Geçtiğimiz hafta sonu, Obama Beyaz Sarayı ve ABD Uzay Kuvvetleri Başçavuşu'na ait Instagram hesapları, İran yanlısı görseller ve mesajlarla kısa süreliğine değiştirildi. Bu saldırıların arkasında, Meta'nın yapay zeka tabanlı 'AI destek asistanı' botunun kandırılarak şifre sıfırlama işlemi yapmasına olanak tanıyan bir yöntemin Telegram'da yayılması yatıyor. 31 Mayıs'ta, çeşitli Telegram kanallarında Meta'nın AI botunun, standart şifre sıfırlama akışı sırasında mevcut bir hesaba e-posta adresi eklemeyi kabul ettiğine dair talimatlar dolaşmaya başladı. Bu basit ama etkili açık, siber güvenlik dünyasında yeni bir tartışma başlattı.
İran yanlısı hackerlar tarafından Telegram'da yayınlanan bir video, saldırının ne kadar kolay gerçekleştirildiğini gözler önüne seriyor. Videoya göre, saldırgan hedefin bulunduğu şehre yakın bir IP adresi kullanarak VPN bağlantısı kuruyor, ardından Instagram'da şifre sıfırlama talebinde bulunuyor. Bu noktada Meta'nın AI destek asistanıyla sohbet başlatılıyor ve saldırgan, bottan hesabı yeni bir e-posta adresine bağlamasını istiyor. Bot, bu talebi sorgusuz sualsiz yerine getirerek yeni e-posta adresine tek kullanımlık bir kod gönderiyor ve böylece şifre sıfırlama işlemi tamamlanıyor. Bu yöntem, iki faktörlü kimlik doğrulama (MFA) kullanmayan hesaplar için ölümcül bir zaafiyet oluşturuyor.
Telegram'da paylaşılan videoda ayrıca, ele geçirilen Instagram hesaplarını değiştiren İran yanlısı görseller, videolar ve mesajların ekran görüntüleri de yer aldı. Hackerlar, bu açığı kullanarak aralarında 'kısa' ve değerli kullanıcı adlarının da bulunduğu bir dizi hesabı ele geçirdiklerini iddia etti. Bu hesapların ikinci el piyasada yarım milyon dolardan fazla değere sahip olduğu öne sürüldü. Meta, konuyla ilgili henüz resmi bir açıklama yapmamış olsa da, şirketin sözcüsü Andy Stone Twitter/X üzerinden sorunun çözüldüğünü ve etkilenen hesapların güvence altına alındığını duyurdu. Güvenlik blogu thecybersecguru.com ise Meta'nın hafta sonu acil bir yama yayınladığını ve arka uç veritabanına herhangi bir sızma olmadığını belirtti.
Sistem Güvenliği
Siber güvenlik blogu Cybersecguru, Instagram'ın insan destek altyapısının kötü olduğuna dikkat çekiyor: 'Instagram'ın insan destek altyapısı kötü şöhretlidir. Kilitlenmiş bir hesabı kurtarmak, özellikle yüksek değerli bir hesap ise, otomatik bilet sistemiyle haftalarca süren bir yazışma gerektirebilir. Meta'nın çözümü, yaygın kurtarma iş akışlarını (kayıp e-posta adresini yeniden bağlama, şifre sıfırlama, hesap sahipliğini doğrulama) yönetmek için bir konuşma yapay zeka katmanı oluşturmaktı. Asistanın, hesap erişim cehenneminde sıkışan meşru kullanıcılar için sürtünmeyi azaltması bekleniyordu.' Ancak bu yaklaşım, AI botlarının sosyal mühendislik saldırılarına karşı ne kadar savunmasız olduğunu da gözler önüne serdi.
Lumen's Black Lotus Labs tehdit araştırmacısı Ian Goldin, büyük çevrimiçi platformların hassas hesap kurtarma taleplerini AI sohbet botlarına devretmeye başlamasıyla birlikte bilinmeyen bir güvenlik alanına girdiğimizi söylüyor. Goldin, 'Tıpkı insan müşteri hizmetleri çalışanlarının sosyal mühendislik yoluyla yetkisiz erişim sağlaması gibi, AI botları da yardım etmeye hevesli ve ikna ve kandırmaya karşı savunmasız. AI sohbet botları ilginç yeni bir saldırı yüzeyi oluşturuyor ve muhtemelen bu tür saldırıların çoğunu göreceğiz' dedi. Bu olay, yapay zeka tabanlı sistemlerin güvenlik açıklarının henüz tam olarak anlaşılmadığını ve bu tür saldırıların artarak devam edebileceğini gösteriyor.
Gelecekte Ne Bekleniyor?
Peki, bu tür saldırılardan nasıl korunabiliriz? Uzmanlar, çevrimiçi hesaplarınızı korumak için sunulan en güvenli çok faktörlü kimlik doğrulama (MFA) yöntemini (örneğin, geçiş anahtarı veya güvenlik anahtarı) kullanmanızı tavsiye ediyor. Bu özel durumda, Instagram'ın sunduğu en zayıf MFA yöntemi olan SMS ile gönderilen tek kullanımlık kod bile saldırıyı engelleyebilirdi. Telegram'da videoyu yayınlayan hackerlar, MFA etkin olan hesaplara karşı açığın işe yaramadığını belirtti. Bu nedenle, tüm çevrimiçi hesaplarınızda MFA'yı etkinleştirmek, hesap güvenliğiniz için atabileceğiniz en önemli adımlardan biridir.
Kaynak: krebsonsecurity.com