Phishing ı, elektronik iletişimde güvenilir bir varlık gibi görünerek kullanıcı adları, şifreler ve kredi kartı bilgileri gibi hassas bilgileri elde etmeye yönelik dolandırıcılık girişimlerini içerir.
Saldırganlar genellikle bankalar veya güvenilir şirketler gibi saygın kaynaklardan geliyormuş gibi görünen mesajlar göndermek için e-posta sahteciliğini kullanırlar. Bu e-postalar, meşru giriş sayfalarını taklit eden kötü amaçlı web sitelerine bağlantılar içerebilir.
Saldırganlar, banka gibi saygın bir kaynaktan geliyormuş gibi görünen ve meşru giriş sayfalarını taklit eden kötü amaçlı web sitelerine bağlantılar içeren e-postalar gönderir:
Bağlantıya tıklandığında kullanıcı, kimlik bilgilerinin toplanabileceği sahte bir siteye yönlendirilir.
Yapay zeka, saldırganların daha ikna edici olan son derece kişiselleştirilmiş phishing e-postaları oluşturmasını sağlar:
Bir yapay zeka modeli, phishing e-postası oluşturmak için hedefin sosyal medya profillerini analiz eder:
Vishing, bireyleri gizli bilgileri ifşa etmeleri veya güvenliği taviz atan eylemler gerçekleştirmeleri için kandırmak amacıyla telefon aramalarını veya sesli mesajları kullanan bir tür phishing saldırısıdır.
Saldırgan, arayan kimliğini taklit etmek için İnternet Protokolü Üzerinden Ses (VoIP) teknolojisini kullanarak aramanın meşru bir bankadan geliyormuş gibi görünmesini sağlar. Saldırgan kurbanı arar ve bir banka temsilcisi gibi davranarak şunları söyler:
"Burası [Banka Adı] güvenlik departmanı. Hesabınızda şüpheli bir hareket tespit ettik. Paranızı güvence altına almak için lütfen hesap numaranızı, PIN kodunuzu ve son işlem bilgilerinizi doğrulayın."
Tanınabilir arayan kimliği ve acil tonu nedeniyle aramanın gerçek olduğuna inanan kurban, istenen bilgileri verir. Saldırgan daha sonra bu bilgileri kurbanın banka hesabına erişmek, para aktarmak veya yetkisiz alışveriş yapmak için kullanır.
Yapay zeka kimlik avını geliştirir:
Bir saldırgan, bir CEO'nun sesini klonlamak için yapay zeka kullanıyor ve bir çalışan için sesli mesaj bırakıyor:
"Merhaba, ben [CEO'nun Adı]. Bir toplantıdayım, ancak yeni müşterimize acil bir havale işlemi yapmanızı istiyorum. Ayrıntılar e-postanızda."
Mızrakla phishing , güvenilirliği artırmak için kişiselleştirilmiş bilgileri kullanarak belirli kişi veya kuruluşları hedef alan daha rafine bir phishing biçimidir.
Örnek: Saldırgan bir çalışanı sosyal medyada araştırır ve yakın zamanda bir siber güvenlik konferansına katıldığını keşfeder. Saldırgan daha sonra bir e-posta gönderir:
Kişiselleştirilmiş bağlam, çalışanın bağlantıya tıklama olasılığını artırır.
Balina avcılığı saldırıları, CEO'lar veya CFO'lar gibi yüksek profilli kişilere odaklanır ve bu kişilerin hassas bilgilere erişimini istismar etmeyi amaçlar.
Örnek: Bir saldırgan bir CEO'nun kimliğine bürünür ve finans departmanına bir e-posta gönderir:
Aciliyet ve otorite duygusu, alıcıyı doğrulama yapmadan itaat etmeye zorlar.
Pretexting, kurbanları gizli bilgileri ifşa etmeleri için kandırmak amacıyla hayali bir senaryo oluşturmayı içerir.
Örnek:
Bir saldırgan, BT yardım masasından olduğunu iddia ederek bir çalışanı arar:
Talebin meşru olduğuna inanan çalışan, kullanıcı adı ve şifresini ifşa edebilir.
Yemleme, kurbanları bir tuzağa çekmek için arzu edilen bir şeyin vaadini kullanır.
