Güvenlik Önerileri
ChatGPT Oltalama ve Zararlı Yazılım Amacıyla Kullanılabilir
Uzmanlar ChatGPT’nin kimlik avı e-postaları ve kötü amaçlı kod yazmak için kullanılabileceği konusunda uyarıyor.
Siber güvenlik firması Checkpoint Research’teki araştırmacılar, ChatGPT’nin neredeyse herkes tarafından kimlik avı e-postaları ve kötü amaçlı kod oluşturmak için nasıl kullanılabileceğini gösterdi.
Araştırmacılar ilk olarak sohbet robotundan bir şirketi taklit eden kimlik avı e-postası oluşturmasını istedi. ChatGPT, içeriğin kendi içerik politikasını ihlal edebileceği konusunda araştırmacıları uyardı ancak buna rağmen çıktı sağladı. Araştırmacılar daha sonra ChatGPT’den aynı postanın bir yinelemesini oluşturmasını istedi. Bu sefer kullanıcılardan bir bağlantıya tıklamak yerine kötü amaçlı bir Excel dosyası indirmelerini istedi. Daha önce olduğu gibi, ChatGPT bir uyarı bildirimi oluşturmasına rağmen tatmin edici bir sonuç sağladı. ChatGPT ayrıca kötü amaçlı bir VBA (Visual Basic for Applications) kodu oluşturdu. İlk çıktı zorlukla uygulanabilir olsa da, araştırmacılar sonunda birden çok yinelemeden sonra temel ancak kullanılabilir kötü amaçlı koda sahip oldular.
Checkpoint Research yöneticisi Sergey Shykevich “ChatGPT istendiğinde artık kimlik avı e-postaları yazmıyor, ancak yine de bu sorunu aşmanın yolları olduğunu gördük. Örneğin, bir siber güvenlik öğretim görevlisi olduğunuzu ve öğrencilere örnek bir kimlik avı e-postası göstermek istediğinizi söylerseniz, yine de böyle bir e-postanın çıktısını alacaktır.”
Sergey Shykevich ayrıca “birçok siber suçlu için İngilizce ana dil değil. Bu nedenle, kimlik avına yönelik içerik oluşturmak için ana dili konuşan birinin hizmetlerine ulaşmaları gerekir. Bu para, zaman ve çaba gerektirir. ChatGPT ile artık bu “yeraltı hizmetlerini” kullanmak zorunda kalmıyorlar ve kimlik avı e-postasını kendileri üretebiliyorlar.” diye açıklıyor.
En büyük risklerden biri, ChatGPT’nin kötü amaçlı yazılım kodu yazmak için kullanılabilmesidir. ChatGPT, kötü amaçlı yazılım kodu yazma isteklerini algılayabilir ve reddedebilir. Ancak siber suçlular, doğrudan kodu istemek yerine kodu yazma adımlarının ayrıntılı açıklamasını sorarak bu sorunu kolayca aşabilir. ChatGPT, bunu kötü amaçlı yazılım yazma isteği olarak tanımlayamaz ve etkili bir şekilde istenileni oluşturur.