Yapay Zekâ yarışı hızlandı! Güncel gelişmeler ve olanaklardan anında haberdar olamayız, ancak yine de sansasyonel haberleri ilk ağızdan duymak isteriz. Siber suçluların altın çağı!
Bugün, Facebook hesabımın sayfa akışına göz atarken, Google’ın yasal yapay zekâ aracı “Bard”ın en son sürümünü indirip denememi öneren “Google Bard AI” tarafından sunulan bir reklamla karşılaştım.
Reklamın linkinde herhangi bir Google referansı olmaması, aksine Google ya da Dublin, İrlanda’daki ofisleriyle herhangi bir bağlantısı olmayan rebrand.ly adresine yönlendirmesi bir an şaşırmama neden oldu. Bir internet devinin başka bir sağlayıcının hizmetlerini kullanması garip geldi ve merak duydum. Daha sonra reklam metnini yeniden okudum ve anadilim İngilizce olmasa da, kimsenin bu kafa karıştıran içeriği bir kez okuyarak anlayacağına inanmadım.
“Botlar” mı dediniz?
Daha sonra, sahtekarlık olasılığına karşı ipuçları aramak için reklamın altındaki yorumlar bölümünü kontrol ettim, ancak (küçük) bir sürpriz vardı, herkes “uygulamayı” seviyor gibiydi. Genel olarak yalnızca “uygulama” için yorum yapılıyordu, bazıları Yapay Zekâyı övüyordu ama Google’dan hiç bahseden yoktu. Bazıları yorum bölümünde “5 yıldız” veriyordu. Her nasılsa, mucize denebilecek şekilde, yorumlardaki herkes uygulamayı aynı anda indirip test etmiş gibi görünüyordu ve yorumlarını tam olarak aynı anda yazıyorlardı – bu benim durumuma göre “6 saat önceydi” – ve bu durum şüphelerimi artırmıştı.
İpuçlarını takip ediyoruz
Biraz daha araştırmak için güvenli bağlantıyı açmayı seçtim. Öncelikle, VirusTotal’de rebrandly bağlantısını kontrol ettim ve 90 satıcının üçü tarafından kötü niyetli olarak işaretlendiğini gördüm. Bu ilk göstergeydi, ancak kanıt sayılmazdı. Çünkü, yanlış değerlendirme olabilirdi.
Ben de detaya indim ve bağlantıyı anonim bir tarayıcı penceresinde açtım – bağlantı gerçek bir Google sitesine yönlendirdiği için mükemmel bir fikir olduğu ortaya çıktı – hxxps://sites.google.com/view/12345328?fbclid=IwAR2V87sG77nklWVC1tLS-R-fjrL_nNNDhjtDorxKHkN56g8oNVV09Edjgwo
Tarayıcımda oturum açıp, özellikle de Chrome’daki Google hesabımla siteye erişiyor olsaydım, suçlular potansiyel olarak benim hakkımda istediğimden çok daha fazla bilgi edinebilirdi!
Site, Google’ın bulut altyapısında barınıyor ancak Google ile kesinlikle bağlantılı değil ve Google tarafından desteklenmiyor. Burada meşru olmayan şeylerin varlığı ile ilgili birkaç ufak ipucu da vardı. Öncelikle, tarayıcı sekmesindeki sayfa başlığına bakalım: “Trang chủ“ (“ana sayfa“ ifadesinin Vietnamca karşılığı). Ayrıca, sitede içeriğinin anadili İngilizce olan veya profesyonel anlamda İngilizce konuşan biri tarafından hazırlanmadığı bir kez daha açık görünüyor. Bu, bu saldırının arkasındaki saldırganların Vietnam’da yerleşik olduğunu gösteriyor, ancak elbette bu hiçbir şekilde yeterli kanıt değil.
“İndir” düğmesi şu bağlantıya yönlendiriyor: hxxps://drive.google.com/u/0/uc?id=1sn-Lzt-2vJ_i-6I9lkbGgr_-IN2TVcA-&export=download – Saldırganlar için ucuz bir dağıtım aracı olmasına rağmen, saldırının Google tarafından resmi bir teklif olduğu yanılsamasını yaratmaya çalışan kişisel bir Google Drive alanı.
Yapayını geçtim, zekâ bile yok
İndirilen dosya bir RAR arşiv dokümanı: GoogleAIUpdata.rar. Parola ile “korunduğu” için taranması veya VirusTotal’a yüklenmesi yarar sağlamaz. Bunun neden Google’dan gerçek bir indirme olup olmadığı merak edilebilir, diyorsunuz? Bu parola “koruması”, saldırganların kötü amaçlı yazılım tarayıcılarını geçmesinin yalnızca kolay bir yolu olarak işlev görür – başka bir şey değil. Arşivi indirme sayfasında verilen “789” şifresiyle açarsanız (paketini açmadan!), arşivin MSI (Microsoft Software Installer) biçiminde bir yükleyici içerdiğini göreceksiniz – Google Bard AI setup.msi . Neyse ki, 7-zip gibi arşivden çıkarma araçları, SHA-256 (ve diğer) dosya sağlama yapma seçeneği sunar; bunlar daha sonra, potansiyel olarak zararlı bir dosyayı açmaya gerek kalmadan VirusTotal’da tekrar aranabilir.
Dosyaya bakmak, bunun kötü niyetli bir saldırı olduğunun son kanıtıdır. 59 satıcıdan 26’sı, dosyayı kötü niyetli olarak işaretledi. ESET’in algılama adında biraz daha fazla bilgi vermesi de yardımcı oldu. JS/ExtenBro.Agent.EK (tarayıcı) ayarlarınızı değiştirmeye çalışır. Bir bulaşma olduktan sonra kurtulmak için belirli güvenlik satıcısı sitelerine erişimi önleyecek bir JavaScript aracısıdır. Ancak çoğunlukla, erişmeye çalıştığınız herhangi bir web sitesinde rahatsız edici ve istenmeyen reklamlar görüntüleyen ve kurbanın cihazında görüntülenen her reklamla para vaat eden reklam yazılımı (Adware) olarak saldırganlara hizmet eder.
Sonuç
Yazıyı hazırlarken saldırı halen görünür haldeydi, ama saldırıyı ihbar ettim ve bunu yapan tek kişi de ben olmayacağım. Ne yazık ki, artık “meta AI” veya diğer sahte “Google AI” reklamları gibi başka örneklerle karşılaştığım için bu daha büyük bir saldırı olabilir gibi görünüyor. Sonuçta bu saldırı, daha da fazla para kazanmak için her zamankinden daha fazla sinir bozucu Adware yayan, mevcut ve devam eden AI aldatmacası ile “hızlı para” kazanmaya yönelik umutsuz bir girişim olarak kabul edilebilir. Bu kesinlikle başarılı bir saldırı değildir. Ancak ne yazık ki insanlar son teknolojilere sahip olmak umuduyla bu tür dolandırıcılıklara kanıyor. Bir diğer üzücü gerçek ise, Facebook ve Google gibi teknoloji devlerinin %100 temiz ve güvenli bir ortam sağlayacağına güvenemememizdir.
Umarım bu blog yazısı olasılıkları ve ipuçlarını belirleme, olası bir dolandırıcılık veya kötü amaçlı yazılım saldırısını pahalı araçlara ihtiyaç duymadan evden nasıl araştırılacağı konusunda biraz yardımcı olur.
TELEKOPYE : Telegram botunu kullanarak mamut avlamak
Yapay zekâ aramalardan gelir elde etmeyi nasıl değiştirdi?
