teknolojisi artık bir CEO’nun sesini birkaç dakika içinde ikna edici bir video mesajı oluşturacak şekilde kopyalayabiliyor. Bu teknik halihazırda kuruluşları on milyonlarca dolarlık dolandırmak için kullanılıyor.
LevelBlue’nun Sosyal Mühendislik ve İnsan Unsuru raporuna göre kuruluşların %59’u, çalışanların gerçek ve sahte etkileşimleri ayırt etmesinin zorlaştığını söylüyor.
LevelBlue SpiderLabs’ta Güvenlik Araştırma Müdürü.
Bu arada, rakipler yapay zeka odaklı sosyal mühendisliği tedarik zinciri ihlalleri, kimlik bilgileri hırsızlığı ve otomatik keşifle giderek daha fazla harmanlıyor.
Bu vektörler hep birlikte sosyal mühendisliği bir insan sorunu olmaktan çıkarıp sistemik bir iş riskine dönüştürüyor.
Büyüyen bir boşluk
Farkındalık ile eylem arasındaki uçurum giderek açılıyor. Teknik kontroller gelişmeye devam ederken, insan davranışı en çok istismar edilen güvenlik açığı olmaya devam ediyor.
Sonuçta BT sistemlerine yama yapmak insanlara yama yapmaktan daha kolaydır. Saldırganlar, bir kişiyi kandırmanın genellikle bir sistemi hacklemekten daha kolay olduğunu ve yapay zekanın onlara her ikisini de yapmaları için hız ve hassasiyet sağladığını öğrendi.
Yapay zekanın yeni taktik avantajı
Dinamik vektör değiştirme: Tehdit aktörleri, zararsız bir e-postayla başlayabilir, etkileşimi ölçebilir (açılmalar, tıklamalar), ardından bir ses veya video yükü iletmek için aynı ileti dizisi içinde dönebilir. Bu çeviklik, statik farkındalık eğitimini daha az etkili hale getirir.
Geniş ölçekte Persona oluşturma: Toplanan verileri kullanma sosyal medya Düşmanlar, isimler, roller ve ses tonuyla tamamlanan güvenilir dijital kişilikler oluşturabilir ve bunları kuruluşlara sızmak için kullanabilir.
Deepfake’in tırmanması: Yapay zeka tarafından oluşturulan ses veya video görüşmenin ortasına eklenebilir: “Kusura bakmayın, telefonumu başka bir odada bıraktım – beni bu hattan arayın” veya “İşte güncel banka havalesi talimatı.” Bilinen bir sesin veya yüzün aşina olması çalışanların gardını düşürmesine neden olabilir.
Çelişkili yönlendirme ve istem zincirleme: Saldırganlar, üretken yapay zeka istemlerini tekrar tekrar hassaslaştırıyor: “Daha resmi görünmesini sağlayın” veya “Üç aylık performansla ilgili bir satır ekleyin.” Her yineleme mesajı daha inandırıcı ve hedefe yönelik hale getirir.
Bu teknikler dijital iletişimde “normal”in neye benzediğini bulanıklaştırıyor. Hatta tecrübeli güvenlik profesyoneller özgün ile yapay arasındaki çizgiyi çekmekte zorlanabilirler.
Neden insan hâlâ menteşe?
E-posta filtreleri, sıfır güven gibi teknik savunmalar mimarive anormallik tespiti hâlâ hayati önem taşıyor ancak yapay zekanın etkin olduğu saldırılar koddan değil karardan yararlanıyor. Her sosyal mühendislik kampanyası sonuçta insanların tıklama, paylaşma, onaylama veya yetkilendirme kararına dayanır.
Dirençli kuruluşlar, gerçek güvenliğin hem sistemleri kilitlemeyi hem de iş akışlarına karar vermeyi gerektirdiğini anlıyor. Peki bu dengeyi nasıl sağlıyorsunuz?
