En son trendlere her zaman uyum sağlayan siber suçlular, ChatGPT, Midjourney ve diğer üretken yapay zekâ asistanları gibi görünen kötü amaçlı yazılım dağıtıyor

Üretken yapay zekâ (GenAI) dünya çapında dalgalar yaratıyor. Popülerliği ve yaygın kullanımı siber suçluların da dikkatini çekmiş ve çeşitli siber tehditlere yol açmıştır. Yine de ChatGPT gibi araçlarla ilişkili tehditler hakkındaki tartışmaların çoğu, teknolojinin dolandırıcıların ikna edici kimlik avı mesajları oluşturmasına, kötü amaçlı kod üretmesine veya güvenlik açıklarını araştırmasına yardımcı olmak için nasıl kötüye kullanılabileceğine odaklanmıştır.

Belki de daha az insan GenAI’ın kötü amaçlı yazılımları gizlemek için bir yem ve Truva atı olarak kullanılmasından bahsediyor. Örneğin geçen yıl, Facebook kullanıcılarını Google’ın yasal yapay zekâ aracı “Bard “ın en son sürümünü denemeye çağıran bir kampanya hakkında yazmıştık; bunun yerine reklamlar kötü niyetli bir taklit araç sunuyordu.

Bu tür kampanyalar endişe verici bir eğilimin örnekleridir ve açıkça söylemek gerekirse hiçbir yere gitmiyorlar. Bu nedenle nasıl çalıştıklarını anlamak, uyarı işaretlerini tespit etmeyi öğrenmek ve kimliğinizin ve mali durumunuzun risk altında olmaması için önlem almak çok önemlidir.

Kötü adamlar yapay zekâyı nasıl bir yem olarak kullanıyor?

Siber suçlular, GenAI uygulamaları olarak gizlenmiş kötü amaçlı yazılımları yüklemeniz için sizi kandırmanın çeşitli yollarına sahiptir. Bunlar şunları içerir:

Kimlik avı siteleri

ESET, 2023 yılının ikinci yarısında “ChapGPT” veya benzer bir metin içeren kötü amaçlı alan adlarına erişmek için yapılan 650.000’den fazla girişimi engelledi. Kurbanlar büyük olasılıkla sosyal medyadaki bir bağlantıya tıkladıktan sonra veya bir e-posta/mobil mesaj yoluyla bu sayfalara ulaşıyor. Bu kimlik avı sayfalarından bazıları yapay zekâ yazılımı olarak gizlenmiş kötü amaçlı yazılımları yüklemek için bağlantılar içerebilir.

Web tarayıcısı uzantıları

ESET’in H1 2024 tehdit raporu, kullanıcıların OpenAI’ın Sora veya Google’ın Gemini’sinin resmi web sitesine götürmeyi vaat eden Facebook reklamları tarafından kandırılarak yükletildiği kötü amaçlı bir tarayıcı uzantısını detaylandırıyor. Uzantı Google Translate gibi görünse de aslında kullanıcıların Facebook kimlik bilgilerini toplamak için tasarlanmış “Rilide Stealer V4” olarak bilinen bir bilgi hırsızıdır.

Chrome tarayıcı uzantısı gibi görünen Rilide Stealer (kaynak: ESET Threat Report H1 2024)

Ağustos 2023’ten bu yana ESET telemetri, kötü amaçlı uzantıyı yüklemek için 4.000’den fazla girişim kaydetti. Meta‘ya göre, diğer kötü amaçlı uzantılar GenAI işlevselliği sunduğunu iddia ediyor ve aslında bunu sınırlı bir biçimde yapmanın yanı sıra kötü amaçlı yazılım da sunabiliyor.