Örnek:
Bir saldırgan bir şirketin otoparkına "Maaş Özeti Q1" etiketli USB flash bellekler bırakır. Meraklı çalışanlar sürücüleri alıp bilgisayarlarına takar ve farkında olmadan saldırganın şirket ağına erişimini sağlayan malware yükler.
Bu teknikler, insan güvenini istismar ederek güvenli alanlara yetkisiz fiziksel erişim elde etmeyi içerir.
Örnek: Ağır kutular taşıyan bir saldırgan güvenli bir kapıya yaklaşır. Bir çalışan kapıyı açtığında, saldırgan ondan kapıyı tutmasını ister ve uygun kimlik doğrulaması olmadan erişim kazanır.
Virüsler kendilerini temiz dosyalara bağlar ve diğer dosyalara yayılır.
Bir Word belgesine gömülü bir makro virüsü, belge açıldığında etkinleşerek diğer belgelere bulaşır.
Solucanlar, kullanıcı müdahalesi olmadan sistemlere bulaşmak için güvenlik açıklarından yararlanır.
SQL Slammer worm , Microsoft'un SQL Server'ındaki bir arabellek taşması açığından yararlanarak yaygın ağ tıkanıklığına neden olmuştur.
Yapay zeka malware yeteneklerini geliştiriyor:
Bir worm , bir ağ içindeki en etkili istismar yollarını belirlemek için pekiştirmeli öğrenmeyi kullanır ve algılanmayı en aza indirirken bulaşma oranlarını en üst düzeye çıkarmak için yayılma stratejisini uyarlar.
Truva atları yasal programlar gibi görünür ancak çalıştırıldıklarında kötü niyetli faaliyetler gerçekleştirirler.
Örnek: İndirilen bir oyun, yüklendiğinde 4444 numaralı bağlantı noktasını kullanarak sistemde bir arka kapı açan bir Truva atı içerir. Saldırgan artık sisteme uzaktan erişebilir ve sistemi kontrol edebilir.
Fidye yazılımı kullanıcı verilerini şifreler ve şifre çözme anahtarı için ödeme talep eder.
Örnek: WannaCry hızla yayılmak için SMB protokolü açıklarından yararlandı. Dosyaları şifreledi ve Bitcoin ödemesi talep eden bir fidye notu görüntüledi.
Yapay zeka fidye yazılımlarını iyileştiriyor:
Fidye yazılımı, hangi dosyaların kurban için en değerli olduğunu tahmin etmek için yapay zekayı kullanarak kritik varlıkları şifrelemeye öncelik vermek için sistem dosyalarını analiz eder.
> Ana fidye yazılımı grupları hakkında daha fazla bilgi edinin
Bir casus yazılım bilgi toplamak için kullanıcı faaliyetlerini izler.
Örnek: Bir casus yazılım uygulaması tarayıcı geçmişini, tuş vuruşlarını ve ekran görüntülerini kaydederek verileri saldırgana gönderir.
Bir reklam yazılımı istenmeyen reklamlar görüntüler.
Örnek: Reklam yazılımı web sayfalarına reklam enjekte eder veya arama sorgularını reklam sitelerine yönlendirir.
Rootkitler, kötü amaçlı işlemleri ve dosyaları tespit araçlarından gizlemek için işletim sistemini değiştirir.
Örnek: Çekirdek modu rootkit, aşağıdaki gibi sistem sürücülerini değiştirir ndis.sys Ağ trafiğini kesmek ve varlığını Görev Yöneticisi ve antivirüs yazılımı gibi araçlardan gizlemek için.
Botnetler, koordineli eylemler gerçekleştirmek üzere bir saldırgan (botmaster) tarafından kontrol edilen çok sayıda virüslü cihazdan (bot) oluşur.
Örnek: Mirai Botnet, varsayılan kimlik bilgilerini kullanarak kameralar ve yönlendiriciler gibi IoT cihazlarına bulaştı. DDoS saldırıları için kullanıldı ve hedefleri 1 Tbps'yi aşan trafikle boğdu.
DoS saldırıları bir sistemin kaynaklarını alt üst ederek hizmetleri kullanılamaz hale getirir.
