Büyük dil modelleri (LLM'ler) kullanılarak otomatik olarak oluşturulan kimlik avı saldırılarının etkinliği üzerine yapılan bir çalışmada araştırmacılar, yapay zekanın insan tarafından kişiselleştirilmiş kimlik avı kadar etkili olduğu sonucuna vardı. Hedeflenmeyen herhangi bir kimlik avına kıyasla 3,5 kat daha etkilidirler.
Duyuru
Çalışma arxiv.org'da bulunabilir. Çoğunlukla Harvard Üniversitesi'ndeki bir enstitüden oluşan araştırma ekibi, 101 katılımcı üzerinde kimlik avı saldırılarını test etti. Amaç, LLM'lerin hedef odaklı kimlik avı olarak adlandırılan kişiselleştirilmiş kimlik avı saldırılarını ne kadar iyi gerçekleştirebildiğini bulmaktı.
Yapay zeka kimlik avında çok etkili
Sonuçlar şaşırtıcı. 101 katılımcı dört gruba ayrıldı. Kontrol grubu rastgele, kişiselleştirilmemiş kimlik avı saldırısına maruz kaldı. Bir grup LLM tarafından oluşturulan kimlik avı e-postalarını gördü. İnsanlar tarafından özel olarak hazırlanmış kimlik avı e-postaları üçüncü bir gruba ulaştı ve son olarak, insanların yapay zeka tarafından oluşturulan e-postalara ince ayar yaptığı hedef odaklı kimlik avı alan bir grup ortaya çıktı.
Araştırmacılar bu e-postalardaki bağlantıların ne sıklıkta tıklandığını ölçtüler. Keyfi kimlik avının tıklama oranı %12'ydi. Tam otomatik yapay zeka tabanlı kimlik avı e-postalarındaki bağlantılar, insanlar tarafından oluşturulan hedefli kimlik avı e-postaları kadar sıklıkta, %54 oranında tıklandı. Yapay zeka tabanlı kimlik avında başka bir çözüm bulmaya çalışırsanız, tıklama oranında %56'ya kadar hafif bir artış gördünüz.
Grup, hedefe yönelik kimlik avı oluşturmak için hedeflenen kişilerin dijital ayak izini değerlendiren ve buna dayalı olarak kişiselleştirilmiş e-postalar oluşturan, ardından dolandırıcılık stratejisinin başarısını değerlendiren yapay zeka destekli bir araç oluşturdu. Vakaların %88'inde yapay zeka, hedef kişiler hakkında faydalı bilgiler bulmayı başardı. Araçları birçok Yüksek Lisans'ı destekliyor, ancak çalışmaları için grup esas olarak Claude 3.5 Sonnet ve GPT-4o'yu kullanmakla sınırlıydı.
Araştırmacılar ayrıca beş LLM'nin (Claude 3.5 Sonnet, GPT-4o, Mistral, LLama 3.1 ve Gemini) kimlik avı e-postalarını tanıma yeteneğini de test etti. Sonunda geriye kalan en umut verici adaylar Claude 3.5 Sonnet ve GPT-4o oldu. Claude 3.5 Sonnet, 363 kimlik avı e-postası ve 18 meşru mesajdan oluşan daha büyük bir veri kümesinde %97,25'lik bir tespit oranı sağladı ve hiçbir hatalı pozitif sonuç bulamadı. Araştırmacılar, zamanında ince ayar yaparak bu sonuçları iyileştirebileceklerini varsayıyorlar. Elbette yapay zeka yalnızca kimlik avı oluşturmak için değil, filtrelemek için de kullanılabilir.
Yapay zeka tabanlı kimlik avı yalnızca teorik bir araştırma örneği değildir. Geçen hafta, İngiliz sigorta şirketi Beazley ve diğer şirketler, yapay zeka jeneratörleri kullanılarak yazılan, giderek artan sayıda “aşırı kişiselleştirilmiş” kimlik avı e-postaları konusunda uyarıda bulundu.
(Bilmiyorum)
Bir yanıt yazın