Sahte uygulamalar

Özellikle mobil uygulama mağazalarında yayımlanan sahte GenAI uygulamalarına ilişkin çeşitli raporlar da bulunmaktadır ve bu uygulamaların çoğu kötü amaçlı yazılım içermektedir. Bazıları kullanıcının cihazından hassas bilgileri çalmak için tasarlanmış kötü amaçlı yazılımlarla yüklüdür. Bu bilgiler arasında oturum açma bilgileri, kişisel kimlik bilgileri, finansal bilgiler ve daha fazlası yer alabilir.

Bu sahte ChatGPT web uygulaması OpenAI API anahtarlarını kendi sunucusuna gönderiyor (kaynak: ESET Threat Report H2 2023)

Diğerleri, genellikle bir ücret karşılığında gelişmiş yapay zekâ yetenekleri vaat ederek geliştiriciye gelir elde etmek için tasarlanmış dolandırıcılıklardır. İndirildikten sonra, kullanıcıları reklam bombardımanına tutabilir, uygulama içi satın alma talep edebilir veya var olmayan ya da son derece düşük kaliteli hizmetler için abonelik gerektirebilirler.

Kötü amaçlı reklamlar

Kötü niyetli aktörler, kullanıcıları kötü niyetli reklamlara tıklamaları için kandırmak amacıyla yapay zekâ araçlarının popülerliğinden faydalanıyor. Kötü niyetli Facebook reklamları özellikle yaygındır. Meta geçen yıl bu kampanyaların birçoğunun “internet genelinde reklam hesaplarına erişimi olan işletmeleri” tehlikeye atmak için tasarlandığı konusunda uyarıda bulundu.

Vidar infostealer yükleyicisi tarafından gösterilen ve Midjourney’i taklit eden açılış ekranı (kaynak: ESET Threat Report H1 2024)

Tehdit aktörleri meşru bir hesabı veya sayfayı ele geçiriyor, profil bilgilerini değiştirerek gerçek bir ChatGPT veya başka bir GenAI markalı sayfa gibi görünmesini sağlıyor ve ardından hesapları sahte reklamlar yayımlamak için kullanıyor. Araştırmacılara göre bunlar yapay zekâ araçlarının en son sürümüne bağlantılar sunuyor ancak gerçekte bilgi hırsızı kötü amaçlı yazılımları dağıtıyor.

Yem atma sanatı

İnsanlar sosyal yaratıklardır; bize anlatılan hikâyelere inanmak isteriz. Aynı zamanda açgözlüyüz; en yeni cihazlara ve uygulamalara sahip olmak isteriz. Tehdit aktörleri açgözlülüğümüzden, bir şeyleri kaçırma korkumuzdan, saflığımızdan ve merakımızdan faydalanarak kötü amaçlı bağlantılara tıklamamızı veya içinde kötü amaçlı yazılım gizlenmiş uygulamaları indirmemizi sağlıyor.

Ancak yükleme düğmesine basmamız için sunulan şeyin oldukça baş döndürücü olması ve (en iyi yalanlar gibi) bir gerçeğe dayanması gerekir. Sosyal mühendisler özellikle bu karanlık sanatlarda ustalaşmış durumdalar: Bizi ünlüler veya güncel olaylarla ilgili müstehcen haberlere tıklamaya ikna ediyorlar (sahte COVID-19 aşılarıyla ilgili masalları hatırlıyor musunuz?). Bazen bize bir şeyi ücretsiz, inanılmaz bir indirimle ya da başkaları almadan önce sunarlar. Burada açıkladığımız gibi bu numaralara kanıyoruz çünkü:

• Acelemiz var, özellikle de içeriği mobil cihazımızda görüntülüyorsak
• İyi hikâye anlatıcılarıdırlar ve hikâyelerini birden fazla dilde sorunsuz bir şekilde anlatmak için (ironik bir şekilde) yapay zekâyı kullanarak giderek daha akıcı hale gelmektedirler
• Gerçek olamayacak kadar iyi olsa bile bir şeyi bedavaya elde etmeye bayılırız
• Kötü adamlar neyin işe yarayıp neyin yaramadığına dair bilgiyi paylaşma konusunda iyiyken biz tavsiye arama veya alma konusunda daha az iyiyiz
• Otoriteye ya da en azından “resmi” olduğu sürece bir teklifin meşruiyetine saygı duymak için yaratılmışız.

