Yapay Zekâ ile Hazırlanan Sahte Özgeçmişlerle Siber Saldırılar Artıyor

Bir bilişim şirketinin insan kaynakları çalışanı, “입사지원서.hwp” adlı bir başvuru dosyasını açmaya çalıştığında güvenlik yazılımının uyarı vermesi üzerine uygulamayı kapattı. İncelemede dosyanın, hesap bilgilerini ele geçirmeye ve şirket içi belgelere erişmeye yönelik zararlı yazılım barındırdığı ortaya çıktı.

Uzmanlar, bu olayın tekil bir örnek olarak görünse de yerel ve uluslararası raporların aynı eğilime işaret ettiğini, sahte özgeçmişlerle yapılan spear-phishing saldırılarının hızla yaygınlaştığını belirtiyor.

Saldırganlar İş Başvurusu ve İşbirliği Tekliflerini Taklit Ediyor

Son yıllarda hem Güney Kore’de hem de diğer ülkelerde kurumları hedef alan çok sayıda APT (Gelişmiş Sürekli Tehdit) operasyonunda, iş başvurusu, işbirliği talebi, araştırma daveti gibi normal iş yazışmalarını taklit eden e-postaların kullanıldığı tespit edildi.

Özellikle Kuzey Kore bağlantılı olduğu değerlendirilen Kimsuky ve Lazarus gruplarının; diplomasi, finans, teknoloji, medya ve araştırma kurumlarını hedef alarak bu yöntemi sıkça kullandığı bildiriliyor.

Türkiye dahil birçok ülkede de benzer yöntemler gözlemlendi. Saldırganlar, özgeçmiş formatlarını, ön yazı üsluplarını ve HWP/DOCX gibi yaygın belge türlerini birebir taklit ederek insan kaynakları, finans ve araştırma birimlerini hedef alıyor.

Bazı raporlar, gazeteci kılığına girilerek politika araştırmacılarına zararlı belge gönderildiğini, askeri kurumlar için ise yapay zekâ ile üretilmiş sahte kimlik fotoğraflarının kullanıldığını ortaya koyuyor.

Amaç Sadece Bilgi Çalmak Değil: Uzun Süreli Sızma

Güvenlik raporlarına göre saldırganlar yalnızca hesap bilgilerini ele geçirmekle yetinmiyor, kurum içi ağlara uzun süreli erişim sağlayarak belgeleri indirmeyi veya gelecekte daha büyük operasyonlara zemin hazırlamayı hedefliyor.

Saldırılarda izlenen taktik genellikle şu şekilde ilerliyor:

1. Güven veren e-postalar ve sahte profiller gönderiliyor.

2. Yapay zekâ ile hazırlanmış özgeçmişler ve belgeler ekleniyor.

3. Hedef kişinin zararlı belgeyi açması veya bağlantıya tıklaması sağlanıyor.

Yapay Zekâ Saldırıları Daha İkna Edici Hale Getiriyor

Uzmanlara göre saldırı e-postalarının dilinin ve üslubunun giderek daha doğal hale gelmesi, üretken yapay zekâ modellerinin etkisiyle gerçekleşiyor.
Eskiden tespit edilen yazım hataları veya yabancı dil kokan ifadeler artık neredeyse tamamen ortadan kalkmış durumda.

Avrupa Birliği Siber Güvenlik Ajansı (ENISA), raporlarında yapay zekânın oltalama ve sosyal mühendislik saldırılarını daha ikna edici hale getirdiğini vurguluyor.
2025 itibarıyla küresel phishing e-postalarının önemli bir kısmında AI kullanımına dair işaretler tespit edildi.

ABD ve Güney Kore güvenlik kurumlarının raporlarına göre Kuzey Kore bağlantılı grupların, yapay zekâ ile sahte kimlikler, fotoğraflar ve CV’ler üreterek yabancı IT şirketlerine başvuru yaptığı bile görülüyor.

Bazı vakalarda:

• Yapay zekâ ile üretilmiş sahte asker kimlikleri,

• Sahte iş başvuruları,

• Gerçek olmayan kariyer geçmişi ve AI ile oluşturulmuş portföyler tespit edildi.

Hatta bazı kişilerin işe alındıktan sonra işlerini bile yapay zekâ ile yürüttüğüne dair bulgular raporlarda yer aldı.

Zararlı Belgeler HWP, DOCX, PDF Görünümünde Gizleniyor

Saldırganlar sık kullanılan belge formatlarını kötüye kullanarak zararlı makrolar veya betikler gizliyor.
Özellikle şu yöntemler öne çıkıyor:

• “Belge.pdf.exe” gibi çift uzantılı sahte dosyalar

• ZIP içerisinde gizlenen çalıştırılabilir dosyalar

• DOCX içinde otomatik makro çalıştırmayı zorlayan teknikler

• Uzak sunuculardan zararlı yükleyicilere referans veren belgeler

Ayrıca Google Drive, Dropbox, GitHub gibi güvenilir platformlar üzerinden zararlı içerik paylaşımı da yaygın bir taktik olarak raporlanıyor.

Saldırıların Hedefi Artık Sadece Devlet Kurumları Değil

Raporlar, Kuzey Kore bağlantılı grupların vergi daireleri, medya kuruluşları, askeri yapılar ve devlet kurumlarının yanı sıra sıradan çalışanları da hedef aldığını gösteriyor.
Bazı saldırılarda kişilerin iletişim hesapları ele geçirilerek daha fazla zararlı yazılım dağıtıldığı belirtiliyor.

Kurumlar ve Çalışanlar İçin Güvenlik Önerileri

Uzmanlar, kurumsal e-posta trafiğinde yapay zekâ tabanlı analiz sistemlerinin yaygınlaştığını ancak saldırganların aynı teknolojileri kullanarak tespit edilmesi zor içerikler üretmeye devam ettiğini vurguluyor.

Öneriler:

• Gönderen adresinin kurumun resmi alan adıyla birebir uyumlu olup olmadığı kontrol edilmeli.

• ZIP dosyalarının içindeki .exe, .scr, .bat gibi çalıştırılabilir dosyalar mutlaka incelenmeli.

• Kaynağı belirsiz ekler antivirüs ile taranmadan açılmamalı.

• Google Drive/Dropbox/GitHub linklerinin gerçek URL’si imleçle kontrol edilmeli.

• Şüpheli e-postalar kurumun güvenlik birimine bildirilmelidir.