Şöyle bir istatistik var ki, ılımış kahvenizi üzerinize dökmenize neden olabilir: Kimlik avı kiti pazarı, suçlular için eskiden kendi başlarına halletmeleri gereken bir kabustu. Tek bir giriş sayfası için pazarlık eder, bir alan adı döndürücü kapar, bunları kendi sunucularında bir nevi siber suç Frankenstein’ı gibi birleştirirlerdi.
Artık değil.
Varonis Threat Labs, sahneye yeni bir kimlik avı kiti olan Bluekit‘i çıkardı. Bu kit, belirgin bir şekilde tekdüze olmayan, hepsi bir arada bir model sunuyor. Düşünün ki 40’tan fazla web sitesi şablonu, otomatik alan adı alımı ve kaydı, yerleşik iki faktörlü kimlik doğrulama desteği, taklitçilik, coğrafi konumlandırma hileleri, Telegram ve tarayıcı bildirimleri, hatta bazı gizli saklı bot önleme özellikleri var. Ve işin tatlı bombası? Yapay zeka asistanı ve ses klonlama gibi eklentiler. Çünkü görünen o ki, sadece kimlik bilgilerini çalmak artık yeterince dramatik değilmiş.
Bu şablonlar da çekingen değil üstelik. E-posta ve bulut hesapları (iCloud, Gmail, Outlook – her zamanki şüpheliler), GitHub gibi geliştirici platformları (vay canına), sosyal medya, perakende devleri ve hatta kripto dünyası için her şeyi düşünmüşler. Ledger, Zara, Twitter – Bluekit hepsini yutmayı hedefliyor.
Burada Gerçekten Kim Para Kazanıyor?
İşte burada, Silikon Vadisi’nin büyüsünü (veya bazen sadece dumanını) 20 yıldır izlememin verdiği tecrübe devreye giriyor. Eski model, saldırganın belirli bir düzeyde teknik beceriye sahip olmasını gerektiriyordu. Altyapıyı, temel ağ bağlantılarını ve farklı hizmetleri nasıl bir araya getireceğini anlaması gerekiyordu. Bu bir engeldi, her ne kadar bazıları için düşük bir engel olsa da.
Bluekit bu engeli ortadan kaldırıyor. Hız ve ölçek için tasarlandı; sadece teknik açıdan yetenekli olanları değil, hazır bir silah için ödeme yapmaya istekli herkesi hedef alıyor. Her zaman olduğu gibi asıl para, aracın yaratılmasında değil, yaygın olarak benimsenmesinde ve etkinliğinde yatıyor. Eğer Bluekit’in kullanımı kolaysa ve güvenilir bir şekilde kimlik bilgilerini ele geçiriyorsa, yaratıcıları çok daha geniş bir suçlu tabanından lisanslama veya abonelik ücretleri aracılığıyla ceplerini dolduracaklardır.
Bluekit Tek Bir Panelde Neler Sunuyor?
Dünün hantal, çoklu satıcı yaklaşımını unutun. Varonis, Bluekit’i ele geçirdi ve derinlemesine inceledi. Bu şey, kimlik avı iş akışının endişe verici bir miktarını tek bir gösterge paneline çekiyor. Site oluşturma, alan adı kurulumu, elde edilen kazançların (loglar) yönetimi, teslimat araçları ve kampanya desteği… Telegram bile verileri dışarı aktarmak için varsayılan kanal olarak entegre edilmiş. Kimlik hırsızlığı için bir İsviçre çakısı gibi.
Operatör paneli, sihrin (veya dehşetin) yaşandığı yer. Kimlik avı sayfalarınızı ve yakalanan loglarınızı yönettiğiniz aynı arayüzden alan adları satın alabilir veya bağlayabilirsiniz. Artık birden fazla hizmet arasında koşturmaya gerek yok. Bu kolaylaştırma, suç dünyasında verimlilik için büyük bir gelişme. Site oluşturma akışı da bu basitliği yansıtıyor: bir alan adı seçin, bir mod seçin, akıl karıştırıcı bir marka listesinden seçim yapın. Çok kolay.
Ve sadece sayfayı başlatmakla da kalmıyor. Bluekit, bir site canlıya alındıktan sonra nasıl davranacağı konusunda ayrıntılı kontrol sunuyor. Oturum açma algılama, yönlendirme hileleri, analiz karşıtı önlemler, cihaz filtreleri – hepsi aynı yapılandırma panelinden erişilebilir. Hatta vekil sunucu ayarları ve oturumların oturum açıldıktan sonra nasıl işlendiğine dair kontrolleri de ekliyorlar. Artık mesele sadece kullanıcı adı ve şifreyi kapmak değil; kontrolü elinde tutmak ve mağdurun ele geçirildikten sonraki deneyimini mümkün olduğunca kafa karıştırıcı ve zararlı hale getirmek.