1. Yönetici katılımı ve yapay zeka farkındalığı
Yapay zeka odaklı sosyal mühendislik, iş açısından kritik bir tehdit olarak ele alınmalıdır. Yöneticiler, mühendislik liderleri ve DevOps ekiplerin hepsinin yapay zekanın API’leri, müşteri yolculuklarını veya dahili süreçleri nasıl hedefleyebileceği konusunda görünürlüğe ihtiyacı var.
Yönetim kurulu, ölçeklenebilirlik ve uyumluluğun yanı sıra yapay zeka riskini de yönetişime dahil ettiğinde, insanlara yapılan yatırım, teknolojiye yapılan yatırımla eşleşecek şekilde artar.
2. Yapay zeka saldırı zincirini simüle edin
Yıllık kimlik avı testleri artık günümüzün tehdit ortamını yansıtmıyor. Modern kırmızı takım egzersizleri, e-postaları, sesli komutları ve deepfake’leri aynı simülasyon içinde birbirine zincirleyerek yapay zeka destekli saldırıları kopyalamalıdır.
Kullanıcıların anormallikleri ne zaman fark ettiği ve artan aldatmacaya nasıl tepki verdikleri gibi veri noktalarını izleyin. Bu, eğitimin veya süreç takviyesinin en çok nerede gerekli olduğunu belirlemeye yardımcı olur.
3. İnsan filtreleriyle katman AI tespiti
Kuruluşlar, deepfake, ses anomalisi ve davranışsal analiz gibi yapay zeka destekli tespit motorlarını yapılandırılmış insan doğrulamasıyla birleştirmelidir.
Şüpheli içerik, sorgulama-yanıt kontrollerini veya bant dışı onayları tetiklemelidir. Yapay zeka anormallikleri yakalayabilir ancak insanlar bağlam ve amaç sağlar. Birlikte kapalı bir savunma döngüsü oluştururlar.
4. Dış kıyaslama ve evrimsel eğitim
Tehdit aktörleri sürekli yenilik yapıyor ve savunmaların da aynısını yapması gerekiyor. Periyodik “hizmet olarak kırmızı ekip” değerlendirmeleri için siber güvenlik uzmanlarıyla ortaklık kurmak, kör noktaların belirlenmesine ve ortaya çıkan yapay zeka taktiklerine göre eğitimin güncellenmesine yardımcı olur.
Üç ayda bir canlı tehdit verileriyle yenilenen sürekli, modüler öğrenme, ekiplerin geçen yılın taktik kitabı yerine en son tekniklerle uyumlu kalmasını sağlar.
Yapay zeka çağında insan direncini geliştirmek
Üretken yapay zeka, özgün ve yapay arasındaki sınırı bulanıklaştırdı, ancak aynı zamanda insan muhakeme yeteneğinin önemini de yeniden doğruladı. Teknoloji anormallikleri ortaya çıkarabilir ancak güvenip güvenmeyeceğine, doğrulayacağına veya harekete geçeceğine yalnızca insanlar karar verebilir.
Önde kalacak kuruluşlar bu etkileşimi tanıyan kuruluşlardır: Yapay zeka odaklı savunmaları merakı, doğrulamayı ve eleştirel düşünmeyi teşvik eden bir kültürle birleştirmek.
Siber güvenlik, teknolojiye karşı bir yarıştan daha fazlasıdır; özünde insan unsurunu güçlendirme yarışıdır.
En iyi güvenli e-posta sağlayıcısını listeledik.
Bu makale, günümüz teknoloji endüstrisindeki en iyi ve en parlak beyinleri öne çıkardığımız TechRadarPro’nun Expert Insights kanalının bir parçası olarak üretildi. Burada ifade edilen görüşler yazara aittir ve mutlaka TechRadarPro veya Future plc’ye ait değildir. Katkıda bulunmak istiyorsanız buradan daha fazla bilgi edinin: https://www.techradar.com/news/submit-your-story-to-techradar-pro