2023 में डीपफेक फ़िशिंग में 3,000% की वृद्धि हुई - और यह अभी शुरुआत है

फ़िशिंग शायद सबसे लगातार साइबर सुरक्षा ख़तरा है, और यह और भी बदतर होता जा रहा है। जब तक लोग इंसान हैं, वे गलतियाँ करेंगे, इसलिए मानवीय कमजोरियों को लक्षित करना किसी भी साइबर अपराधी के लिए एक अचूक रणनीति है। हालाँकि यह पिछले कुछ वर्षों में नहीं बदला है, नई तकनीक ने इन खतरों के कहीं अधिक भयावह संस्करण को जन्म दिया है - डीपफेक फ़िशिंग।

डीपफेक फ़िशिंग क्या है?

डीपफेक नकली सामग्री उत्पन्न करने के लिए गहन शिक्षण एल्गोरिदम का उपयोग करते हैं जो वास्तविक चीज़ की तरह दिखता है। किसी सार्वजनिक हस्ती के कुछ ऐसा करने या कहने के झूठे वीडियो, जो उन्होंने कभी नहीं कहा या किया, सामान्य उदाहरण हैं। डीपफेक फ़िशिंग अधिक विश्वसनीय फ़िशिंग प्रयासों को तैयार करने के लिए इस AI-जनित सामग्री का उपयोग करता है।

एक उदाहरण में, एक ऊर्जा उद्यम के सीईओ एक आपूर्तिकर्ता को €220,000 भेजे गए मूल कंपनी के लीडर से एक्सचेंज का अनुरोध करने वाला कॉल आने के बाद। हालाँकि, वास्तविक बॉस ने कभी भी इस हस्तांतरण का आदेश नहीं दिया, और "आपूर्तिकर्ता" एक साइबर अपराधी का खाता था। यह पता चला कि कॉल असली नेता की आवाज का डीपफेक था।

ये हमले खतरनाक हैं क्योंकि डीपफेक को वास्तविकता से अलग करना मुश्किल है। उनमें फ़िशिंग के स्पष्ट संकेतों की भी कमी हो सकती है - जैसे वर्तनी की त्रुटियाँ या संदिग्ध लिंक - क्योंकि वे ऑडियो या वीडियो सामग्री के रूप में आते हैं। जैसे-जैसे एआई में सुधार होगा, वे और अधिक आश्वस्त होते जाएंगे।

डीपफेक फ़िशिंग का उदय

डीपफेक फ़िशिंग न केवल खतरनाक है - यह चिंताजनक दर से बढ़ रही है। एक रिपोर्ट के मुताबिक, डीपफेक धोखाधड़ी के प्रयासों में 3,000% की वृद्धि 2023 में। इसी शोध में यह भी पाया गया कि साइबर अपराधी बायोमेट्रिक सुरक्षा से बचने के लिए डीपफेक वीडियो और तस्वीरों का उपयोग कर रहे हैं, जिससे खाता समझौता हमलों का कारण बन सकता है।

डीपफेक फ़िशिंग में यह वृद्धि संभवतः डीप लर्निंग मॉडल के अधिक सुलभ होने के कारण उत्पन्न हुई है। इन उन्नत AI एल्गोरिदम के लिए उच्च-स्तरीय डेटा विज्ञान अनुभव या बड़े बजट की आवश्यकता होती थी। अब, बहुत सारे मुफ्त या कम लागत वाले उन्नत एआई मॉडल उपलब्ध हैं जिन्हें उपयोग करने के लिए बहुत कम या बिल्कुल भी कोडिंग ज्ञान की आवश्यकता नहीं होती है।

इसी प्रवृत्ति से भविष्य में डीपफेक फ़िशिंग प्रयासों में वृद्धि होने की संभावना है। जेनरेटिव एआई पहले से कहीं अधिक सुलभ है। हालांकि इसके कई सकारात्मक निहितार्थ हैं, लेकिन इसका मतलब यह भी है कि साइबर अपराधियों के लिए एआई-जनित नकली सामग्री तैयार करना आसान होता जा रहा है।

