Yapay Zeka Silaha Dönüştüğünde
ChatGPT, Claude ve Gemini gibi hizmetlere güç veren aynı yapay zeka teknolojileri, tehdit aktörleri tarafından silah olarak kullanılıyor. Büyük Dil Modelleri ikna edici oltalama e-postaları üretiyor. Üretici yapay zeka deepfake videolar ve ses klonları oluşturuyor. Yapay zeka ajanları zafiyet keşfini otomatikleştiriyor. Saldırgan ile savunucu arasındaki asimetri hiç bu kadar büyük olmamıştı.
CrowdStrike'ın 2025 Küresel Tehdit Raporu'na göre sesli oltalama (vishing) saldırıları 2024'ün ilk ve ikinci yarısı arasında %442 arttı. Bu gelecekte yaşanacak bir tehdit değil—şu anda gerçekleşiyor.
Yapay Zeka Destekli Oltalama: Nijeryalı Prens Döneminin Ötesinde
Geleneksel oltalama e-postalarını fark etmek kolaydı: bozuk dilbilgisi, genel hitaplar, aşikar aciliyet vurgusu. Yapay zeka bu ayırt edici işaretleri ortadan kaldırdı.
Geleneksel oltalama:
1Subject: URGENT!!! Your account will be suspended
2
3Dear valued custmer,
4We have detected suspicous activty on your acount.
5Please click link below to verify your identity immediatly
6or your account will be permanantly locked.
7
8http://totally-not-a-scam.com/verifyYapay zeka ile üretilmiş oltalama (LLM kullanımı):
1Subject: Action Required: Unusual Sign-In Attempt on Your Account
2
3Hi Sarah,
4
5We noticed a sign-in attempt to your account from a new device
6in São Paulo, Brazil at 3:47 AM EST today. If this was you,
7no action is needed.
8
9If you don't recognize this activity, please secure your account
10by reviewing your recent sign-in history:
11
12[Review Account Activity]
13
14For your protection, we recommend enabling two-factor
15authentication if you haven't already.
16
17Best regards,
18The Security TeamYapay zeka ile üretilmiş versiyon dilbilgisel olarak kusursuz, bağlamsal olarak ilgili ve psikolojik açıdan sofistike. Tehdit aktörleri LLM'leri şu amaçlarla kullanıyor:
- Ölçekte kişiselleştirme: LinkedIn profillerini tarayarak her hedef için özelleştirilmiş e-postalar oluşturmak
- Çok dilli kampanyalar: Herhangi bir dilde anadil kalitesinde oltalama üretmek
- Bağlam duyarlı bahaneler: Gerçek olaylara, şirket duyurularına veya sektör haberlerine atıfta bulunmak
- Sohbet yönetimi: Kurbanların sorularına gerçek zamanlı yanıt veren yapay zeka sohbet botları
Deepfake: Görmek Artık İnanmak Değil
Deepfake teknolojisi, bulanık yüz değişimlerinden insanları ve biyometrik sistemleri kandırabilen gerçek zamanlı video üretimine ilerledi.
25 Milyon Dolarlık Deepfake Soygunu
Şubat 2024'te Hong Kong merkezli çok uluslu bir şirket, bir çalışanının deepfake görüntülü görüşmeyle kandırılması sonucu 25,6 milyon dolar kaybetti. Saldırganlar, şirketin CFO'su ve birden fazla meslektaşının gerçek zamanlı deepfake avatarlarını oluşturarak standart bir video platformunda meşru görünen çok katılımcılı bir video konferans gerçekleştirdi.
Çalışan, dolandırıcılık fark edilene kadar bir hafta boyunca 15 işlemde para transferi yaptı.
Deepfake Saldırı Vektörleri
| Attack Type | Technology | Real Cases |
|---|---|---|
| Video calls | Real-time face swap | $25.6M Hong Kong fraud |
| Voice cloning | Text-to-speech with voice sample | CEO voice clone requesting wire transfer |
| Identity verification | AI-generated ID documents + selfie | Bypassing KYC at financial institutions |
| Political disinformation | AI-generated video statements | Fake political speeches during elections |
| Reputation attacks | Non-consensual deepfake content | Targeting individuals and executives |
Ses Klonlama: 3 Saniye Yeterli
Modern ses klonlama modelleri (ElevenLabs gibi ticari ve açık kaynak alternatifler) yalnızca 3-15 saniyelik ses kaydından ikna edici bir ses klonu oluşturabiliyor. Ses verisi kaynakları:
- Kazanç çağrıları ve yatırımcı sunumları (herkese açık)
- Konferans konuşmaları ve podcast'ler (herkese açık)
- Sosyal medya videoları (herkese açık)
- Sesli mesaj karşılamaları (telefon ile erişilebilir)
1Voice Cloning Attack Flow:
2
31. Collect target's voice samples (YouTube, podcasts, earnings calls)
42. Train voice clone model (minutes with modern tools)
53. Generate audio: "Hi, this is [CEO name]. I need you to process
6 an urgent wire transfer. I'll send the details by email."