Yapay zekâ söz konusu olduğunda kötü amaçlı yazılım avcıları giderek daha sofistike hale geliyor. Yalanlarını yaymak için birden fazla kanal kullanıyorlar. Ve kötü amaçlı yazılımları ChatGPT ve video yaratıcısı Sora AI’dan görüntü oluşturucu Midjourney, DALL-E ve fotoğraf editörü Evoto’ya kadar her şey olarak gizliyorlar. Tanıttıkları sürümlerin çoğu henüz mevcut değil, bu da kurbanı cezbediyor: Örneğin “ChatGPT 5” ya da “DALL-E 3”. 

Güvenlik araçları tarafından tespit edilmekten kaçınmak için yüklerini düzenli olarak uyarlayarak kötü amaçlı yazılımların radarın altında uçmaya devam etmesini sağlarlar. Ve yemlerinin (Facebook reklamları gibi) doğru görünmesini sağlamak için büyük zaman ve çaba harcarlar. Öyle ya, indirmelerini sağlamak için resmi görünmeleri gerekir.

Ne risk altında olabilir?

Peki en kötü ne olabilir? Cep telefonunuza veya bir web sitesine sahte bir GenAI uygulaması indirmek için tıklarsanız ve bu uygulama kötü amaçlı yazılım yüklerse kötü adamlar için nihai hedef nedir? Çoğu durumda bu bir bilgi hırsızlığıdır. Bu kötü amaçlı yazılım parçaları, adından da anlaşılacağı gibi hassas bilgileri toplamak için tasarlanmıştır. Bu bilgiler arasında iş girişleri veya kayıtlı kredi kartları gibi çevrimiçi hesaplarınızın kimlik bilgileri, oturum çerezleri (çok faktörlü kimlik doğrulamayı atlamak için), kripto cüzdanlarında saklanan varlıklar, anlık mesajlaşma uygulamalarından gelen veri akışları ve çok daha fazlası yer alabilir.

Elbette bu sadece bilgi çalan kötü amaçlı yazılımlarla ilgili değil. Siber suçlular teorik olarak fidye yazılımları ve uzaktan erişim Truva atları (RAT’lar) da dahil olmak üzere her türlü kötü amaçlı yazılımı uygulamalara ve kötü amaçlı bağlantılara gizleyebilir. Kurban için bu durum şunlara yol açabilir:

• Bir bilgisayar korsanı, bilgisayarınız/cep telefonunuz ve içinde depolanan her şey üzerinde tam uzaktan kontrol sahibi olur. Bu erişimi en hassas kişisel ve finansal bilgilerinizi çalmak için kullanabilir veya makinenizi başkalarına saldırmak için bir “zombi” bilgisayara dönüştürebilirler
• Kişisel bilgilerinizi kimlik dolandırıcılığı için kullanabilirler, bu da mağdur için son derece üzücü ve pahalı olabilir
• Adınıza yeni kredi limitleri almak veya kripto varlıklarını çalmak ve banka hesaplarına erişmek ve boşaltmak için finansal ve kimlik bilgilerini kullanabilirler
• Hatta işvereninize veya bir ortak/tedarikçi kuruluşa saldırı başlatmak için iş kimlik bilgilerinizi bile kullanabilirler. Snowflake hesaplarına erişim sağlamak için bilgi hırsızı kötü amaçlı yazılım kullanan yakın tarihli bir dijital gasp kampanyası, on milyonlarca müşteri bilgisinin ele geçirilmesine yol açtı

Kötü niyetli yapay zekâ yemlerinden nasıl kaçınılır?