Örnek: Saldırganlar bir hedefin sunucusuna art arda SYN istekleri göndererek yarı açık bağlantılar bırakarak kaynakları tüketir.(SYN Flood)
Yapay zeka DoS saldırılarını şu şekilde iyileştirir:
Yapay zeka güdümlü bir botnet, paket boyutlarını ve aralıklarını meşru trafik modellerini taklit edecek şekilde ayarlayarak anomali tabanlı saldırı önleme sistemleri tarafından tespit edilmekten kaçınır.
DDoS saldırıları, saldırıyı büyütmek için birden fazla tehlikeye atılmış sistem kullanır.
Örnek: Botnetler, hedef sunucudaki rastgele bağlantı noktalarına büyük UDP paketleri göndererek, sunucuyu bu bağlantı noktalarını dinleyen uygulamaları kontrol etmeye zorlar ve ICMP "Hedefe Ulaşılamıyor" ile yanıt vererek bant genişliğini tüketir.(UDP Flood)
Bir MitM saldırısında, bilgisayar korsanları iki taraf arasındaki iletişimi gizlice aktarır ve muhtemelen değiştirir.
Örnek: Bir saldırgan, HTTPS bağlantılarını HTTP'ye düşürmek ve hassas verileri ele geçirmek için sahte bir Wi-Fi etkin noktası ve SSL sıyırma teknikleri kullanır.(HTTPS Spoofing)
Yapay zeka MitM saldırılarını geliştirir:
Bir yapay zeka sistemi, şifrelenmiş trafiği analiz ederek anahtarın yeniden kullanımına işaret edebilecek kalıpları tespit eder ve kullanıcının bilgisi olmadan iletişimin şifresinin çözülmesine yardımcı olur.
DNS Spoofing (veya DNS Poisoning) saldırılarında, saldırganlar trafiği sahte sitelere yönlendirmek için DNS kayıtlarını değiştirirler.
Örnek: Bir DNS sunucusunun önbelleğine sahte girişler enjekte ederek, etki alanı www.example.com saldırganın IP adresine çözümlenir ve kullanıcıları kötü amaçlı bir web sitesine yönlendirir.
Saldırganlar, MAC adreslerini başka bir ana bilgisayarın IP adresiyle ilişkilendirmek için sahte ARP mesajları gönderir.
Örnek: Saldırgan, ağ geçidinin IP adresinin kendi MAC adresiyle eşleştiğini belirten bir ARP yanıtı gönderir. Ağ geçidine yönelik trafik saldırgana gönderilerek paket koklama veya manipülasyona olanak sağlanır.
Saldırganlar, arka uç veritabanlarını manipüle etmek için girdi alanlarına kötü niyetli SQL ifadeleri enjekte eder.
Yapay zeka, enjeksiyon noktalarının keşfini otomatikleştirir:
Bir yapay zeka aracı web uygulamalarını tarıyor ve girdi sanitizasyonu gibi güvenlik mekanizmalarından kaçan SQL enjeksiyon saldırıları oluşturmak için yanıtlardan öğreniyor.
> SQL Injection saldırıları nasıl tespit edilir
XSS saldırıları, bir kullanıcının tarayıcısında çalıştırılan kötü amaçlı komut dosyalarının enjekte edilmesini içerir.
Örnek: Bir saldırgan bir forumda yorum içeren bir yazı yayınlar. Diğer kullanıcılar yorumu görüntülediğinde, tarayıcıları komut dosyasını çalıştırır ve oturum çerezlerini saldırgana gönderir.
Yapay zeka XSS saldırılarını şu şekilde iyileştirir:
Bir yapay zeka sistemi, farklı tarayıcı sürümlerine ve güvenlik ayarlarına uyum sağlayan XSS yükleri oluşturarak saldırının başarı oranını artırır.
CSRF, kimliği doğrulanmış kullanıcıları, bilgileri olmadan istek göndermeleri için kandırır.
Örnek: Bir saldırgan, kendi web sitesinde gizli bir form oluşturarak şu adrese bir POST isteği gönderir http://bank[.]com/transfer sayfa yüklendiğinde. Kullanıcı banka hesabına giriş yapmışsa, talep saldırganın hesabına para aktarır.
