Siber güvenlik dünyasında yeni ve tehlikeli bir dönem başlıyor. Microsoft’un yıllık Dijital Savunma Raporu’na göre, suçluların yapay zekayı kullanarak hazırladığı kimlik avı (phishing) e-postaları, geçen yıl tıklanma oranında rekor bir artışa yol açtı. Şirket, AI destekli kimlik avı e-postası alan kişilerin, kötü amaçlı bağlantıya veya dosyaya tıklama olasılığının, AI destekli olmayan e-postalara kıyasla 4,5 kat daha fazla olduğunu açıkladı.

Rapordaki veriler, AI destekli saldırıların %54 gibi şaşırtıcı bir tıklama oranına ulaştığını gösterirken, AI kullanılarak hazırlanmayan saldırıların tıklama oranı sadece %12’de kaldı. Microsoft, AI’nin dolandırıcılık karlılığını potansiyel olarak 50 kata kadar artırdığını iddia ediyor. Bu büyük getiri, AI’yi henüz kullanmayan siber suçluların da bu teknolojiyi hızla benimsemesini teşvik edecek en önemli faktör olarak görülüyor.

Suçlular, AI sayesinde kurbanların yerel dillerinde, daha dilbilgisel açıdan doğru ve inandırıcı yemler kullanarak daha hedefli ve kişiselleştirilmiş kimlik avı e-postaları hazırlayabiliyor. Microsoft, saldırıların etkinliğindeki ve ölçeğindeki bu artışı, “geçtiğimiz yıl kimlik avında yaşanan en önemli değişim” olarak nitelendiriyor.

Suçluların yeni favorisi: Çok aşamalı sosyal mühendislik

Siber suçlular, yapay zekanın sağladığı destekle saldırıların verimliliğini ve etkinliğini artırıyor. AI, kimlik avı e-postalarını otomatikleştirmenin yanı sıra, kötü amaçlı yazılım oluşturmayı, güvenlik açıklarını taramayı ve sosyal mühendislik saldırıları için hedef belirlemeyi de kolaylaştırıyor. Üstelik AI, ses klonlama ve deepfake videolar gibi yeni araçlar sağlayarak siber etki operasyonlarını daha da karmaşık hale getiriyor.

Finansal motivasyonlu suçluların yanı sıra, Microsoft Müşteri Güvenliği ve Güveninden Sorumlu Başkan Yardımcısı Amy Hogan-Burney, ulus-devlet aktörlerinin de AI’yi siber etki operasyonlarına hızla dahil ettiğini belirtiyor. Microsoft, Temmuz 2023’te hükümet destekli gruplardan sıfır AI üretimli içerik örneği belgelemişken, bu sayının sadece bir yıl içinde (Temmuz 2024 itibarıyla) yaklaşık 225 örneğe yükseldiğini kaydetti.

Ancak, Microsoft’un raporu, çoğu kuruluşun karşı karşıya olduğu en acil riskin hala maddi kazanç elde etmeye odaklanmış siber suçlular olduğunu gösteriyor. Bilinen saiklerle gerçekleştirilen saldırıların en az %52’si finansal motivasyonluyken, casusluk amaçlı ulus-devlet saldırıları sadece %4’te kaldı.

ClickFix dur durak bilmiyor

Rapor döneminde ortaya çıkan yeni ve önemli bir saldırı yöntemi ise ClickFix olarak görülüyor. Kullanıcıları meşru düzeltmeler veya sistem istemleri kisvesi altında kendi makinelerinde kötü amaçlı komutlar çalıştırmaya ikna eden bu sosyal mühendislik tekniği, geleneksel kimlik avı savunmalarını aşabiliyor. Başka bir deyişle Clickfix, kullanıcıyı kandırarak zararlı komutları bizzat kendisinin çalıştırmasını sağlıyor. Microsoft Defender Uzmanları’nın gözlemlediği en yaygın ilk erişim yöntemi (%47) ClickFix olurken, geleneksel kimlik avı ise %35’te kaldı.

Bu durum, tehdit aktörlerinin artık basit kimlik avı yöntemlerine güvenmek yerine, teknik istismarları, sosyal mühendisliği ve meşru platformlar aracılığıyla kaçmayı birleştiren çok aşamalı saldırı zincirleri kullandığını gösteriyor. Saldırganlar, e-posta bombardımanı ve sesli kimlik avı (vishing) aramalarını birleştirerek BT desteği gibi davranıp kurbanın güvenini kazanıyor ve uzaktan erişim elde ederek sisteme kötü amaçlı yazılımlar yüklüyor. Bu, siber güvenliğin artık sadece e-postalara dikkat etmekten ibaret olmadığını, çok daha sofistike ve insan odaklı saldırılarla karşı karşıya olduğumuzu kanıtlayan bir durum.