Microsoft, Şubat ayında Bing Chat yapay zeka arama asistanını tanıttı ve bir ay sonra maliyetleri karşılamaya yardımcı olmak için yanında reklamlar yayınlamaya başladı. Ancak Microsoft’un kendi reklam platformu tarafından sunulan bu reklamlardan bazılarının kötü amaçlı olduğu ortaya çıktı. Güvenlik birimi Malwarebytes geçtiğimiz hafta yaptığı açıklamada Bing Chat konuşmaları aracılığıyla dağıtılan zararlı reklamları tespit ettiğini duyurdu.
Malwarebytes tehdit istihbaratı direktörü Jérôme Segura bir yazısında “Reklamlar bir Bing Chat görüşmesine çeşitli şekillerde eklenebilir. Bunlardan biri, kullanıcının bir bağlantının üzerine gelmesi ve organik sonuçtan önce bir reklamın görüntülenmesidir,” diyor. Bu özel kötücül reklamlar, herhangi bir zararın oluşması için önce kullanıcı eylemi gerektirmekte, yani kurbanın reklama tıklaması gerekiyor. Kötücül reklam tarayıcıyı başka bir siteye yönlendiriyor ve bu site kullanıcının herhangi bir yasal servise ait (örneğin bankacılık uygulaması, alışveriş sitesi veya e-devlet uygulamaları gibi) giriş bilgilerini çalmak için kullanılıyor.
Microsoft, malware tespit ettikçe kaldırıyoruz diyor
Microsoft konuyla ilgili olarak “İçerik politikalarımız aldatıcı, hileli ya da kullanıcılar için zararlı olabilecek reklam içeriklerini yasaklamaktadır. Bu tip içeriklerin tespit edilir edilmez kaldırıldığını ve reklam verenin tespit tarama sürecimizin bir parçası olarak ağlarımızdan engellendiğini söyleyebiliriz. Benzer hesaplar için reklam ağımızı izlemeye devam ediyoruz ve müşterilerimizin korunmasına yardımcı olmak için gereken önlemleri alacağız. Gelecekte benzer reklamları tespit etme ve kaldırma becerimizi geliştirmek için bu geri bildirimi tespit mekanizmalarımıza uygulamaya devam edeceğiz” diyor.
Kötü amaçlı reklamlar, online reklamcılığın ilk yükselişe geçişinden beri birçok farklı biçimde karşımıza çıkıyor. Bu tip reklamlar basit rahatsız edici davranışlardan (örneğin, pop-up’lar gibi kalite ihlalleri) tam kapsamlı reklam dolandırıcılığına (örneğin, düzinelerce reklam olarak faturalandırılan görünmez piksellerin istiflenmesi) ve insanları istismar kodunu indirmeye ikna etmek için yönlendirme tabanlı dolandırıcılıklara kadar uzanmakta.
Kötücül reklam ve malware üzerine uzmanlaşmış siber güvenlik şirketi Confiant’ın en son yayınladığı Kötü Amaçlı Reklamcılık ve Reklam Kalitesi Endeksi‘ne göre 2022 yılında, tüm sunucu tarafı reklam platformlarında yayınlanan reklamların ortalama yüzde 0,21’i güvenlik ihlalleri içeriyor. Ayı rapora göre Google’ın reklam borsasında güvenlik ihlali oranı yüzde 0,48’di. Google’ın günde 30 milyar reklam gösterimi sunduğu göz önüne alınırsa sadece Google’dan güvenlik normlarını ihlal eden 140 milyondan fazla reklam geliyor.
Segura “Kötü amaçlı reklamcılık yıllardır kullanıcının işletim sistemi ya da coğrafi konumundan bağımsız olarak kötü amaçlı yazılım ve dolandırıcılık için en önemli web dağıtım vektörlerinden biri olmuştur,” diyor ve ekliyor: “Kötücül reklamların spam gibi diğer tehditlerin aksine, izlenmesi ve raporlanması zordur. Bu alanda amatörden profesyonele kadar çok sayıda farklı tehdit aktörü var. Geçtiğimiz birkaç yıl içinde Google Chrome için kötü amaçlı reklamcılık sayesinde silah haline getirilen bir dizi sıfır gün açığı oldu, ancak bu saldırılar çok hedefliydi ve güvenlik açıkları hızla düzeltildi.”