RFI, saldırganların savunmasız komut dosyaları aracılığıyla uzak dosyaları dahil etmesine ve yürütmesine olanak tanır.
Saldırganlar parolaları keşfetmek için tüm olası kombinasyonları denerler.
Örnek: Hydra gibi araçlar kullanan bir saldırgan, şifreleri almak için bir SSH sunucusunu hedefleyebilir.
Yapay zeka verimliliği artırır:
PassGAN gibi bir model, sızan veritabanlarındaki kalıplara dayalı olarak parola tahminleri üretir ve parolaları kırmak için gereken süreyi önemli ölçüde azaltır.
Saldırganlar, kullanıcı kimlik bilgilerini tahmin etmek için ortak parolaların bir listesini kullanır.
İnternette, aşağıdaki gibi en yaygın şifreleri içeren birden fazla şifre listesi bulunabilir şifre, 123456, qwerty.
Saldırgan bu parolaları kullanarak birden fazla hesapta oturum açma girişimlerini otomatikleştirebilir.
Saldırganlar, diğer hizmetlerdeki hesaplara erişmek için veri ihlallerinden gelen kullanıcı adı ve parola çiftlerini kullanır.
Örnek: Güvenliği ihlal edilmiş bir e-ticaret sitesindeki kimlik bilgileri, bankacılık web sitelerinde oturum açma girişiminde bulunmak için kullanılır. Başarı, kullanıcıların hizmetler arasında parolaları yeniden kullanmasına bağlıdır.
Tuş kaydediciler, parolalar ve kredi kartı numaraları gibi hassas bilgileri elde etmek için tuş vuruşlarını yakalar.
Bir yazılım keylogger'ı arka planda sessizce çalışarak tüm tuş vuruşlarını kaydeder ve düzenli aralıklarla saldırganın sunucusuna günlükleri gönderir.
Parola püskürtme saldırılarında, bilgisayar korsanları hesap kilitlenmelerini önlemek için birçok hesapta az sayıda yaygın olarak kullanılan parolaları dener.
Örnek: Saldırgan aşağıdaki gibi şifreler dener Hoşgeldiniz1! veya Şifre2023 bir kuruluştaki tüm kullanıcı hesaplarında.
Saldırganlar şifrelenmemiş Wi-Fi ağları üzerinden iletilen verileri ele geçirir.
Örnek: Aircrack-ng kullanan bir saldırgan, açık metin olarak gönderilen e-posta girişlerini engellemek için açık bir Wi-Fi ağından paketleri yakalar.
Bluetooth protokollerindeki güvenlik açıkları saldırganların yetkilendirme olmadan bağlanmasına olanak tanır.
Örnek: Bilgisayar korsanı, yamalanmamış cihazlarda uzaktan kod çalıştırmak için Bluetooth uygulama kusurlarından yararlanıyor.(BlueBorne Saldırısı)
Kötü amaçlı uygulamalar veya güvenliği ihlal edilmiş yasal uygulamalar mobil cihazlara bulaşabilir.
Örnek: Popüler bir uygulamanın trojanlaştırılmış bir sürümü aşırı izinler talep ederek mesajları okumasına, kişilere erişmesine ve saldırgana veri aktarmasına olanak tanır.
IoT cihazları genellikle sağlam güvenlik önlemlerinden yoksundur ve bu da onları kolay hedef haline getirir.
Örnek: Bir saldırgan varsayılan kimlik bilgileriyle bir akıllı termostata erişir ve bunu ağdaki diğer cihazları taramak ve saldırmak için bir pivot noktası olarak kullanır.
Güvenliği ihlal edilmiş IoT cihazları güçlü botnet'lere katkıda bulunur.
Örnek: Reaper Botnet, yüksek hacimli DDoS saldırıları başlatabilen bir ağ oluşturmak için IoT cihazlarındaki güvenlik açıklarından yararlandı.
Saldırganlar yanlış yapılandırılmış veya savunmasız bulut hizmetlerini hedef alır.
Örnek: Yanlış yapılandırılmış bir Amazon S3 kovası, herkese açık okuma/yazma erişimine izin vererek hassas verileri açığa çıkarır.
