Google, New York Güney Bölgesi Federal Mahkemesi'nde 25 Doe sanığına karşı açtığı davada, Çin merkezli "Outsider Enterprise" adlı bir siber suç örgütünün phishing-as-a-service (hizmet olarak kimlik avı) platformu işlettiğini iddia ediyor. Şikayete göre Outsider, Telegram üzerinden koordine edilen bir abonelik platformu aracılığıyla, teknik bilgisi olmayan suçluların ikna edici sahte web siteleri oluşturmasına, hedeflere mesaj göndermesine, kimlik bilgilerini ve ödeme verilerini gerçek zamanlı olarak toplamasına ve çalınan bilgileri paraya çevirmesine olanak tanıyor.

Google'ın 12 Haziran 2026'da sunduğu şikayete göre Outsider, 290'dan fazla önceden oluşturulmuş web sitesi şablonu içeriyor. Bu şablonların en az 131'i ABD'li kurbanları hedefliyor ve 14'ü Google Pay, Google Play ve YouTube markalarını kullanıyor. Platform, gerçek zamanlı tuş kaydı ve kampanya performansını izlemek için bir kontrol paneli de sunuyor.

Yapay Zeka Faktörü

Davayı farklı kılan, Outsider'ın üretken yapay zekayı (generative AI) kullanma şekli. Google, Outsider kullanıcılarının Google Gemini ve diğer AI araçlarını kullanarak özel "kabuk" web siteleri için HTML kodu oluşturmaları talimatı aldığını iddia ediyor. AI tarafından oluşturulan bu kodlar daha sonra Outsider'a yapıştırılarak, kimlik bilgilerini, ödeme kartlarını, adresleri ve MFA kodlarını çalmak için gerekli kötü amaçlı işlevsellik ekleniyor. AI, suçu icat etmedi; mevcut suç altyapısının ölçeklenmesini, kişiselleştirilmesini ve inandırıcılığını artırdı.

Hukuki Strateji

Google, davasını iki temel yasaya dayandırıyor: RICO (Racketeer Influenced and Corrupt Organizations Act) ve Lanham Yasası. RICO iddiası, Outsider'ın organize bir suç girişimi olduğunu ve telgraf dolandırıcılığı gibi yasadışı faaliyetler yürüttüğünü öne sürüyor. Lanham Yasası iddiası ise, Outsider'ın Google markalarını izinsiz kullanarak tüketicileri yanılttığını ve Google'ın itibarına zarar verdiğini savunuyor. Google, bu yasalar kapsamında ihtiyati tedbir, hızlı keşif ve altyapının kapatılması gibi yaptırımlar talep ediyor.

Neden Önemli

Bu dava, yapay zeka destekli siber suçlarla mücadelede önemli bir dönüm noktası. Google, yeni bir "AI kötüye kullanımı" yasası yerine mevcut yasaları kullanarak, phishing-as-a-service iş modelini hedef alıyor. Bu, güvenlik profesyonelleri için AI suistimalinin ayrı bir risk türü olmadığını, mevcut suç iş modellerini hızlandıran bir faktör olduğunu gösteriyor. Şirketlerin, marka istismarını tespit etmek, delilleri korumak ve sivil müdahale için bir oyun kitabına sahip olmak gibi pratik adımlar atması gerekiyor. Ayrıca AI sağlayıcıları, kötü niyetli kullanımı tespit etmek için salt prompt metnine değil, aşağı akış sinyallerine de odaklanmalı.