Dünyada her dokuz kişiden birini etkileyen bir saldırı olarak bilinen oltalama (phishing), en sık kullanılan siber dolandırıcılık yöntemlerinden biri olmaya devam ediyor. İnternet kullanıcılarının zaaflarından faydalanarak kişisel verilerini ya da şifrelerini çalma yöntemlerinden biri olan phishing, ChatGPT’nin piyasaya sürülmesiyle daha yaygın ve etkili hale gelmeye başladı.Dil yeteneğini kullanarak etkin ve inandırıcı phishing tuzakları oluşturmaya elverişli bu teknolojiyle insan zekasının ortaklığından oluşturulan mesajın daha sofistike olması kullanıcıları daha savunmasız hale getiriyor. Bu oltalama saldırılarında milyarlarca dolara ulaşan kaybın katlanarak artacağını gösteriyor. Uzmanlar bunun sebebinin, insan zekâsının sosyal mühendislikten faydalanarak mesajların bağlamını ve kültürel arka planını oluşturması ve bu mesajların ChatGPT ile uygun stil ve tonla özelleştirilmesi olarak açıklıyor.
ChatGPT bir saldırı robotuna dönüşür mü?
Yapılan araştırmalara göre, oltalama saldırısı amaçlı her 5 iletiden 4’ü kimlik avı amacıyla tasarlanıyor. Sürekli çalışır vaziyette olan ve aynı anda binlerce kullanıcıyla erişebilen bir teknoloji olan ChatGPT ile spear phishing(yemleme) saldırılarında spam göndericisi olarak insana ihtiyaç kalmıyor, gerekli komutlardan sonra hackerler bağını sormadan üzüm yiyebilecekler. Bu öğretilebilir hilelerden, son zamanlarda hızla yayılan ‘prompt-bombing’ saldırıları sürekli artıyor.
Prompt Bombing saldırıları nasıl oluyor?
Sürekli gelen bildirim veya yönlendirme mesajları ile başlayan Prompt Bombing saldırılarında, kullanıcı bir süre sonra gerçek olduğu algısına kapılır ya da bildirim almaktan yorgun düşer.Giriş yaparak bildirimi sonlandırmak isteyen kullanıcının dikkatinin dağılmasıyla onay vererek hackerlere erişim sağlayabilir.
Phishing saldırısı nasıl anlaşılır?
Kullanıcıların en zayıf anını hedefleyen bu siber saldırı yönteminin nasıl anlaşılacağı konusunda bilgi veren Türkiye’nin dijital dönüşüm danışmanı BeyazNet’in CEO’su Fatih Zeyveli: “Hackerler bu tip saldırıyla kullanıcıların en zayıf anını kolluyor. Bu da, iki zamanda olur: Uykusuz kalınan gece saatleri ya da çok bildirim gelmesinden bıkarak giriş onayı verilmesi. Hiçbir erişim sağlayıcı sık uyarı göndermez. Bir yerden erişim doğrulama sık geliyorsa, saldırı altındasınız demektir.” diye uyarıda bulundu.
Öncelikli çözüm çalışanlara oltalama eğitimi
Oltalama yöntemleri sürekli gelişirken, çalışanlar bu konuda neredeyse hiç bilgi sahibi olmaması saldırganların işini kolaylaştırıyor. Çözüm olarak, kurumlar çalışanları için phishing eğitimlerini güçlendirirken yapay zekâ destekli farklı siber güvenlik araçlarından faydalanması gerekiyor. Aksi halde GPT-4’ün hızla gelişen sosyal mühendislik yeteneklerine kanıp oltaya takılan kullanıcıların sayısı katlanarak büyüyecek.
Kurumları oltalama eğitimi ve yeni yöntemler ile ilgili sürekli bilgi güncellemesi gerektiği ilgili uyaran Fatih Zeyveli, şöyle konuştu:
“Şirketler ve kurumlara bir oltalama saldırısının maliyetinin milyonlarca liraya ulaşabileceğini görüyoruz. Bu veri kaybı, itibar kaybı, müşteri kaybı, hukuki masraflar, siber güvenlik önlemleri ve diğer maliyetleri kapsıyor. Saldırılardan en az hasarla ya da hasarsız çıkmanın yolunun ilk adımı çalışanların phishing eğitimi almasıdır. Bununla birlikte altyapının siber güvenlik araçlarıyla donatılmasıdır.”
Hibya Haber Ajansı