Dolandırıcılığın geleceği zaten geldi, sadece eşit dağılmış değil

 (manishearth.github.io)
1 puan yazan GN⁺ 6 시간 전 | 1 yorum | WhatsApp'ta paylaş
  • LLM’ler işe alım mülakatları, aile acil durum iletişimleri, banka e-postaları, romantik ilişkiler gibi kişiye özel bahaneler üreterek özelleştirilmiş dolandırıcılık yürütebilir; hesap ele geçirdikten sonra uzun süreli gözetim ve devam saldırılarına kadar ilerleyebilir
  • Geleneksel dolandırıcılık düşük maliyetli toplu gönderim ile yüksek maliyetli hedefli saldırılar arasında bölünüyordu; LLM’ler bu arayı kapatarak hedeflenmiş saldırıları ucuza ve tekrar tekrar yapmayı mümkün kılıyor
  • 2024 tarihli bir makale, LLM tabanlı spear-phishing e-postalarının maliyetini yaklaşık 4 sent olarak tahmin etti; işe alım dolandırıcılığı senaryosu daha karmaşık olsa da, 2026’daki LLM performansıyla uygulanmaya değer olabilir
  • “Doğal yazı”, “güçlü web varlığı”, “telefonlu·görüntülü arama ile doğrulama” gibi sezgisel kurallar maliyet ve yeteneğin vekil göstergeleriydi; ancak ses klonlama·gerçek zamanlı deepfake ile güvenilirlikleri zayıflıyor
  • Savunma için her mesaja daha şüpheyle yaklaşmak tek başına yetmez; aile içinde sözlü parola, ayrı bir kanaldan doğrulama, kullanıcının bizzat başlattığı kanallara öncelikli güven ve donanımsal 2FA gibi yeni pratikler gerekiyor

LLM’in ürettiği işe alım dolandırıcılığı senaryosu

  • İş arayan kişi LinkedIn’de kendisine çok uygun görünen bir iş teklifi alır ve iyi şartlar sunan, ünlü bir şirkete aitmiş gibi duran bir mülakat sürecine katılır
  • Mülakattan önce NDA imzalamak için hukuki SaaS gibi görünen bir platformda oturum açar ve “Sign in with Google/iCloud” benzeri bir akış kullanır
  • Giriş ekranı gerçek gibi görünür; kullanıcının girdiği parola ve “cihazda evet’e basın” 2FA akışı, saldırgan tarafından karşı tarafta gerçek hesap girişinde kullanılır
  • Saldırgan oturum çerezlerini saklar ve kullanıcıya normal giriş yapılmış gibi göstererek hesap erişimini gizler
  • Sonraki mülakat ve reddedilme bildirimi, kurbanın şüphelenmemesini sağlayan bir tiyatro işlevi görür
  • Birkaç ay sonra kurban kimlik hırsızlığını, kendi adına yapılan kredi kartı harcamalarını, menkul kıymet hesabından kısmi sızıntıyı ve e-posta ile çeşitli çevrimiçi hesaplara erişim kaybını fark eder

Ele geçirme sonrasında mümkün olan saldırı akışı

  • Saldırgan e-posta ve hesaplara sürekli erişimi sürdürürken kullanıcının davranış kalıplarını izler
    • Hedef hesaplara gelen uyarı e-postalarını önceden filtreleyerek bildirimlerin kurbana ulaşmasını engeller
    • Bulut dosyalarını indirir ve hesabı başka sitelere giriş için de kullanır
    • Kurbanın bilgilerini kullanarak kredi kartı açar
  • Finansal hesaplardaki parayı boşaltmak modern finans sisteminin korumaları nedeniyle kolay değildir
    • Çevrimiçi banka transferleri tespit edilebilir, birkaç gün sürebilir ve KYC düzenlemeleri nedeniyle hedef hesabın izlenmesi mümkün olabilir
    • Banka siteleri çoğu zaman 2FA ve giriş uyarıları kullanır
  • Buna rağmen uzun süre fark edilmeden erişim varsa menkul kıymet hesabı gibi daha seyrek kontrol edilen hesaplar hedeflenebilir
    • Maaşın otomatik yatırıldığı hesap keşfedilebilir
    • Parola sıfırlamasıyla erişim sağlandıktan sonra küçük transferlerle kullanım kalıbı oluşturulabilir
    • Tatil planları gibi takvim bilgileri kullanılarak kurbanın fark etmesinin zor olduğu bir zaman seçilebilir
  • Dolandırıcılığın yakında ortaya çıkacağı düşünülürse kurban hesabından kilitlenebilir; böylece ne olduğunu anlaması zorlaşır

