Yeni trendlere her zaman uyum sağlayan siber suçlular ChatGPT, Midjourney ve diğer üretken yapay zekâ asistanları gibi görünen kötü amaçlı yazılımlar dağıtıyorlar. Dijital güvenlik şirketi ESET yapay zekâ yemlerinden sakınmanın yollarını paylaşarak dikkat edilmesi gerekenleri sıraladı. 

 

Tehdit aktörleri bir şeyleri kaçırma korkumuzdan, iyi niyetimizden  ya da  merakımızdan faydalanarak kötü amaçlı bağlantılara tıklamamızı veya içinde kötü amaçlı yazılım gizlenmiş uygulamaları indirmemizi sağlıyorlar.  Yapay zekâ söz konusu olduğunda siber suçlular giderek daha sofistike hale geliyor. Yalanlarını yaymak için birden fazla kanal kullanıyorlar. ChatGPT, video yaratıcısı Sora AI, görüntü oluşturucu Midjourney, DALL-E ve fotoğraf editörü Evoto’ya kadar her şeyi kötü amaçlı yazılımları yaymak için kullanmaya çalışıyorlar. Tanıttıkları sürümlerin çoğu henüz mevcut değil, bu da kurbanı cezbediyor: Örneğin “ChatGPT 5” ya da “DALL-E 3”. 

 

ESET, 2023 yılının ikinci yarısında “ChapGPT” veya benzer bir metin içeren kötü amaçlı alan adlarına erişmek için yapılan 650 binden fazla girişimi engelledi. Kurbanlar büyük olasılıkla sosyal medyadaki bir bağlantıya tıkladıktan sonra veya bir e-posta ya da mobil mesaj yoluyla bu sayfalara ulaşıyor. ESET’in H1 2024 tehdit raporu, kullanıcıların OpenAI’ın Sora veya Google’ın Gemini’sinin resmi web sitesine götürmeyi vaat eden Facebook reklamları tarafından kandırılarak yükletildiği kötü amaçlı bir tarayıcı uzantısını detaylandırıyor. Uzantı Google Translate gibi görünse de aslında kullanıcıların Facebook kimlik bilgilerini toplamak için tasarlanmış “Rilide Stealer V4” olarak bilinen bir bilgi hırsızı. Ağustos 2023’ten bu yana ESET telemetrisi, kötü amaçlı uzantıyı yüklemek için 4 binden fazla girişim kaydetti. Meta‘ya göre, diğer kötü amaçlı uzantılar GenAI işlevselliği sunduğunu iddia ediyor ve aslında bunu sınırlı bir biçimde yapmanın yanı sıra kötü amaçlı yazılım da sunabiliyor.

Neler risk altında olabilir?

Cep telefonunuza veya bir web sitesine sahte bir GenAI uygulaması indirmek için tıklarsanız  bilgi hırsızlığının kurbanı olabilirsiniz. Bir bilgisayar korsanı, bilgisayarınızı veya cep telefonunuzu uzaktan kontrol edebilir. Bu erişimi, en hassas kişisel ve finansal bilgilerinizi çalmak için kullanabilir veya makinenizi başkalarına saldırmak için bir “zombi” bilgisayara dönüştürebilir. Kişisel bilgilerinizi kimlik dolandırıcılığı için değerlendirebilir. Adınıza yeni kredi almak, kripto varlıklarını çalmak, banka hesaplarına erişmek için kimlik bilgilerinizi kullanabilirler. İşvereninize veya bir tedarikçi kuruluşa saldırı başlatmak için iş kimlik bilgilerinizi bile kullanabilir.

Kötü niyetli yapay zekâ yemlerinden nasıl kaçınılır?

Yalnızca resmi uygulama mağazalarından uygulama yükleyin. Google Play ve Apple App Store kötü amaçlı uygulamaları ayıklamak için titiz inceleme süreçlerine  sahiptir. Üçüncü taraf web sitelerinden veya resmi olmayan kaynaklardan uygulama indirmekten kaçının çünkü bunların kötü amaçlı yazılım barındırma olasılığı çok daha yüksektir.

Uygulamaların arkasındaki geliştiricileri ve yazılımlarıyla ilgili tüm incelemeleri iki kez kontrol edin.  Bir uygulamayı indirmeden önce geliştiricinin kimlik bilgilerini doğrulayın ve geliştirdikleri diğer uygulamalara bakın. Kullanıcı yorumlarını okuyun. Şüpheli uygulamalar genellikle kötü yazılmış açıklamalara, sınırlı geliştirici geçmişine ve sorunları vurgulayan olumsuz geri bildirimlere sahiptir.

Dijital reklamlara tıklama konusunda dikkatli olun. Özellikle Facebook gibi sosyal medya platformlarındaki dijital reklamlar, kötü amaçlı uygulamaları dağıtmak için yaygın bir vektör olabilir. Reklamlara tıklamak yerine, yasal sürümü aldığınızdan emin olmak için uygulamayı veya aracı doğrudan resmi uygulama mağazanızda arayın.

Yüklemeden önce web tarayıcısı uzantılarını kontrol edin.  Web tarayıcısı uzantıları web deneyiminizi geliştirebilir ancak güvenlik riskleri de oluşturabilir. Herhangi bir uzantı yüklemeden önce geliştiricinin geçmişini kontrol edin ve yorumları okuyun. Yüksek puanlara ve önemli kullanıcı geri bildirimlerine sahip tanınmış geliştiricilere ve uzantılara bağlı kalın.

Saygın bir tedarikçinin kapsamlı güvenlik yazılımını kullanın.  Bilgisayarınıza ve tüm mobil cihazlarınıza saygın bir satıcıdan sağlam bir güvenlik yazılımı yüklediğinizden emin olun. Bu, kötü amaçlı yazılımlara, kimlik avı girişimlerine ve diğer çevrimiçi tehditlere karşı gerçek zamanlı koruma sağlar.

Kimlik avına karşı dikkatli olun. Kimlik avı uzun süredir bir tehdit olmaya devam ediyor. Bağlantılara tıklamanızı veya ekleri açmanızı isteyen istenmeyen mesajlara karşı dikkatli olun. Şüpheli görünen herhangi bir e-posta, metin veya sosyal medya mesajı ile etkileşime geçmeden önce gönderenin kimliğini doğrulayın.

Tüm çevrimiçi hesaplarınız için çok faktörlü kimlik doğrulamayı (MFA) etkinleştirin. MFA, birden fazla doğrulama yöntemi gerektirerek çevrimiçi hesaplarınıza ekstra bir güvenlik katmanı ekler. Parolanız tehlikeye girse bile hesaplarınızı korumak için mümkün olan her yerde MFA’yı etkinleştirin.

Her zaman dikkatli ve uyanık olun.

Bir yapay zekâ aracının yeni bir sürümünü indirmek için bir teklif görürseniz devam etmeden önce resmi kanallar aracılığıyla kullanılabilirliğini doğrulayın. Sürümü onaylamak için resmi web sitesini veya güvenilir haber kaynaklarını kontrol edin.

Kaynak: Bülten