Yanlış yapılandırmalar yetkisiz erişime veya ayrıcalık artışına yol açar.
Örnek: Bir saldırgan, ayrıcalıkları yükseltmek ve bulut kaynakları üzerinde kontrol elde etmek için AWS'deki aşırı izin veren IAM rollerinden yararlanır.
Günümüzde yapay zeka, üçüncü taraf yazılımları istismar edilebilir kusurlar için taramakta ve makine öğrenimi, kötü amaçlı kodun karmaşık sistemlere eklenmesini otomatik hale getirerek saldırganın hedeflere sızmak için tedarik zincirindeki unsurları taviz vermesini kolaylaştırmaktadır.
Zero-day açıkları, üretici tarafından bilinmeyen yazılım açıklarından yararlanır.
Örnek: Stuxnet Worm, İran'ın nükleer santrifüjlerini hedef almak ve zarar vermek için birden fazla zero-day güvenlik açığından yararlanmıştır.
Şifreleme Algoritmalarını Kırma
Saldırganlar şifreleme protokollerindeki veya uygulamalarındaki zayıflıklardan yararlanırlar.
Örnek: Dolgu Kehaneti Saldırısı, şifreleme işlemlerindeki dolgu hatalarından yararlanarak şifreli metnin şifresini anahtar olmadan çözer.
Ortadaki adam saldırıları, protokol zayıflıklarından yararlanarak SSL/TLS'yi taviz verir.
Örnek: POODLE Saldırısı, TLS bağlantılarını belirli saldırı türlerine karşı savunmasız olan SSL 3.0'a düşürerek saldırganın oturum çerezlerinin şifresini çözmesine olanak tanır.
Saldırganlar, güvenlik açıkları oluşturmak için cihazları fiziksel olarak değiştirir.
Örnek: Sistem belleğine ve verilere yetkisiz erişim sağlayan kötü amaçlı bir PCIe kartının takılması.
Şifrelenmemiş cihazlar, kaybolmaları veya çalınmaları halinde önemli riskler oluşturur.
Örnek: Şifrelenmemiş müşteri verilerini içeren kayıp bir USB bellek, yetkisiz bir kişi tarafından bulunduğunda bir veri ihlaline yol açar.
Yapay Zeka (AI) ve Machine Learning (ML), siber güvenlik de dahil olmak üzere birçok sektörde devrim yarattı. Yapay zeka savunma için güçlü araçlar sağlarken, saldırganlar da saldırı metodolojilerini geliştirmek için giderek daha fazla yapay zekadan yararlanmaktadır.
Yapay zekanın siber saldırı tekniklerine entegrasyonu, tehditlerin karmaşıklığını ve etkinliğini önemli ölçüde artırıyor. Saldırganlar otomasyon, uyarlanabilirlik ve gelişmiş başarı oranları için yapay zekadan yararlanarak geleneksel güvenlik önlemlerine meydan okuyor.
Kuruluşlar, hem geleneksel saldırı tekniklerini hem de yapay zekanın etkisini anlayarak, gelişen siber tehditlere karşı korunmak için sağlam stratejiler geliştirebilirler.
Vectra AI , ele alınan saldırı tekniklerinde sofistike siber tehditleri tespit etmek için gelişmiş yapay zeka ve makine öğreniminden yararlanır. Ağ trafiğini, kullanıcı davranışlarını ve sistem etkileşimlerini sürekli olarak izleyen Vectra AI platformu, anormallikleri ve kötü niyetli etkinlikleri gerçek zamanlı olarak tanımlar. Sosyal mühendislik, yapay zeka ile geliştirilmiş malware, ağ tabanlı saldırılar, web uygulaması istismarları, kimlik bilgilerinin kötüye kullanılması, gelişmiş kalıcı tehditler, içeriden gelen tehditler, tedarik zinciri tehlikeleri ve IoT güvenlik açıklarının belirtilerini tespit eder.
Yapay zeka odaklı analitiği kullanan Vectra AI AI, saldırganlar yöntemlerini geliştirmek için yapay zeka kullansalar bile geleneksel güvenlik araçlarının gözden kaçırabileceği kalıpları ve sapmaları tanıyabilir. Bu proaktif yaklaşım, kuruluşların hem geleneksel hem de yapay zeka destekli siber saldırıları hızlı bir şekilde tespit etmelerini ve bunlara yanıt vermelerini sağlayarak, gelişen tehdit ortamında güvenlik duruşlarını önemli ölçüde iyileştirir.
