Yapay zekâ destekli kimlik avı (phishing) ve sosyal mühendislik saldırıları
Home  ›  Chatbot  ›  Deepfake  ›  Dijital Dolandırıcılık  ›  dolandırıcılık  ›  Kimlik Avı  ›  Phishing  ›  Sosyal Mühendislik  ›  Video Deepfake  ›  Yapay zeka  ›  yz

Yapay zekâ destekli kimlik avı (phishing) ve sosyal mühendislik saldırıları

in Yorum Yap

 

Yapay zekâ destekli kimlik avı (phishing) ve sosyal mühendislik saldırıları, geleneksel yöntemlerin çok ötesine geçerek hem bireyleri hem de kurumları hedef alan son derece sofistike dolandırıcılık tekniklerine dönüşmüş durumda. Bu saldırılarda, yapay zekâ kullanılarak hem ikna kabiliyeti yüksek sahte içerikler hazırlanıyor hem de hedef kişiye özel saldırılar tasarlanabiliyor.

🤖 YZ Destekli Kimlik Avı Nedir?

Yapay zekâ destekli kimlik avı, dolandırıcıların YZ araçları (özellikle büyük dil modelleri ve deepfake teknolojileri) kullanarak:

  • E-posta,

  • SMS,

  • Web sitesi,

  • Sesli arama,

  • Görsel/video
    üzerinden gerçekçiliği yüksek, hedef odaklı ve kişiselleştirilmiş sahte içerikler üretip insanları kandırdığı saldırılardır.

💼 1. E-posta ve Mesajlaşma Üzerinden Phishing (YZ ile Yazılmış Sahte Mesajlar)

🔍 Nasıl Çalışır?

  • ChatGPT, Claude, Gemini gibi modeller kullanılarak doğal ve hatasız sahte e-postalar oluşturulur.

  • Örneğin:

    • Bankadan gelmiş gibi görünen mesajlar

    • “e-Devlet şifrenizi güncelleyin”

    • “Kargo teslim edilemedi” gibi sahte UPS, PTT mailleri

  • Bu mesajlar, kişinin önceki iletişim tarzına göre şekillendirilebilir (özellikle daha önce sızmış e-postaları analiz ederek).

🧪 Örnek:

“Merhaba Ahmet Bey, son dönemde hesabınızda olağandışı girişler tespit ettik. Güvenliğinizi sağlamak için aşağıdaki bağlantıdan giriş yapmanız gerekmektedir.”
(Son derece düzgün ve güven verici yazılmış bir sahte banka mesajı)

🎯 2. Hedefe Özel Phishing (Spear Phishing)

🔧 YZ Ne Sağlıyor?

  • Dolandırıcı, LinkedIn, sosyal medya veya sızmış verilerden bir kişinin:

    • İş pozisyonunu,

    • E-posta adresini,

    • İlgi alanlarını,

    • Aile bireylerini,

    • Son yaptığı tatili
      gibi bilgileri toplar.

  • Bu verilerle YZ, kişiye özel e-posta veya mesajlar üretir.

🧨 Örnek:

“Selin Hanım merhaba, geçen hafta Paris’te katıldığınız pazarlama etkinliğini inceledik. Sizin gibi liderlerle çalışmak istiyoruz. CV’nizi incelemek isterseniz [sahte link] üzerinden ulaşabilirsiniz.”
(Gerçek etkinlik bilgisine dayanıyor ama link zararlı)

🎭 3. YZ ile Ses Klonlama ve Deepfake Video Phishing

🗣️ Sesli Sosyal Mühendislik:

  • Mağdurun YouTube, TikTok ya da sesli mesajlardan alınan sesi, yapay zekâ ile klonlanır.

  • Bu ses, annen, patronun ya da eşin gibi konuşarak seni kandırabilir.

Örnek:

Bir CEO’nun sesi klonlanarak muhasebe müdürüne:
“Acil bir satın alma için 150.000 dolar göndermelisin. Mailde detayları attım.”
denildi. Şirket, sahte ses nedeniyle dolandırıldı.

📹 Deepfake Videolar:

  • Zoom toplantılarında gerçek gibi görünen deepfake yüzler kullanılarak kimlik taklidi yapılabilir.

  • Sahte “video çağrısı” ile CEO gibi davranan bir kişi, tüm çalışanları etkileyebilir.

👨‍💼 4. YZ Destekli Chatbot ile Sosyal Mühendislik

  • WhatsApp, Telegram, Instagram gibi yerlerde, YZ ile çalışan sahte müşteri temsilcileri ya da “flört partnerleri” seni kandırmak için kullanılır.

  • Gerçek bir kişiyle konuşuyormuşsun gibi hissettiren bu botlar:

    • Banka bilgisi ister,

    • “Erişmek için e-Devlet girişi yap” der,

    • Sana özel teklifler sunar.

🧠 5. YZ ile Otomatik Kimlik Avı Sitesi Üretimi

  • GPT-4 veya benzeri modeller kullanılarak:

    • Orijinal banka, kamu kurumu, alışveriş sitesi tasarımı taklit edilir.

    • Sayfalar birebir görünür.

    • “Giriş yap” formu, bilgileri saldırgana iletir.

Bu siteler, klasik phishing sitelerinden farklı olarak dinamik olarak üretilebilir. Yani “Ahmet için farklı, Zeynep için farklı” sürümler oluşturulabilir.

📚 Özet Tablo: YZ Destekli Sosyal Mühendislik Türleri

YöntemAçıklama
YZ ile yazılmış spear phishing e-postalarıHedefin iş yerinden gibi görünen e-postalar
Ses klonlama ile aramaPatronun sesiyle emir verme
Chatbot tuzağıWhatsApp’ta gerçek biri gibi davranan bot
Deepfake video görüşmeleriSahte Zoom toplantısı
Kişiye özel hazırlanmış sahte web siteleri“Senin adına hazırlanmış” e-posta ve site temaları

🛡️ Nasıl Korunabilirsin?

ÖnlemAçıklama
Sosyal medya verilerini gizleDoğum tarihi, okul, aile bilgilerini herkese açık paylaşma.
2FA'yı SMS değil, uygulama üzerinden yapGoogle Authenticator gibi.
E-postalarda bağlantıya tıklamaAdresi manuel yaz. Farklı bir cihazda kontrol et.
Şirket içi güvenlik protokollerini güncelleCEO veya yönetici taleplerine çift doğrulama.
Sesli isteklerde ek teyit yapSesle gelen talimatlara hemen inanma.
Antivirüs + e-posta tarama yazılımlarıKurumsal ağlarda YZ destekli tehdit algılama sistemleri kullan.

🚨 Gerçek Vaka – 2024, Birleşik Arap Emirlikleri:

Dubai merkezli bir şirket, Hong Kong’a 35 milyon dolar transfer etti. CEO’nun deepfake görüntüsüyle yapılan Zoom görüşmesi, şirketi kandırdı. Görüntüdeki her şey sahteydi: CEO’nun sesi, yüzü ve arka plan.

Önceki Gönderi
Sonraki Gönderi
H.Kılıçaslan

post written by:

0 Comments: