Yeni Nesil Siber Tuzaklar: Sahte AI Temalı Web Siteleri

Yapay zeka teknolojileri, her geçen gün daha fazla ilgi görüyor. Kimi onunla ödevlerini yapıyor, kimi yemek tarifleri için kullanıyor, kimi ise yapay zekayı para kazanmak için sıkça işlerinde kullanıyor. Gelişen teknolojiyle birlikte gündelik hayatımızın bir parçası haline gelen ChatGPT, DeepkSeek, Gemini, Claude gibi birçok yapay zeka çeşidi çıkmaya başlarken, siber dünyada da bu ilgiyi insanlara karşı kullananlar artıyor.

Şimdi artık yeni bir tehlikeyle karşı karşıyayız: Sahte yapay zeka siteleri.

Google’ın Mandiant Threat Defense ekibinin son yayınladığı rapora göre kötü niyetli kişiler sahte yapay zeka siteleri tasarlayarak kullanıcıları hedef almaya başladı. Bunlar öyle klasik virüs siteleri gibi değil. Görünüşte her şeyin düzgün olduğu, temiz bir tasarım, tanıdık bir isim, hatta bazen profesyonel destekli reklamların olduğu siteler.

Nedir Bu Sahte AI Siteleri?

Basitçe anlatmak gerekirse:

Saldırganlar, ChatGPT ya da Gemini gibi meşhur yapay zekâ araçlarının birebir taklitlerini yapıyorlar. Site adresi benzer, arayüz benzer, hatta bazen yazılar bile aynı.

Ama bu sitelerin amacı size yapay zekâ hizmeti sunmak değil. Asıl hedef:

• Bilgilerinizi çalmak
• Cihazınıza zararlı yazılım bulaştırmak
• Ya da sizi başka bir tuzağa yönlendirmek

Üstelik bu siteler arama sonuçlarında da karşınıza çıkabiliyor. Google’da “chatgpt ücretsiz indir” gibi aramalar yaptığınızda ilk sırada bile olabiliyorlar.

Hedefte Kimler Var ?

Yapay zekayı kullanan herkes.

Gençlisinden yaşlısına teknolojiyle hiç ilgisi olmayan kişilerin bile yapay zeka kullandığını düşünürsek, herkes bu tuzağa düşürülebiliyor. Çünkü bu sahte siteler genelde arama motorlarında üst sıralarda çıkacak şekilde hazırlanıyor hatta bazıları çeşitli sosyal medya platformlarında reklam vererek doğrudan kullanıcıların karşısına çıkıyor. Görsel ve içerik tasarımı ise neredeyse birebir taklit olduğundan gerçeğiyle arasındaki farkı anlamak çok dikkat gerektiriyor.

İnsanlar Nasıl Tuzağa Düşürülüyor ?

Bu sahte siteler insanları tuzağa düşürmek için genelde 3 farklı yol izliyor:

1. Gerçeğiyle benzer site isimlerini kullanmak:

• Gerçeğe çok yakın isimler ve logolar kullanarak kendilerini anlaşılması zor hale getiriyorlar. Örneğin: chatgbt.ai, chat.openaai.com, genini.com

2. SEO ve Reklam

• SEO, Google, Bing, Yandex ve diğer arama motorlarında sorgulanan aramaların, ürün ve hizmetlerinizin organik görünürlüğünü artırmak amacıyla web sitelerinizde yapılan optimizasyon çalışmaları olarak tanımlanır.
• Saldırganlar SEO ve reklamları kullanarak youtube, instagram, facebook, google gibi platformlara reklamlar vererek sahte yorumlarla sitelerinin aktifliğini ve görünürlüğünü arttırıyorlar.
• Yaptıkları reklamlar sayesinde “ChatGPT Premium” gibi başlıklarla arama yaptığınızda Google tarafından üst başlıklarda çıkarak sitelerine giriş yapmanızı sağlıyorlar.

3. Gerçekçi arayüzle gerçek site gibi görünmek:

• Tıpkı gerçek bir ai sitesiymiş gibi giriş paneli sunuyorlar. Siz kullanıcı adı ve şifreinizi girdiğinizde ise bilgilerinizi doğrudan saldırgana vermiş oluyorsunuz.

Teknik Tarafa Geçelim: Bu Siteler Nasıl Virüs Bulaştırıyor ?