Denenmiş ve test edilmiş bazı en iyi uygulamalar sizi doğru yolda ve GenAI tehditlerinden uzak tutacaktır. Aşağıdakileri göz önünde bulundurun:

• Yalnızca resmi uygulama mağazalarından uygulama yükleyin

Google Play ve Apple App Store, kötü amaçlı uygulamaları ayıklamak için titiz inceleme süreçlerine ve düzenli izlemeye sahiptir. Üçüncü taraf web sitelerinden veya resmi olmayan kaynaklardan uygulama indirmekten kaçının çünkü bunların kötü amaçlı yazılım barındırma olasılığı çok daha yüksektir.

• Uygulamaların arkasındaki geliştiricileri ve yazılımlarıyla ilgili tüm incelemeleri iki kez kontrol edin

Bir uygulamayı indirmeden önce geliştiricinin kimlik bilgilerini doğrulayın ve geliştirdikleri diğer uygulamalara bakın ve kullanıcı yorumlarını okuyun. Şüpheli uygulamalar genellikle kötü yazılmış açıklamalara, sınırlı geliştirici geçmişine ve sorunları vurgulayan olumsuz geri bildirimlere sahiptir.

• Dijital reklamlara tıklama konusunda dikkatli olun

Özellikle Facebook gibi sosyal medya platformlarındaki dijital reklamlar, kötü amaçlı uygulamaları dağıtmak için yaygın bir vektör olabilir. Reklamlara tıklamak yerine, yasal sürümü aldığınızdan emin olmak için uygulamayı veya aracı doğrudan resmi uygulama mağazanızda arayın.

• Yüklemeden önce web tarayıcısı uzantılarını kontrol edin

Web tarayıcısı uzantıları web deneyiminizi geliştirebilir ancak güvenlik riskleri de oluşturabilir. Herhangi bir uzantı yüklemeden önce geliştiricinin geçmişini kontrol edin ve yorumları okuyun. Yüksek puanlara ve önemli kullanıcı geri bildirimlerine sahip tanınmış geliştiricilere ve uzantılara bağlı kalın.

• Saygın bir tedarikçinin kapsamlı güvenlik yazılımını kullanın

Bilgisayarınıza ve tüm mobil cihazlarınıza saygın bir satıcıdan sağlam bir güvenlik yazılımı yüklediğinizden emin olun. Bu, kötü amaçlı yazılımlara, kimlik avı girişimlerine ve diğer çevrimiçi tehditlere karşı gerçek zamanlı koruma sağlar.

• Kimlik avına karşı dikkatli olun

Kimlik avı uzun süredir bir tehdit olmaya devam etmektedir. Bağlantılara tıklamanızı veya ekleri açmanızı isteyen istenmeyen mesajlara karşı dikkatli olun. Şüpheli görünen herhangi bir e-posta, metin veya sosyal medya mesajı ile etkileşime geçmeden önce gönderenin kimliğini doğrulayın.

• Tüm çevrimiçi hesaplarınız için çok faktörlü kimlik doğrulamayı (MFA) etkinleştirin

MFA, birden fazla doğrulama yöntemi gerektirerek çevrimiçi hesaplarınıza ekstra bir güvenlik katmanı ekler. Parolanız tehlikeye girse bile hesaplarınızı korumak için mümkün olan her yerde MFA’yı etkinleştirin.

• Uyanık olun.

Yukarıda gösterildiği gibi, siber suçlular yeni sürümlerle ilgili heyecanı sömürmeye karşı koyamazlar. Bir yapay zekâ aracının yeni bir sürümünü indirmek için bir teklif görürseniz devam etmeden önce resmi kanallar aracılığıyla kullanılabilirliğini doğrulayın. Sürümü onaylamak için resmi web sitesini veya güvenilir haber kaynaklarını kontrol edin.

Yapay zekâ etrafımızdaki dünyayı büyük bir hızla değiştiriyor. Sizinkini daha kötü yönde değiştirmediğinden emin olun.