‘Dev Detaylar’ görünümü kulağa uğursuz geliyor ve gerçekten de öyle. Oturum durumunu izler, çerezleri ve yerel depolamayı döker ve kurbanın oturum açtıktan sonra gördüklerinin canlı bir görünümünü sunar. Bu kitin, temel bir kimlik bilgisi çalmanın ötesinde bir şeyler yaptığı açık. Ele geçirilen kullanıcının kalıcı, ayrıntılı bir profilini oluşturuyor.
Arka Plandaki Yapay Zeka Asistanı
Şimdi gelelim o yapay zekaya. İşlerin özellikle… ilginçleştiği yer burası. Bluekit’in içinde, Yapay Zeka Asistanı, “yok edilmiş Llama” varsayılanından GPT-4.1, Claude Sonnet 4, Gemini ve DeepSeek varyantlarına kadar birden fazla model seçeneğiyle övünüyor. Benim içsel BS (saçmalık) dedektörüm şimdiden tavan yaptı. Varonis test ettiğinde, yalnızca varsayılan Llama modeline erişebildiler. Ticari seçenekler göründü, ancak sahip olmadıkları ek yapılandırma gerektiriyordu. Hmm.
Bu sadece teorik bir endişe değil. Eğer bu ticari modeller pratikte kullanılabilirse, bu, kırılmış veya aksi takdirde izin veren örnekler aracılığıyla erişildikleri anlamına gelir. Neden mi? Çünkü standart, doğru yapılandırılmış bir yapay zeka hizmeti, kimlik avı için gereken türden çıktıları engeller veya sansürlerdi.
“Daha çok cilalı bir kimlik avı yardımcısı bekliyorduk: bitmiş bir yem, daha temiz e-posta metinleri ve belki de daha az manuel çabayla çalışabilir bir QR tabanlı akış. Aldığımız şey çok daha sınırlıydı. Asistan yapılandırılmış bir kampanya taslağı döndürdü ve çoğunluğu, olduğu gibi kullanıma hazır içerik yerine yer tutuculara dayanıyordu.”
Test kampanyaları, kurgusal bir şirketteki bir CISO, markalı bir QR kodu ve cilalı bir e-posta ile birlikte bir Microsoft 365 MFA yeniden doğrulama tuzağı etrafında inşa edildi. Yapay zeka çıktısı mı? Elbette yapılandırılmış bir taslak verdi, ama yer tutucular ve genel bağlantı alanlarıyla doluydu. Metnin temizlenmesi gerekiyordu. Tam teşekküllü bir kimlik avı operasyonundan çok bir kampanya iskeleti gibi görünüyordu. Yani, yapay zeka henüz aldatma senfonisini yazmıyor; daha çok orkestra için kaba bir taslak sağlıyor gibi.
Bluekit Ekosistemde Nereye Oturuyor?
Bluekit, bir süredir Varonis’in radarında. Geliştiriciler sürekli bir sürüm döngüsünde görünüyorlar, yeni özellikler itiyorlar. Bu amansız yineleme, önemli bir yatırımı ve savunmaların önünde kalma taahhüdünü gösteriyor. Açıkça yasadışı da olsa bu bir iş ve onu bu şekilde ele alıyorlar.
Yapay zekanın entegrasyonu, belki de başlangıçta abartıldığı kadar gelişmiş olmasa da, kimlik avı kiti pazarı için net bir yönü işaret ediyor. Hedef otomasyon ve sofistikeleşme. Teknik engeli düşürerek ve daha gelişmiş araçlar sağlayarak, Bluekit gibi kitler, daha etkili ve potansiyel olarak daha zararlı saldırılar yürütmek için daha geniş bir aktör yelpazesini güçlendiriyor.
Bu artık sadece bireysel kimlik avı kampanyalarıyla ilgili değil. Bu, sofistike araçların ticarileştirildiği ve erişilebilir hale getirildiği siber suçların endüstrileşmesiyle ilgili. Eski özel pazar, verimlilik ve etkinlik vaat eden hepsi bir arada bir çözüme yol verdi. Teknoloji ilerledikçe, onu sömürmek isteyenlerin elindeki araçların da geliştiğinin acı bir hatırlatıcısı.