En yaygın siber saldırı teknikleri arasında phishing, fidye malware, Hizmet Reddi (DoS)/Dağıtık Hizmet Reddi (DDoS) saldırıları, ortadaki adam (MitM) saldırıları, SQL enjeksiyonu ve kimlik bilgisi doldurma yer almaktadır.
Phishing avı saldırıları, hassas bilgileri çalmak için genellikle e-posta yoluyla saygın bir kaynaktan geliyormuş gibi görünen sahte iletişimler göndermeyi içerir. Karşı önlemler arasında kullanıcıları phishing avı girişimlerini tanıma konusunda eğitmek, gelişmiş e-posta filtreleme çözümleri uygulamak ve hesapları korumak için çok faktörlü kimlik doğrulama (MFA) kullanmak yer alır.
Fidye yazılımı, bir miktar para ödenene kadar bir bilgisayar sistemine veya dosyalara erişimi engellemek için tasarlanmış kötü amaçlı bir yazılım türüdür. Fidye talep etmeden veri çalabilen veya sistem hasarına neden olabilen diğer malware aksine, fidye yazılımı kurbanı saldırı hakkında açıkça bilgilendirir ve verilerin serbest bırakılması veya sistem restorasyonu için ödeme talep eder.
DoS/DDoS saldırılarına karşı savunma, saldırı trafiğini emebilen ve dağıtabilen DDoS azaltma hizmetleri gibi sağlam ağ güvenliği önlemlerinin alınmasını, hız sınırlamasının uygulanmasını ve trafikteki ani dalgalanmaların üstesinden gelmek için yeterli bant genişliğinin sağlanmasını içerir.
MitM saldırıları, bir saldırganın iki taraf arasındaki iletişimi dinlemek veya bilgi alışverişini manipüle etmek için araya girmesiyle gerçekleşir. Önleme stratejileri arasında HTTPS gibi şifreleme protokollerinin kullanılması, güvenli iletişim için VPN'lerin kullanılması ve kullanıcıların güvenli bağlantı doğrulamasının önemi konusunda eğitilmesi yer alır.
SQL enjeksiyon saldırıları, veritabanı güvenlik açıklarını manipüle etmek veya bunlardan yararlanmak için giriş alanlarına kötü amaçlı SQL sorguları eklemeyi içerir. Savunmalar arasında hazır deyimler ve parametrelendirilmiş sorgular kullanmak, düzenli kod incelemeleri ve güvenlik açığı değerlendirmeleri yapmak ve web uygulaması güvenlik duvarları (WAF'lar) uygulamak yer alır.
Kimlik bilgisi doldurma saldırıları riskini azaltmak için güçlü parola politikaları uygulamak, MFA'yı zorunlu kılmak, olağandışı oturum açma girişimlerini izlemek ve kullanıcıları farklı hesaplar için benzersiz parolalar kullanmanın önemi konusunda eğitmek gerekir.
Yapay zeka ve makine öğrenimi, siber saldırıların göstergesi olan olağandışı kalıpların veya davranışların tespitini otomatikleştirerek, tehdit istihbaratını geliştirerek ve olaylara daha hızlı, daha verimli yanıt verilmesini sağlayarak siber güvenlik savunmalarını önemli ölçüde geliştirebilir.
Siber güvenlik farkındalık eğitimi, kullanıcıları potansiyel saldırıları tanıma ve önleme bilgisiyle donatarak siber tehditlerle mücadelede kritik bir rol oynar ve böylece insan hatası yoluyla başarılı istismar olasılığını azaltır.
Kuruluşlar olay müdahalesine, saldırıyı kontrol altına almak ve değerlendirmek, tehdidi ortadan kaldırmak, etkilenen sistemleri kurtarmak ve gelecekteki güvenlik önlemlerini iyileştirmek için olayı analiz etmek için acil adımları içeren iyi tanımlanmış bir planla yaklaşmalıdır.