74. Call target employee from a spoofed number
85. Follow up with a legitimate-looking email (AI-generated)
96. Employee processes the transferYapay Zeka ile Zafiyet Keşfi
Yapay zeka, zafiyet denkleminin her iki tarafını da hızlandırıyor:
Saldırı Tarafı: Yapay Zekanın Zafiyet Bulması
- Yapay zeka destekli fuzzing: Google'ın OSS-Fuzz projesi sürekli fuzzing ile 50.000'den fazla hata buldu ve yapay zeka destekli fuzzing sayesinde 26 yeni güvenlik açığını otonom olarak tespit etti. Yapay zeka modelleri hangi girdilerin çökmeye yol açma olasılığının en yüksek olduğunu öğreniyor
- Kod analizi: LLM'ler kaynak kodu analiz ederek geleneksel SAST araçlarının gözden kaçırdığı güvenlik zafiyetlerini tespit edebiliyor
- İstismar üretimi: Bir zafiyet açıklaması verildiğinde, yapay zeka kavram kanıtı istismarları üretebiliyor
Savunma Tarafı: Yapay Zekanın Sistemleri Koruması
| Defensive Application | How AI Helps | Examples |
|---|---|---|
| Threat detection | Behavioral analysis, anomaly detection | CrowdStrike Falcon AI, Darktrace |
| Malware analysis | Automated reverse engineering, classification | VirusTotal AI, Intezer |
| Phishing detection | NLP analysis of email content and context | Abnormal Security, Proofpoint |
| SOAR | Automated incident response playbooks | Palo Alto XSOAR, Splunk SOAR |
| Code security | AI-powered code review | GitHub Copilot security, Snyk AI |
| Penetration testing | AI-assisted reconnaissance and exploitation | PentestGPT, BurpGPT |
Yapay Zeka ile Üretilen Zararlı Yazılımlar
Büyük yapay zeka sağlayıcıları kötü amaçlı kullanıma karşı güvenlik önlemleri uygulasa da tehdit gerçek:
- Polimorfik zararlı yazılım: Yapay zeka, imza tabanlı algılamayı atlatacak kod varyantları üretiyor. Her örnek benzersiz
- Otomatik gizleme: Yapay zeka, işlevselliğini korurken statik analizi atlatmak için zararlı yazılım kodunu yeniden yazıyor
- Sosyal mühendislik yükleri: Yapay zeka, bağlam duyarlı yükler oluşturuyor (gerçek dahili projelere atıfta bulunan makro etkin belgeler)
- Uyarlanabilir C2 iletişimi: Ağ ortamına göre komuta-kontrol protokollerini ayarlayan yapay zeka modelleri
Gerçek örnek: 2023'te araştırmacılar, ChatGPT'nin (güvenlik önlemlerine rağmen) görev "güvenlik araştırması" olarak çerçevelendiğinde veya küçük, masum görünen adımlara bölündüğünde işlevsel zararlı yazılım bileşenleri üretmek için manipüle edilebildiğini gösterdi.
Karanlık LLM Ekosistemi
Yer altı forumları, özellikle siber suç için pazarlanan sansürsüz yapay zeka modelleri sunuyor:
| Model | Claims | Reality |
|---|---|---|
| WormGPT | "ChatGPT for hackers" | Fine-tuned on malware data, minimal guardrails |
| FraudGPT | Phishing, carding, exploits | Subscription-based criminal tool |
| DarkBERT | Dark web-trained model | Research model repurposed |
| GhostGPT | Stealth, anti-detection | Marketing hype, basic jailbroken model |
Bunların çoğu abartılı—genellikle açık kaynak modellerin jailbreak'lenmiş versiyonları. Ancak teknik yetkinliği düşük suçlular için giriş engelini düşürüyorlar.
Yapay Zeka Destekli Tehditlere Karşı Savunma
1. Yapay Zeka Destekli E-posta Güvenliği
Geleneksel e-posta ağ geçitleri alan adlarını ve bilinen imzaları kontrol eder. Yapay zeka destekli çözümler ise şunları analiz eder:
- Yazım tarzı anomalileri (CEO gerçekten böyle mi yazar?)
