Tam anlamıyla ustalık eseri mesajlar yazan ChatGPT gibi sohbet robotları bulunan bu dönemde “tıklamadan önce bir kez daha düşünün” uyarısı yeni bir anlam kazanıyor.
ChatGPT, piyasaya sürülmesinden sadece iki ay sonra dünya çapında 100 milyon kullanıcıya ulaşarak fırtına estiriyor. Ancak ChatGPT’nin sanki bir insan tarafından yazılmış hissi veren mesajlarına yönelik medyada yer alan haberlerin arkasında muhtemelen daha karanlık bir gerçek yatıyor.
Bing arama motoruna entegre edilen ChatGPT gibi güçlü sohbet robotu ve teknolojiler, dolandırıcılar gibi yanlış ellerde kötü amaçlarla kullanılabilir ve siber suçların kitleler için “demokratikleşmesine” yardımcı olabilir. ChatGPT, toplu dolandırıcılık saldırıları yapmak için oldukça düşük maliyetli ve otomatik bir yöntem sunarak daha inandırıcı kimlik avı saldırılarına yönelik yeni bir dalganın ortaya çıkmasına neden olabilir.
ChatGPT silah olarak nasıl kullanılıyor
ChatGPT, OpenAI’in “geniş dil modelleri”nden oluşan GPT-3 ailesine dayanıyor. Bu bakımdan ChatGPT, kullanıcılarla bir sohbet havasında iletişime geçmesi için titizlikle hazırlanmış olup doğal yanıtları ile birçok kişiyi etkilemektedir. Araç henüz daha ilk günlerini yaşıyor olsa da araca yönelik bazı sorunlar bulunuyor.
OpenAI, ChatGPT’nin kötü amaçlar için kullanılmasını engellemeye yönelik koruyucu önlemler almış olsa da, bu önlemler her zaman etkili veya uygun olmuyor. Diğer şeylerin yanı sıra, Ukrayna’dan kaçmak üzere maddi yardım istemek için bir mesaj yazması dolandırıcılık olarak tespit edilip bu talebin reddedildiği belirtilmiştir. Ancak, başka bir kişiye ise piyango kazandığına ilişkin sahte mesaj içeren bir e-posta yazmasına onay verilmiştir. Farklı raporlar, bazı bölgelerdeki kullanıcıların ChatGPT’nin uygulama programlama arayüzüne (API) erişim sağlamasını engellemek için tasarlanan kontrollerin de çalışmadığını göstermektedir.
Bu, her gün internet kullanan kişiler için kötü haber anlamına geliyor çünkü siber suçluların gerçekten de birçok olayda ChatGPT’yi kötü amaçlarla kullandığı tespit edilmiştir. Bu gelişmeler, her zamankinden daha çok insanın iş e-postası saldırıları (BEC) gibi geniş çaplı, inandırıcı, hatasız ve hatta hedefli siber saldırı yapmasına yol açabilir.
Gerçekten birçok siber güvenlik lideri (%51) ChatGPT’nin bir yıl içerisinde başarılı bir siber saldırı için kullanılmasını bekliyor.
İLGİLİ MAKALE: Makine öğrenimi ve kötü amaçlı yazılımlar: Bizi ne sürprizler bekliyor?
Bu açıdan hepimizin çevrim içi dolandırıcılık işaretlerini anlamak konusunda daha iyi olmamız ve kötü amaçlı e-postaların potansiyel artışına karşı hazırlıklı olmamamız gerektiği sonucunu çıkarabiliriz. Dikkat edilmesi gereken noktalar:
Büyük olasılıkla kimlik avı e-postası okuduğunuzu gösteren işaretler
1) İstenmeyen iletişim
Kimlik avı mesajları genellikle beklenmedik bir şekilde ortaya çıkar. Evet, ticari pazarlama yöntemleri de birdenbire ortaya çıkabilir. Ancak gelen kutunuza bir bankadan veya başka bir kurumdan bir e-posta düştüğünde potansiyel şüpheli bir hareket için otomatik olarak dikkatli olmalısınız. Özellikle bu e-posta bir bağlantı veya ek içeriyorsa iki kat dikkatli olmanızda fayda var.
2) Bağlantılar ve ekler
Yukarıda da bahsedildiği gibi dolandırıcıların amaçlarına ulaşmak için kullandıkları klasik yöntemlerden biri, gönderdikleri e-postalara kötü amaçlı bağlantılar veya kötü amaçlı dosyalar eklemektir. Söz konusu ek dosyalar, gizli bir şekilde cihazınıza kötü amaçlı yazılım yükleyebilir ya da bağlantılar, sizi kişisel bilgilerinizi girmenizi isteyen bir kimlik avı internet sayfasına yönlendirebilir. Başka kanallar aracılığıyla mesajı gönderen kişi ve gelen mesajın gerçek olup olmadığını teyit etmediyseniz, her ne kadar bilinen ve güvenilir bir kaynaktan geliyor gibi görünseler de bağlantılara tıklamaktan, dosyaları indirmekten ya da mesajlardaki ekleri açmaktan kaçının.
3) Kişisel ve finansal bilgi talepleri
Bir kimlik avı saldırısı ile ne amaçlanır? Bazen bir kişinin farkında olmadan bilgisayarına kötü amaçlı yazılım yüklemeye ikna edilmesi amaçlanır. Ancak birçok kimlik avı saldırısının amacı bu mesajı alan kişilerin kişisel bilgilerini paylaşması için kandırılmasıdır. Bu bilgiler genellikle yasa dışı kullanım için satılır ve ardından kimlik hırsızlığı ve dolandırıcılığı yapmak için bir araya getirilir. Bazen de sizin adınıza kredi limitinizi arttırma veya kredi kartınızla bir ürün satın alma da olabilir.