Yazının bu bölümünde işin biraz daha teknik kısımlarına inelim. Çünkü bu tuzaklar sadece görünüş üzerinden işlemiyor. Peki bu virüsleri nasıl bulaştırıyorlar ? Gelin birlikte ilk olarak gerçek bir senaryo üzerinden daha sonra kendi uygulamamız üzerinden nasıl yaptıklarını görelim.

1. Yemleme

Farz edelim ki bir kullanıcı Google’a şu aramayı yapıyor: “Luma AI Ücretsiz”

Karşısına çıkan ilk site lumalabsai.in. Saldırganlar ilk olarak kullanıcıların ilgisini çekecek sahte bir web sitesi oluşturuyor.

Sahte Luma AI web sitesine girildiğinde kullanıcı orijinal luma ai web sitesinin birebir kopyasının yapıldığı arayüzle karşılaşır. Sahte Luma AI web sitesine girildiğinde, kullanıcı “Hemen Ücretsiz Başla” düğmesine tıklar ve çeşitli video oluşturma işlevlerinden birini seçer.

2. Zararlı Yazılımın Sunulması

Kullanıcı oluştur düğmesine bastığında, çalışan bir AI modelini taklit eden bir yükleme çubuğu belirir. Birkaç saniye sonra, yeni videonun hazır olduğu varsayıldığında, bir İndir düğmesi görüntülenir. Bu, kurban ana bilgisayara bir ZIP arşiv dosyasının indirilmesine yol açar.

3. Zararlı Yazılımın Çalıştırılması

Kullanıcının indirdiği zip dosyası, dışarıdan bakıldığında normal bir kullanıcının fark edemeyeceği bir şekilde ayarlanmış. İlk bakışta MP4 uzantılı bir video olarak gözüken bu dosya, içeriğine bakıldığında aslında içerisine virüs gömülmüş bir EXE dosyasıdır.

Masum görünen bu dosyayı açtığınızda arka planda ne oluyor?:

• Info Stealer virüsü çalışabilir ve bütün şifreleriniz çalınabilir.
• RAT çalışabilir ve bilgisayarınıza uzaktan erişim sağlanır.
• Keylogger çalışabilir ve klavyede bastığınız bütün tuşlar kaydedilir.

Ve buna benzer bir sürü senaryo ile karşılaşabilirsiniz.

İndirilen dosyanın gerçekten video olup olmadığını nasıl anladık?

Bir önceki görsele bir daha gidelim, normal kullanıcıların ilk bakışta dikkatini çekmeyen, dosyanın isminden sonra yer alan ÜÇ NOKTA’yı göreceksiniz.

Burada gördüğümüz üç nokta dosyanın isminin ekranda gördüğümüzden daha uzun olduğunu gösteren bir işarettir. Dosyayı masaüstüne alıp yeniden isimlendir seçeneği ile tekrardan isimlendirmek istediğimizde dosya isimlendirilirken gerçek uzantısının gizlendiğini göreceğiz.

Bu nasıl mümkün olabiliyor ?

Normal şartlarda, bir dosya adında bu kadar uzun ve boşluk gibi görünen karakterler kullanılamaz. Örneğin Windows işletim sistemi, bir dosya adına art arda onlarca boşluk eklemenize izin vermez. Ancak incelediğimiz bu örnekte, saldırganlar dosya adını olağan dışı biçimde uzatmayı başarmış.

Peki nasıl?

Dosyanın içeriğini detaylıca incelediğimizde, görünen dosya adının hemen ardından 13 adet özel karakter yerleştirildiğini görüyoruz. Bu karakterler aslında sıradan boşluklar değil; İncelediğimizde dosyamızın görünen isminden sonra 13 adet özel Braille Pattern Blank(Unicode: U+2800, UTF-8: E2 A0 80) harfinin kullanıldığını görüyoruz. Braille, görme engelliler için geliştirilen Braille alfabesindeki bir sembolü temsil eden özel bir Unicode karakteridir.

Ortaya çıkan dosya adı, uzantıyı kullanıcı görünümünden dışarı Lumalabs_1926326251082123689-626.mp4⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀.exeiterek dosyayı daha az şüpheli hale getirmeyi amaçlar . Yeteri kadar itebilirsek dosyayı görüntülerken kullanıcıya sadece mp4 kısmı gösterilecek ve fark edilmeyecektir.