Dolandırıcılığın maliyet yapısının değiştiği nokta

  • Geleneksel dolandırıcılık genel olarak iki kategoriye ayrılıyordu
    • Toplu gönderim tipi: ucuz, uygulanması kolay ve daha az deneyimli kişileri hedefler
    • Hedefli tip: pahalı ve sofistikedir; saldırmaya değecek kişi ya da kurumsal yetkisi olanları hedefler
  • Spam tarzı dolandırıcılıkların kasıtlı olarak özensiz görünmesinin nedeni, daha becerikli kişilerin en başta elenmesini sağlayarak sonraki yanıt maliyetini düşürmektir
  • Teknolojiye aşina kişiler, temel bilgisayar güvenliği alışkanlıkları ve sistemlerin yeteneklerine dair anlayışları sayesinde toplu gönderim tipi dolandırıcılıklara karşı görece güvendeydi
  • Kişisel serveti hedef alan sofistike dolandırıcılıklar gerçekte vardı ama çoğu kişi kendisinin hedef olma olasılığını düşük görüyordu
  • LLM’ler saldırgan yeteneklerindeki bu kutuplaşmış yapıyı değiştiriyor
    • 2024 tarihli makale, LLM tarafından yürütülen spear-phishing’in maliyetini e-posta başına yaklaşık 4 sent olarak hesaplıyor
    • İşe alım dolandırıcılığı senaryosu daha karmaşık ve pahalı olsa da, 2026’daki LLM’ler daha gelişmiş olduğundan uygulanmaya değer olabilir
    • Dolandırıcılar aynı anda binlerce vakayı yürütebilir ve kişiye özel malzeme araştırarak özelleştirilmiş bahaneler oluşturabilir

LLM’lerin dolandırıcılığa sağladığı yetenekler

  • Geçmişte her hedef için yetkin insan emeği gerektiren işleri LLM’ler ucuza yapabiliyor
    • Kurban araştırması ve en iyi yaklaşımın seçimi
    • Tepkilere göre uyarlanan kişiselleştirilmiş iletişim
    • Güvenilen aile bireyleri gibi kişilerin ses klonlaması
    • Gerçek zamana yakın görüntülü arama deepfake’leri
    • İnandırıcı sahte web varlığı oluşturma
    • Ele geçirilmiş kaynakların gerçek zamanlı izlenmesi ve buna göre saldırının genişletilmesi
    • Hedef arama ve eleme
    • İmza tabanlı spam filtrelerinden kaçınma
    • Yaması yapılmamış dağıtılmış yazılımlardaki bilinen CVE’leri bulma ve eşleştirme
  • Bu yetenekler zaten mevcut ve gelecekte daha da iyi hale gelmeleri muhtemel
  • Token maliyetiyle çalışan dolandırıcılıklar for döngüsü gibi tekrar edilebilir; ölçek büyüdükçe tekil dolandırıcılıklarda zor olan stratejiler mümkün hale gelir

Ölçeğin açtığı üç değişim

  • Ölçek sabırlı olmayı mümkün kılar
    • Bir insan ekibinin tek bir kişi için aylarca ya da yıllarca beklemesi zordur; ancak LLM’lerle aynı anda birçok kişiyle uğraşılırsa operasyon bir süre uykuda tutulabilir
    • Zaman olarak birbirinden ayrılmış birden fazla dolandırıcılık da üst üste yürütülebilir
  • Ölçek birleştirmeyi mümkün kılar
    • Küçük dolandırıcılıklarla para taşıyıcıları toplanıp, sonrasında daha büyük para çıkışlarını mümkün kılan kombinasyonlar kurulabilir
    • The Sting filminde birden fazla küçük dolandırıcılıkla güvenilir kurumları taklit eden yöntem, bugün çok daha düşük maliyetle mümkün olabilir
  • Ölçek yeni hedefler yaratır
    • Ele geçirilmiş 1.000 hesap, her platform içinde doğrulanmış 1.000 konum haline gelir
    • Platformların “arada sırada yaşanan dolandırıcılık maliyetinden faydası büyük olan boşluk” diye tolere ettiği noktalar bile, 1.000 hesabın aynı anda kötüye kullanılmasıyla hemen kapatılması gereken büyük deliklere dönüşür
    • The optimal amount of fraud is nonzero” hesabı, büyük ölçekli eşzamanlı kötüye kullanım karşısında değişebilir
  • Bu saldırıları birleştirmek için hâlâ teknik beceri gerekir; ancak yeniden kullanılabilir araçlar dolandırıcı pazarında satılırsa “dolandırıcılık script kiddie”leri ortaya çıkabilir
  • Bazı dolandırıcılar muhtemelen bu yetenekleri şimdiden kullanıyor; ancak henüz yaygınlaşmadıkları için bireylerin ve şirketlerin sezgisel kuralları yeterince yeniden ayarlanmış değil