- Davranış kalıpları (CFO normalde saat 3'te havale talebi yapar mı?)
- İlişki haritalama (bu kişi daha önce bu alıcıya hiç e-posta gönderdi mi?)
- Anlamsal analiz (e-posta aslında ne talep ediyor?)
2. Deepfake Algılama
1Deepfake Detection Methods:
2
3├─ Visual artifacts analysis
4│ ├─ Inconsistent lighting/shadows
5│ ├─ Blurring at face boundaries
6│ ├─ Irregular eye blinking patterns
7│ └─ Inconsistent background details
8│
9├─ Audio analysis
10│ ├─ Spectral analysis of voice characteristics
11│ ├─ Breathing pattern irregularities
12│ ├─ Background noise inconsistencies
13│ └─ Prosody (speech rhythm) anomalies
14│
15├─ Behavioral verification
16│ ├─ Code word verification for financial requests
17│ ├─ Callback on known phone numbers
18│ ├─ Multi-channel confirmation
19│ └─ Challenge questions
20│
21└─ Technical detection
22 ├─ C2PA content provenance (verify media origin)
23 ├─ Digital watermarking
24 ├─ AI detection models (Microsoft Video Authenticator)
25 └─ Blockchain-based media verification3. Yapay Zeka Çağı İçin Sıfır Güven
Sıfır Güven Mimarisi, saldırganlar herkesi ikna edici biçimde taklit edebildiğinde daha da kritik hale geliyor:
- Yetkilendirme kararlarında asla yalnızca ses veya videoya güvenmeyin
- Tüm hassas işlemler için çok faktörlü doğrulama
- Finansal işlemler için bant dışı onay
- Taklidin ne kadar ikna edici olduğundan bağımsız anomalileri tespit eden davranış analitiği
4. Yapay Zeka Çağı İçin Çalışan Eğitimi
Geleneksel güvenlik farkındalık eğitimi ("şüpheli bağlantılara tıklamayın") artık yeterli değil. Çalışanların şunları anlaması gerekiyor:
- Yapay zeka kusursuz dilbilgisi ve kişiselleştirilmiş içerik üretebilir
- "Patronunuzdan" gelen telefon aramaları yapay zeka tarafından üretilmiş olabilir
- Görüntülü görüşmeler gerçek zamanlı olarak deepfake ile taklit edilebilir
- Hassas talepler için her zaman ayrı bir kanal üzerinden doğrulama yapılmalıdır
Yapay Zeka Düzenlemeleri ve Güvenliği
Hükümetler yanıt vermeye başlıyor:
| Region | Regulation | Key Requirements |
|---|---|---|
| EU | AI Act (2024) | Risk-based classification, transparency requirements |
| US | Executive Order 14110 | AI safety standards, watermarking requirements |
| China | Deep Synthesis Regulations | Mandatory labeling of AI-generated content |
| UK | AI Safety Institute | Testing frontier models for misuse potential |
Silahlanma Yarışı
Siber güvenlikte yapay zeka temelde bir silahlanma yarışıdır. Her savunma tarafındaki yapay zeka iyileştirmesi, saldırı tarafındaki bir adaptasyonla karşılanır. Temel asimetri şudur: savunucular her şeyi korumak zorundadır; saldırganların yalnızca tek bir giriş yolu bulması yeterlidir.
Bu çağda ayakta kalacak kuruluşlar şunları yapanlardır:
- Yapay zeka destekli savunma araçlarını benimseyin (yapay zekaya karşı eski nesil araçlarla savaşamazsınız)
- Yapay zeka destekli saldırıları varsayın (her sosyal mühendislik girişimi yapay zeka tarafından üretilmiş olabilir)
- Birden fazla kanal üzerinden doğrulayın (hiçbir tek iletişim kanalı güvenilir değildir)
- Algılamaya yatırım yapın (tek başına önleme artık yeterli değildir)
- Sürekli eğitim verin (tehdit ortamı yıllık eğitim döngülerinden çok daha hızlı değişiyor)
Siber güvenlikte yapay zeka devrimi başladı. Soru, kuruluşunuzun yapay zeka destekli tehditlerle karşılaşıp karşılaşmayacağı değil—hazır olup olmayacağıdır.
Kaynaklar: CrowdStrike 2025 Threat Report, NIST AI Risk Management Framework, Europol Threat Assessment on Criminal Use of AI