4) Baskı taktikleri
Kimlik avı saldırılarının merkezinde sosyal mühendislik olarak bilinen bir teknik vardır. Sosyal mühendisliğin temeli, ikna ve insan hatası kullanılarak diğer insanlara istediğini yaptırmaktır. Bir acil durum hissi uyandırmak, klasik bir sosyal mühendislik taktiğidir. Acil durum hissi, kurbana yanıt vermesi için yalnızca sınırlı bir zamanı olduğu, yoksa cezalandırılacağı veya bir şey kazanamayacağı söylenerek yaratılır.
5) ‘Bedava’ ürünler
Bir şey gerçek olamayacak kadar iyiyse büyük olasılıkla gerçek değildir. Ancak bu durum, insanların aslında var olmayan bedava ürünler için kandırılmasının önüne geçmiyor. Bu yöntemin klasik bir örneği, kullanıcılara kişisel ve/veya finansal bilgilerini paylaşmak zorunda oldukları anketlere katılım sağlamaları karşılığında cömert “hediyeler” vaat edilmesidir. Kurbanın iPhone, hediye kartı, para veya vaat edilen başka bir ürünü hiçbir zaman almadığını belirtmeye ise gerek yoktur.
6) Eşleşmeyen gönderici ekranı ve gerçek etki alanı
Kimlik avı saldırganları sıklıkla e-posta adreslerinin yasal bir kaynaktan geliyormuş gibi göstermeye çalışsa da aslında durum böyle değildir. Örneğin, genellikle gönderen alan adının üzerine geldiğinizde, onu gönderen gerçek e-posta adresini görebilirsiniz. Etki alanı ve e-posta adresi eşleşmiyor ve/veya etki alanı, uzun rastgele karakterlerden oluşuyorsa bu büyük olasılıkla bir dolandırıcılık e-postasıdır.
7) Sıra dışı veya genel selamlamalar
Kimlik avı saldırganları, kurbanlarının güvenini kazanmak için yasal kurumlardaki kişileri taklit etmeye çalışır. Ancak e-posta gönderirken hiçbir zaman doğru bir şekilde nasıl hitap edeceklerini bilmezler. Size bir şirketten gelen ve ilk isminizle hitap eden bir e-postada daha resmi bir hitap şekliyle karşılaşırsanız tehlikenin farkına varmalısınız. Aynı zamanda hiçbir yasal banka ya da başka bir kurum size sonu @gmail.com ile biten bir e-posta adresinden mesaj göndermez.
8) Güncel olayların veya acil durumların kullanılması
Bağlantılara tıklamak amacıyla kişileri ikna etmek için kullanılan bir diğer klasik sosyal mühendislik tekniği ise popüler haberlerden veya acil durumlardan faydalanmaktır. COVID-19 pandemisi sırasında kimlik avı e-postalarının sayısının artmasının ve Rusya’nın Ukrayna’yı işgalinin hemen ardından suçluların yardım içerikli dolandırıcılıkları kullanmasının nedeni bu sosyal mühendislik tekniğine dayanır. Güncel olaylara yer veren mesajlara karşı her zaman şüpheyle yaklaşın.
9) Sıra dışı talepler
Benzer şekilde göndericinin sıra dışı taleplerde bulunduğu e-postalara karşı da dikkatli olun. Sıra dışı taleplerin bir örneği, bankanızın e-posta veya mesaj yoluyla kişisel ve finansal bilgilerinizi doğrulamanızı istemesi olabilir çünkü bu, gerçek bir bankanın asla istemeyeceği bir taleptir. “Sayın müşteri” veya “Sayın [e-posta adresi]” ile başlayan bir e-postanın tehlikeli olduğunu anlamalısınız.
10) Para istenmesi
Kimlik avı saldırıları, kişisel bilgilerinin ele geçirilmesi ve/veya kötü amaçlı yazılımların yüklenmesi ile ilgilidir. Ancak bazı dolandırıcılık yöntemleri ise daha doğrudan bir şekilde gerçekleşebilir. Bir kargo ücreti veya para ödülü olarak tanıtılsa bile size istenmeyen bir mesaj gönderen kişiye asla para vermemeniz gerektiğini belirtmeliyiz.
ChatGPT sayesinde dil bilgisi hataları, tarihe karışmış olabilir. Ancak neyse ki potansiyel dolandırıcılıkları fark etmemizi sağlayan birçok başka işaret bulunuyor. Çevrim içi ortamda hiç acele etmeyin ve her zaman bir kişinin belirli bir mesajı neden gönderdiğini düşünün.
Aşağıdaki videoyu izleyerek kimlik avı e-postalarını anlamaya yönelik yeteneklerinizi test edin. Hazır başlamışken neden ESET’in siber güvenlik farkındalık eğitimini de almıyorsunuz?
Kimlik avı saldırıları ile ilgili daha fazla bilgi edinmek için bu makalelere de bir göz atın:
Kimlik avı saldırısının kurbanı olmayın! Kimlik avı saldırısından nasıl kurtulunur?
Kimlik avı alerjisi – Kimlik avı mesajlarının fark edilmesi
Makine öğrenimi ve kötü amaçlı yazılımlar: Bizi ne sürprizler bekliyor?
Şirketinizi fidye yazılımı saldırılarına karşı koruyun
