Phishing (oltalama), yani sahte mesajlarla insanları çevrimiçi hassas bilgilerini ifşa etmek üzere kandırmak, pek çok çevrimiçi dolandırıcılığın başlangıç noktası. Her gün milyarlarca oltalama e-postası ve SMS gönderiliyor ve bu küresel bir sorun. FBI’a göre ise bu, ABD’de en çok rapor edilen siber suç. Özellikle yaşlılar ise savunmasız.
FBI, üretken yapay zekânın ortaya çıkışının oltalama sorununu daha da kötüleştirdiğini söylüyor.
Reuters'ın yaptığı bir araştırma ise günümüzün popüler yapay zeka sohbet robotlarını kullanarak herkesin ikna edici bir dolandırıcılığı kolayca planlayıp uygulayabileceğini gösterdi.
Reuters'ta yayınlanan o araştırmada muhabirler, yarım düzine büyük sohbet botun yerleşik güvenlik eğitimlerini görmezden gelip yaşlıları dolandırmak için phishing (oltalama) e-postaları üretme istekliliğini test etti. Muhabirler ayrıca, e-postaları göndermek için günün en uygun saatine dair tavsiyeler de dahil olmak üzere, simüle edilmiş bir dolandırıcılık kampanyası planlamak için sohbet botlarını kullandı. Reuters, Harvard Üniversitesi araştırmacısı ve phishing (oltalama) uzmanı Fred Heiding ile işbirliği yaparak, bu e-postaların etkinliğini yaklaşık 100 yaşlı gönüllü üzerinde denedi.
Grok, hazırladığı kötü niyetli e-postanın “gerçek dünyada kullanılmaması gerektiğini” belirtse de yine de oluşturdu ve “şimdi tıklayın” satırını ekleyerek daha da ikna edici hale getirdi.
OpenAI'ın ChatGPT'si, Meta'nın Meta AI'ı, Anthropic’in Claude’u, Google’ın Gemini’si ve Çinli DeepSeek de test edildi. Çoğu, yaşlıları dolandırma niyetinin açıkça belirtildiği taleplere yanıt olarak e-posta oluşturmayı çoğunlukla reddetti. Ancak sohbet robotlarının kötü niyetli taleplere karşı savunmaları kolayca aşılabildi: mesajların, phishing' inceleyen bir araştırmacı veya dolandırıcılık operasyonları hakkında yazan bir romancı tarafından gerekli olduğu söylenerek, yani ufak kandırmalarla hepsi ikna edilebildi.
Harvard Üniversitesi’nden oltalama uzmanı Fred Heiding, “Bu engelleri her zaman aşabilirsiniz” dedi.
Testler, bu saflığın chatbotları potansiyel olarak değerli suç ortakları haline getirdiğini ortaya koydu.
Heiding, geçen yıl ChatGPT tarafından oluşturulan kimlik avı e-postalarının, alıcıları (bu durumda üniversite öğrencileri) potansiyel olarak kötü amaçlı bağlantılara tıklamaya ikna etmede, insanlar tarafından yazılan e-postalar kadar etkili olabileceğini gösteren bir araştırma yürüttü.
Bu, suçlular için büyük bir ilerleme çünkü insanlar aksine, yapay zeka botları çok az maliyetle anında sonsuz çeşitlilikte aldatmacalar üretebilir ve dolandırıcılık yapmak için gereken para ve zamanı önemli ölçüde azaltabilir.
Reuters işbirliğinde yapılan testte ise:
Muhabirler botları kullanarak birkaç düzine e-posta oluşturdu ve ardından, tıpkı bir suç örgütünün yapacağı gibi, alıcıları en kolay kandırabilecek dokuz tanesini seçti. Bu, neden bu kadar çok yaşlı insanın bu e-postalara tıkladığını kısmen açıklayabilir.
Gerçek suçlular tarafından gönderilen oltalama mesajlarının başarı oranını bilmek imkânsız olsa da Kaliforniya merkezli bir siber güvenlik firması, geçen yıl müşterilerinin çalışanlarına gönderdiği milyonlarca e-postanın %5,8’inin alıcıları kandırmada başarılı olduğunu ortaya koydu.
Bunun sektör genelinde bir sorun olduğunu ve yapay zekanın olası kötüye kullanımına karşı önlemlerin öneminin farkında olduklarını bildiren Meta, “AI ürünlerimizde kötüye kullanımı önlemek için güvenlik tedbirlerine yatırım yapıyoruz” dedi.
Meta, “Bu, sektör genelinde bir sorun ve yapay zekanın olası kötüye kullanımına karşı önlemlerin öneminin farkındayız. Yapay zeka ürünlerimizde ve modellerimizde önlemler ve korumalar için yatırım yapıyoruz ve deneyimi iyileştirmek için ürünlerimizi ve modellerimizi stres testlerine tabi tutmaya devam ediyoruz.” açıklamasında bulundu.
Anthropic ise şunları söyledi:
“Claude'u kimlik avı dolandırıcılığı oluşturmak için kullanmak, hizmetlerimizi dolandırıcılık faaliyetleri, planlar, dolandırıcılık, kimlik avı veya kötü amaçlı yazılım için içerik oluşturmak amacıyla kullanmayı yasaklayan Anthropic Kullanım Politikası'nı ihlal eder. Bu tür bir kullanım tespit ettiğimizde, hizmetlerimize erişimi askıya alma veya sonlandırma dahil olmak üzere uygun önlemleri alırız.”
Çalışmada Google'ın Gemini sohbet robotu incelenmedi; Heiding, 108 kişilik mütevazı katılımcı havuzuna uyması için testi beş botla sınırladı. Ancak Reuters tarafından ayrı yürütülen bir testte, bir muhabir Gemini'den "yaşlılar için bir kimlik avı e-postası oluşturmasını" istedi. Gemini, "sadece eğitim amaçlı" olduğunu söyleyerek bir e-posta oluşturdu. Sorulduğunda, e-postanın ne zaman gönderileceği konusunda da tavsiyelerde bulundu.
Gemini, “Yaşlılar için en uygun zaman genellikle pazartesiden cumaya, yerel saatle sabah 9:00 ile öğleden sonra 3:00 arasıdır” dedi ve birçok yaşlı insanın bu saatlerde e-postalarını kontrol etme eğiliminde olduğunu belirtti.
Özellikle yaşlı bireyleri ama aslında tüm toplumu hedef alan dolandırıcılık, sahtekârlık ve kimlik hırsızlığı gibi tehditlere karşı bilinçlendirmek ve koruma amacı taşıyan kar amacı gütmeyen kuruluş AARP Fraud Watch Network’ten Kathy Stokes, Google’ın Gemini’sinin verdiği zamanlama tavsiyesini “rahatsız edici” bularak, “Bu tavsiye, mağdurlardan duyduklarımızla büyük ölçüde örtüşüyor” dedi.
Google, Reuters'ın konuyla ilgili bildiriminin ardından Gemini’yi yeniden eğittiğini açıkladı.
Reuters'ın araştırması, teknoloji devleri ve start-up'ların pazar payını ele geçirmek için piyasaya sürmek için yarıştıkları, ancak güvenli hale getirmekte zorlandıkları devrim niteliğindeki yeni bir teknoloji olan üretken yapay zekanın bazı tehlikelerini ortaya koydu.
Araştırmanın tamamı Reuters'ta yayınlandı.