Mevcut sezgisel kurallar neden zayıflıyor

  • İnsanlar tanımadıkları bir ileti aldıklarında karşı tarafı aratıyor, aile üyelerinden gelen iletişimleri telefon ya da görüntülü aramayla doğruluyor ve konuşmanın etkili bir talebe dönüştüğü anlara dikkat ediyordu
  • Bu sezgilerin bir kısmı maliyetin vekil göstergesi idi
    • Akıcı ve kişiselleştirilmiş yazı, gerçek bir insanın zaman harcadığının işaretiydi
    • Güçlü bir web varlığı, süslemesi zor ve maliyetli bir işaretti
    • Dolandırıcıların tek bir kişi için o kadar çaba sarf etmeyeceği varsayımı işliyordu
  • Diğer sezgiler ise yetenek sınırlarını varsayıyordu
    • Eskiden aile üyelerinin sesini telefonda doğal biçimde taklit etmek zordu
    • Görüntülü aramadaki kişinin gerçek biri olduğu ve gerekirse polis tarafından tespit edilebileceği beklentisi vardı
  • LLM’ler ve deepfake’ler, hem maliyet hem de yetenek temellerini sarsıyor
  • Sonuç olarak insanlar yalnızca dolandırıcılıktan kaçınmak için değil, neyin gerçek olduğundan emin olmak için de daha fazla çaba harcamak zorunda kalıyor
    • Başka bir şehirdeki bir aile üyesi acil para transferi istediğinde, hesap ele geçirme, iletişimin araya girilmesi ve deepfake ihtimali birlikte düşünülmeli
    • Bizzat ziyaret etmek ya da o bölgedeki başka birinden doğrulama istemek düzeyinde ek kontrol gerekebilir

Kurumsal sezgisel kurallar da sarsılıyor

  • Yalnızca bireyler değil, finans kurumları ve düzenlemeler de sezgisel kurallara dayanıyor
  • ABD’de tüketici bankacılığı korumaları, transferi kimin onayladığı konusunda keskin bir ayrım çiziyor
    • Biri hesaba erişip sahte bir transfer yaptıysa, zararı bankanın telafi etmesi beklenir
    • Kullanıcı kandırılıp transferi bizzat yaptıysa, suç duyurusu mümkün olsa da birilerinin bunu mutlaka karşılaması gerekmez
  • Bu ayrım, “parola çalmanın” hedefli manuel ikna dolandırıcılığından daha kolay olduğu bir dünyada anlamlı olabilir; ancak LLM’lerle hedefli iknanın maliyeti düşerse bu zemin sarsılır
  • Birleşik Krallık 2024’te, kandırılarak transfer yapan müşterilerin bankalarca tazmin edilmesini zorunlu kılan bir yasayı kabul etti
  • Ancak her dolandırıcılık zararını bankaların üstlenmesi, maliyeti bankalara aşırı aktarabilir ve bankalar dolandırıcılık riski yüksek kişilere hizmet vermemeyi seçebilir

Artık gereken yeni savunma yöntemleri

  • Her e-postaya ve her telefon sesine aşırı şüpheyle yaklaşmak tek başına yeterli değil
    • Çünkü mevcut sezgisel kurallar artık ucuza taklit edilebilen sinyalleri algılayan vekil göstergelerdi
  • Wikipedia’nın okul ödevlerinde kullanılmasına izin verilmeyen dönemlerde olduğu gibi, eski güven kurallarına sarılmak yanlış yöne yapılan bir düzeltme olabilir
    • İnternette bilgi patlamasından sonra kaynak doğrulama ve çapraz kontrol gibi yeni sezgiler gerekmişti
    • LLM çağındaki dolandırıcılıklar için de yeni sezgiler gerekiyor
  • Dolandırıcılıkların ortak iskeletine bakmak etkili olabilir
    • Aciliyet, gizlilik ve alışılmadık kanal kullanma talebi birçok dolandırıcılıkta tekrar eder
    • İfadeler daha sofistike hale gelse de “sizden bir şey istiyor” yapısı aynı kalır
  • Aile içinde sözlü parola belirlemek yararlı olabilir
    • Parola yoksa, kamu kayıtlarında bulunması düşük olasılıklı geçmiş olaylar doğrulama için kullanılabilir
    • Teknolojiye aşina olmayan aile üyelerine “benden ciddi, acil ya da gizli içerikli bir arama gelirse şüphelen, kapattıktan sonra başka bir kanaldan doğrula” denebilir
  • Gelen iletişimin gerçekliğine güvenmek zor ama kullanıcının kasıtlı olarak başlattığı yollar görece daha güvenilir
    • Belirli bir adrese yazılan e-posta genelde ilgili gelen kutusuna ulaşır
    • Belirli bir numaraya yapılan arama genelde ilgili cihaza ulaşır
    • Buna karşılık e-postadaki from: başlığı ve arayan numarası kolayca sahte olabilir

