तकनीकी डेस्क: एक वक्त था जब साइबर सिक्योरिटी की ट्रेनिंग में एक ही बात गांठ बांधने को कही जाती थी - "किसी भी संदिग्ध ईमेल को मत खोलना!" सच कहूँ तो, उस ज़माने में फर्जी ईमेल या डेटा रिक्वेस्ट को पहचानना बच्चों का खेल था। ईमेल में स्पेलिंग की गलतियां होती थीं, भेजने वाले का एड्रेस अजीबोगरीब लगता था, या फिर कोई विदेशी राजकुमार आपको अपनी करोड़ों की संपत्ति में हिस्सा देने का लालच देता था। लेकिन अब वो दिन बीत गए हैं। साइबर हमलावरों ने अपनी चालें बदल दी हैं, और इसमें उनका सबसे बड़ा साथी बनकर उभरा है आर्टिफिशियल इंटेलिजेंस, जिसे हम AI के नाम से जानते हैं।
जो काम पहले महीनों की कोडिंग और दिमाग खपाने के बाद होता था, अब AI की मदद से कुछ ही की-स्ट्रोक्स में हो जाता है। इसका मतलब ये है कि आज के ज़माने में आने वाले फिशिंग ईमेल इतने चालाक, इतने मौजूदा मुद्दों से जुड़े और इतने पर्सनल होते हैं कि उन्हें पहचानना लोहे के चने चबाने जैसा हो गया है।
ऐसा लगता है, मानो साइबर चोरों ने 'नया भारत' के 'नए तरीके' अपना लिए हों।
पहले किसी को फँसाने के लिए जाल बिछाने में बहुत समय और मेहनत लगती थी। लेकिन अब, 'जेनरेटिव AI' की वजह से, हैकर्स चुटकियों में ऐसे हमलावर 'फ्लो' तैयार कर लेते हैं, जो दिखने में बिल्कुल असली लगते हैं।
इसका सीधा सा मतलब ये है कि अब ईमेल स्पूफिंग या फिशिंग जैसी चीजें सिर्फ बच्चों का खेल नहीं रही हैं, बल्कि ये एक बेहद खतरनाक और मुश्किल चुनौती बन गई हैं।
साइबर चोरों के नए AI हथियार क्या हैं?
आजकल बाजार में AI-पावर्ड अटैक्स की कई किस्में मौजूद हैं, और इनका मुख्य मकसद है लोगों को धोखे से संवेदनशील जानकारी उगलवाना। यूके के बिजनेस लीडर्स के बीच सबसे ज्यादा चिंता AI-जनरेटेड फिशिंग, बिजनेस ईमेल कॉम्प्रोमाइज (BEC) और मैलिशियस AI एजेंट्स को लेकर है।
इनमें से AI-जनरेटेड फिशिंग सबसे बड़ा सिरदर्द बना हुआ है, और इसकी वजह भी एकदम साफ है।
फिशिंग के भी कई नए अवतार सामने आ गए हैं। इनमें डीपफेक वीडियो कॉल और 'विशिंग' (वॉयस फिशिंग) शामिल हैं।
विशिंग एक ऐसी तकनीक है जिसमें हैकर्स फोन कॉल या वॉयस मैसेज के जरिए किसी व्यक्ति या संगठन की नकल करते हैं ताकि सामने वाले से जानकारी निकलवा सकें या उसे बहका सकें।
पिछले कुछ सालों में डीपफेक हमलों के कुछ हाई-प्रोफाइल मामले सामने आए हैं, जिन्होंने सबको हिला कर रख दिया। ऐसा ही एक मामला इंजीनियरिंग फर्म 'अरूप' (Arup) का था, जहां एक कर्मचारी को 25 मिलियन डॉलर (करीब 200 करोड़ रुपये) का चूना लगा दिया गया।
हुआ ये था कि कर्मचारी को एक नकली इंटरनल मीटिंग में फँसाया गया, जो इतनी असली लग रही थी कि उस पर शक करना मुश्किल था। इस मीटिंग के जरिए धोखेबाजों ने करोड़ों रुपये उड़वा लिए।
आजकल 'ईविलजिंक्स' (Evilginx) जैसे फिशिंग किट आसानी से उपलब्ध हैं। इनके दम पर साइबर अपराधी बड़ी आसानी से नकली लॉग-इन पेज या कैप्चा पेज तक बना लेते हैं।
सोचिए, एक 'जावास्क्रिप्ट इंजेक्शन' अटैक के जरिए सिस्टम में सेंध लगाना कितना आसान हो गया है! कुल मिलाकर, AI की मदद से अब हमलावरों के पास सिस्टम में घुसने और डेटा चुराने के और भी चालाक तरीके आ गए हैं। और ये सब कुछ पलक झपकते ही हो जाता है।
AI-जनरेटेड फिशिंग और BEC, क्यों हैं खतरनाक?
AI-जनरेटेड फिशिंग अब सिर्फ ग्रामर की गलतियों वाले ईमेल तक सीमित नहीं है। AI की ताकत से ये ईमेल अब इतने सटीक और पर्सनलाइज्ड होते हैं कि इन्हें पहचानना लगभग असंभव है।
ये किसी कंपनी के सीईओ की आवाज़ की नकल कर सकते हैं, आपके किसी सहकर्मी का चेहरा इस्तेमाल कर सकते हैं, या फिर ऐसा ईमेल लिख सकते हैं जो आपकी कंपनी के आंतरिक संचार जैसा लगे। क्या आप कल्पना कर सकते हैं कि कोई ईमेल आपको अपने मैनेजर से आया हुआ लगे और उसमें कोई लिंक हो, जिस पर क्लिक करते ही आपका सारा डेटा चोरी हो जाए?
बिजनेस ईमेल कॉम्प्रोमाइज (BEC) का मतलब है जब कोई अपराधी किसी कंपनी के ईमेल सिस्टम में सेंध लगाकर खुद को कंपनी का कर्मचारी या अधिकारी दिखाता है, ताकि पैसे ट्रांसफर करवाए जा सकें या संवेदनशील जानकारी चुराई जा सके। AI इसमें कैसे मदद करता है? AI नकली ईमेल को और भी विश्वसनीय बना देता है।
यह किसी अधिकारी की लेखन शैली का विश्लेषण कर सकता है और बिल्कुल वैसी ही भाषा में ईमेल तैयार कर सकता है, जिससे किसी को शक न हो। यह कंपनी के अंदरूनी कामकाज और बातचीत के पैटर्न को भी सीख सकता है, जिससे नकली ईमेल और भी प्रामाणिक लगते हैं।
कुल मिलाकर, अब साइबर सुरक्षा की लड़ाई पहले से कहीं ज्यादा जटिल और चुनौतीपूर्ण हो चुकी है।



