ईमेल फ़िशिंग से अमेरिकी व्यवसायों को नुकसान होता है औसतन $4.91 मिलियन , प्रचलित डीपफेक धमकियों के बिना भी। यह केवल समय की बात है जब अधिक अपराधी इस आकर्षक और अपेक्षाकृत आसान आक्रमण वेक्टर पर डीपफेक लागू करेंगे।

डीपफेक फ़िशिंग से कैसे बचाव करें

जबकि डीपफेक फ़िशिंग खतरनाक है, संगठन इससे बचाव कर सकते हैं। निम्नलिखित कदम व्यवसायों और उनके कर्मचारियों को इन बढ़ते खतरों से सुरक्षित रहने में मदद करेंगे।

सुरक्षित खाता पहुंच

सबसे पहले, उद्यमों को सभी आंतरिक खातों तक पहुंच सुरक्षित करने की आवश्यकता है। डीपफेक फ़िशिंग तब सबसे प्रभावी होती है जब यह किसी वास्तविक, विश्वसनीय, लेकिन समझौता किए गए खाते से आती है। नतीजतन, उनमें सेंध लगाना कठिन बनाने से ये हमले कमजोर हो जाएंगे।

बहु-कारक प्रमाणीकरण (एमएफए) आवश्यक है - और लोग किस प्रकार के एमएफए का उपयोग करते हैं, यह भी मायने रखता है। सुरक्षा विशेषज्ञों ने डीपफेक को लेकर चेतावनी दी है चेहरे और आवाज की पहचान को धोखा दे सकता है उपकरण, इसलिए बायोमेट्रिक्स सबसे सुरक्षित विकल्प नहीं है। डीपफेक खतरों के मद्देनजर ऐप-आधारित वन-टाइम कोड और हार्डवेयर कुंजियाँ सुरक्षित एमएफए विकल्प हैं।

कर्मचारियों को प्रशिक्षित करें

नियमित फ़िशिंग की तरह, कर्मचारी प्रशिक्षण भी महत्वपूर्ण है। हालाँकि डीपफेक को पहचानना कठिन हो सकता है, फिर भी कुछ सामान्य बातें हैं। निर्णय लेने या धुंधला होने जैसी दृश्य त्रुटियां डीपफेक में आम हैं, साथ ही विकृत आवाज जैसे अजीब ऑडियो संकेत भी आम हैं। कर्मचारियों को ये संकेत सिखाने और उन्हें डीपफेक फ़िशिंग के बारे में चेतावनी देने से उनके इसमें फंसने की संभावना कम हो जाएगी।

इस प्रशिक्षण के साथ भी, लोग 100% सटीकता के साथ डीपफेक को नहीं पहचान पाएंगे। नतीजतन, इस बात पर ज़ोर देना भी ज़रूरी है कि हर किसी को सावधानी बरतनी चाहिए। एक सामान्य नियम के तौर पर, अगर कोई चीज़ संदिग्ध लगती है या थोड़ी सी भी गलत लगती है, तो उस पर भरोसा करने से पहले उसे सत्यापित कर लें।

एआई से एआई से लड़ें

जैसे-जैसे डीपफेक फ़िशिंग अधिक लोकप्रिय हो जाती है, आग से आग से लड़ना - या एआई के साथ एआई, अधिक सटीक रूप से - और अधिक महत्वपूर्ण हो जाएगा। वही तकनीक जो डीपफेक को संभव बनाती है, उन्हें पहचानने में मदद कर सकती है, और कई पहचान मॉडल पहले से ही उपलब्ध हैं। वैकल्पिक रूप से, व्यापक एआई अनुभव वाले व्यवसाय अपना स्वयं का निर्माण कर सकते हैं।