Güvenlik pratikleri ve gelecekteki uyum

  • Donanımsal 2FA, dolandırıcı araçlarının büyük bir kısmını engellemeye yardımcı olabilir
    • FIDO2/WebAuthn, desteklendiğinde parola değişimine web sitesi alan adını da dahil eder; bu yüzden phishing sitesi imzayı basitçe iletemez
    • SMS ya da kimlik doğrulama uygulamalarına göre daha güçlü bir koruma yöntemi sayılır
  • Hiç dolandırılmamak gerçekçi değildir; ancak sizi hedef almayı daha pahalı ve daha zor hale getirebilirsiniz
  • Savunmacılar da LLM yeteneklerini kullanabilir
    • Mozilla, Firefox’u Mythos ile red-team testinden geçirdikten sonra bu tür araçlarla tüm güvenlik açıklarını bulmanın gerçekçi olabileceğini düşündü
    • Android yakın zamanda impersonated call detection özelliğini kullanıma sundu
  • Kurumlar ve sistemler zamanla daha iyi korumalar geliştirebilir; ancak bu süreç zaman alır ve bir silahlanma yarışına dönüşebilir
  • Yakın vadede dolandırıcılığın ciddi biçimde artması bekleniyor; bireylerin kendileri, arkadaşları ve aileleri için bu değişimin ne anlama geldiğini düşünmesi ve nasıl yardımcı olabileceklerini araması gerekiyor

İlgili okumalar

1 yorum

 
GN⁺ 6 시간 전
Lobste.rs görüşleri
  • Halk sağlığı alanında çalıştığım için şanslıyım. Böyle pürüzsüz bir işe alım süreci görsem hemen şüphelenirdim; ayrıca yerel sağlık müdürlüğünün böyle bir bütçesi de yok
  • Bu akışta bunun yalnızca bir parola ile nasıl mümkün olduğunu anlamıyorum. Saldırganın telefonu da kontrol etmesi gerekmiyor mu?
    Mağdur yeni giriş uyarısı e-postası almaz mı? Açık oturumları da göremez mi?
    • Ellerinde sadece parola yok, oturum çerezi de var. Kimlik avı sitesinde giriş yapılırken saldırgan tarafında da aynı anda giriş yapılıyordu ve bu sırada 2 adımlı doğrulama akışı tetiklendiyse bunu doğrudan aktarmış olabilirler. Uyarı e-postaları silinebilir ya da filtrelenebilir
      Açık oturumlar görünür, ama herkes giriş yapması istendikten hemen sonra bunu kontrol etmez. Google hesabı çeşitli nedenlerle ara sıra yeniden giriş yapmanızı isteyebiliyor
      URL çubuğuna daha dikkatli bakmak gibi önlemler var, ancak mülakat süreci kurgusu başlı başına dikkati azaltacak şekilde tasarlanmış
      Ve vurgulamak gerekirse, asıl yazının anlattığı dolandırıcılık, eskisine göre çok daha kolay otomatikleştirilebilen dolandırıcılıkların yalnızca bir örneği; endişelenilmesi gereken tek tür bu değil
  • “Bu tür yetenekler zaten var ve daha da gelişecek. Bu teknolojileri tavan değil taban olarak görmek gerekir” şeklindeki çerçeveleme bana ikna edici gelmiyor. Bu teknolojinin bugünkünden daha ileri gideceğinin bir garantisi yok; döngüsel yatırım denilen ekonomik oyun da sonunda patlayacak gibi duruyor
    • Katılıyorum. Deepfake kullanılan spearphishing gibi gerçek örneklerden başlayıp, bir anda büyük ölçekli tam otomatik hesap ele geçirme ve ortadaki adam saldırılarına sıçrıyor
      Bileşenlerin bir ölçüde mevcut olmasını, hepsinin bir araya getirilebileceği varsayımıyla ele alıyorlar; ama büyük dil modelleri böyle bir şeyin gerçekten işleyecek kadar güvenilir olmasını hâlâ sağlayamıyor