Uygulama

Gelin birlikte yazmış olduğum program aracılığıyla bu uzantı manipülasyonunu uygulayalım ve gerçekçi bir virüsü nasıl yapıyorlar detaylıca inceleyelim.

Uygulamada kullandığım programı GİTHUB hesabım üzerinden hem kodlarını inceleyebilir hem de indirip siz de deneyebilirsiniz.

Bu uygulamada, yukarıda bahsettiğim yöntemleri kullanarak virüsümüzü kullanıcıya bir fotoğraf dosyası gibi göstermeye çalışacağız.

Öncelikle, uygulamamızda gerçek bir virüs kullanmayacağım için temsili bir BAT dosyası oluşturacağım. Bu dosya çalıştığında CMD ekranı açılacak ve basitçe bir virüs gibi davranacak. oluşturduğum dosyayı Aile.bat ismiyle kaydediyorum.

Resource Hacker benzeri kaynak kod düzenleme uygulamalarını kullanarak dosyanın ikonunu, içeriğini değiştirerek dosyayı biraz daha gerçekçi hale getiriyorum.

Sıra şimdi dosyanın uzantısını manipüle etmeye geldi. Bu işlemi kolaylaştırmak adına, herkesin rahatlıkla kullanabileceği basit bir Fake Extension Builder tasarladım. Açık kaynaklı uygulamamın kaynak kodlarına BURADAN erişip indirebilirsiniz.

Fake Extension Builder Uygulamamızı açıyoruz.

Açılan ekranda ismini değiştirmek istediğimiz dosyayı seçiyoruz ve yeniden adlandır butonuna basıyoruz.

Masaüstüne baktığımızda, oluşturduğumuz yeni dosyanın uzantısının tıpkı gerçek bir resim dosyası gibi olduğunu görebiliriz.

Masaüstünde bu haliyle dikkatli bir göz tarafından fark edilebilir. Ancak virüsümüzü başka bir klasörün içine yerleştirdiğimizde, gerçeğinden ayırt edilmesi çok daha zor hale gelecektir.

Dosya çalıştırıldığında, gizlenmiş zararlı yazılım aktif hale gelir ve kullanıcının sisteminde çeşitli kötü amaçlı işlemler gerçekleştirmeye başlar.

Korunma Yolları

1. Girdiğin Sitelerin Adına Dikkat Et

Girdiğin sitenin adres çubuğundaki site adına dikkat etmelisin. Harf oyunları veya garip uzantılar varsa siteden hemen çıkmalısın. (Örneğin faceook.com, gooogle.com, instragrann.com)

2. Aramanın En Üstündeki Sitelere Her Zaman Güvenme

Arama yaptığında sayfanın en üstünde çıkan siteler her zaman güvenilir değildir. Çeşitli reklam ve SEO çalışmalarıyla zararlı siteleri aramanın en üstünde çıkarmak kolaydır. Üzerinde reklamlı olduğu belirtilen sitelere girerken dikkatli davran.

3. Hiçbir Şey Karşılıksız Değildir

İnternette ücretli olan uygulamaların, sitelerin ücretsiz versiyonunu verdiğini söyleyen sayfalardan, reklamlardan uzak dur. Hiçbir şey karşılıksız verilmez, böyle uygulamaları indirmek, sitelere giriş yapmak her zaman tehlikelidir.

4. İndirdiğin Dosyaları İncele

Özellikle ilk kez ziyaret ettiğin sitelerden indirilen dosyalar konusunda çok dikkatli olmalısın.

Dikkat etmen gereken bazı adımlar:

1- Dosya uzantısını kontrol et: İndirdiğin dosyanın uzantısı manipüle edilmiş olabilir, dosyanın uzantısını her zaman kontrol et.

2- Dosya ismini kontrol et: Çok uzun, boşluklarla dolu, rastgele semboller ya da görünmez karakterler içeriyor olabilir.

Bu yazımda, yapay zekanın sunduğu fırsatların yanı sıra beraberinde getirdiği tehditlere ve özellikle dosya uzantılarını manipüle etmek için kullanılan Braille Pattern Blank yöntemine değindim. Umarım sizin için bilgilendirici bir yazı olmuştur. Bir sonraki yazıda görüşmek üzere.