डीपफेक का पता लगाने में डिटेक्शन मॉडल इंसानों से बेहतर प्रदर्शन कर सकते हैं, लेकिन कोई भी डिटेक्टर 100% सटीक नहीं है अभी तक। जैसे-जैसे तरीकों में सुधार होगा, साइबर अपराधी उनसे बचने के लिए नए तरीके विकसित करेंगे। नतीजतन, जबकि एआई सुरक्षा सहायक हैं, संगठनों को उन पर भरोसा नहीं करना चाहिए।

फ़ेलसेफ़्स लगाएं

क्योंकि कोई भी मानव या एआई मॉडल हर समय डीपफेक का पता नहीं लगा सकता है, व्यवसायों को रक्षा की दूसरी और तीसरी पंक्ति की आवश्यकता होती है। सबसे महत्वपूर्ण बात यह है कि वर्कफ़्लो या तकनीकी रुकावटों को एक गलती से संगठन की सुरक्षा को खतरे में डालने से रोकना चाहिए। बड़े वित्तीय हस्तांतरण के लिए एकाधिक प्राधिकरण चरणों की आवश्यकता एक बेहतरीन उदाहरण है।

किसी को संवेदनशील डेटा तक पहुंच प्रदान करने या पर्याप्त मात्रा में धनराशि भेजने के लिए कई लोगों या प्रमाणीकरण उपायों की आवश्यकता होनी चाहिए। ये रुकावटें दक्षता में बाधा डाल सकती हैं, लेकिन वे कर्मचारियों को अपने कार्यों के बारे में सोचने का समय देते हैं। अधिक लोगों और प्रणालियों को शामिल करने से कंपनी के डीपफेक हमले को पकड़ने की संभावनाओं में भी सुधार होगा।

उभरते खतरों की निगरानी करें

अंत में, ब्रांडों और सुरक्षा विशेषज्ञों को डीपफेक और साइबर अपराध प्रवृत्तियों में शीर्ष पर रहना चाहिए। साइबर अपराध लगातार विकसित हो रहा है, और एआई कई अन्य तकनीकों की तुलना में तेजी से आगे बढ़ रहा है, इसलिए कुछ बचाव या सर्वोत्तम सुरक्षा प्रथाओं का पुराना होना आसान है।

नए जेनरेटिव एआई उपकरण एक महीने में कई बार उभरें , और इनमें से कुछ अपडेट खतरों को और अधिक खतरनाक बना सकते हैं। वैकल्पिक रूप से, कुछ अपडेट डीपफेक फ़िशिंग को रोकने का अधिक प्रभावी साधन प्रदान कर सकते हैं। दोनों परिवर्तनों को पहचानना समान रूप से महत्वपूर्ण है। वर्तमान रुझानों की बार-बार समीक्षा और आंतरिक सुरक्षा प्रक्रियाओं के ऑडिट से व्यवसायों को इन बदलावों के शीर्ष पर बने रहने में मदद मिलेगी।

नए खतरों के बीच साइबर सुरक्षा प्रथाएं विकसित होनी चाहिए

फ़िशिंग भले ही कोई नई बात न हो, लेकिन डीपफेक जैसी नई प्रौद्योगिकियाँ एक खतरनाक आयाम जोड़ती हैं। एआई जितना रोमांचक है, यह पहचानना भी महत्वपूर्ण है कि कैसे साइबर अपराधी उन्हीं उपकरणों का लाभ उठा सकते हैं जो निगम करते हैं। नई तकनीक के साथ-साथ साइबर सुरक्षा प्रथाओं को विकसित करने में विफलता संगठनों को इसका एहसास होने से पहले ही असुरक्षित बना सकती है।

फ़िशिंग हमलों को रोकने के लिए जागरूकता और प्रशिक्षण आवश्यक कदम हैं। जब कर्मचारियों को पता चलेगा कि उन्हें डीपफेक पर नज़र रखनी चाहिए, तो उनके उनके झांसे में आने की संभावना कम होगी। तकनीकी सुरक्षा को बार-बार समायोजित करते समय इस मानवीय तत्व पर जोर देने से कंपनियां इन बढ़ते खतरों के बावजूद सुरक्षित रहेंगी।