Microsoft, özellikle Azure OpenAI platformu olmak üzere yapay zeka hizmetlerindeki güvenlik önlemlerini aşmak için araçlar geliştirmekle suçlanan yabancı merkezli bir siber suç grubuna karşı yasal işlem başlattı. Bu araçların, Microsoft’un kullanım politikalarını ihlal ederek zararlı ve yasadışı içerik oluşturulmasını sağladığı kaydediliyor.
Siber suçluların, Azure OpenAI Hizmetine erişmek için Microsoft müşterilerinden çalınan API anahtarlarını kullandıkları iddia edildi. Microsoft’un yapay zeka modelleriyle, örneğin DALL-E görüntü oluşturucusuyla yetkisiz etkileşimleri kolaylaştıran “de3u” adlı bir araç geliştirdiler. Bu araç, kullanıcıların Microsoft’un güvenlik protokollerini ihlal eden içerikler oluşturmasına olanak sağladı.
Microsoft’un Word ve Outlook gibi Microsoft 365 uygulamalarına entegre edilmiş yapay zeka destekli asistanı Copilot, e-posta taslağı hazırlama ve bilgileri özetleme gibi görevlerde yardımcı olarak üretkenliği artırmak için kullanılıyor. Ancak güvenlik araştırmacısı Michael Bargury, kötü niyetli bir aktörün bir kullanıcının e-posta hesabına erişmesi durumunda, Copilot’u mızraklı kimlik avı saldırılarını otomatikleştirmek için kullanabileceğini gösterdi.
Tehdit altındaki hesaba girdikten sonra, saldırgan Copilot’u spam makinası haline getirmek için şunları yaptırabiliyor;
- Sık iletişimleri belirleme ve ton ve emoji kullanımı dahil olmak üzere kullanıcının tipik yazma stilini anlama.
- Kullanıcının gerçek iletişimini yakından taklit eden kişiselleştirilmiş mesajlar oluşturma ve bunları alıcılar için daha ikna edici hale getirme.
- Kullanıcının kişilerine kötü amaçlı bağlantılar veya ekler içeren çok sayıda kimlik avı e-postası hızla gönderme ve başarılı saldırı olasılığını artırma.
Bu yöntem, etkili kimlik avı kampanyaları oluşturmak için geleneksel olarak gereken zamanı ve çabayı önemli ölçüde azaltıyor ve saldırganların büyük ölçekli operasyonları hızla yürütmesini sağlayabiliyor.
Ayrıca, Bargury’nin araştırması aşağıdakiler gibi diğer olası sorunları da vurguladı:
- Copilot’u güvenlik uyarılarını tetiklemeden maaş bilgileri gibi hassas bilgileri almaya zorlama.
- Copilot’un veri kaynaklarını, ödemeleri saldırganın kontrolündeki hesaplara yönlendirebilecek yanlış banka bilgileri gibi yanlış bilgiler sağlayacak şekilde zehirleme.
Microsoft bu güvenlik açıklarını kabul etti ve Copilot gibi AI odaklı araçlarla ilişkili riskleri değerlendirmek ve azaltmak için araştırmacılarla iş birliği yapıyor. Yetkisiz erişimi iptal etti, karşı önlemler uyguladığını ve yapay zeka hizmetlerinin gelecekte kötüye kullanılmasını önlemek için güvenlik önlemlerini güçlendirdiğini açıkladı.
Diğer yandan da Siber suç operasyonlarını bozmak ve failleri sorumlu tutmak için Virginia Doğu Bölgesi’nde dava açıldı. Yanısıra suç faaliyetlerinde etkili olan bir web sitesine el koymak, delil toplamaya yardımcı olmak ve operasyonlarını aksatmak için mahkemeden yetki aldı.
Bu olay, yapay zeka platformlarını karmaşık siber tehditlere karşı güvence altına almadaki zorlukları gösteriyor.
Kaynak : 