साइबर सुरक्षा की एक जानी-मानी समस्या यह है कि हमले लगातार रचनात्मक होते जा रहे हैं, ऑनलाइन सुरक्षा पेशेवरों को चुनौती दे रहे हैं और इसके परिणामस्वरूप उन्हें अक्सर अभूतपूर्व पैमाने पर हमले देखने को मिल रहे हैं। किन उदाहरणों ने सीमाओं को सबसे ज़्यादा आगे बढ़ाया है?
1. डायर बैंकिंग घोटाला
हैकर्स सबसे ज़्यादा आकर्षक क्षेत्रों को निशाना बनाना पसंद करते हैं, इसलिए इसमें कोई आश्चर्य की बात नहीं है कि बैंक अक्सर साइबर हमलों का शिकार होते हैं। वे या तो खतरे में पड़े व्यवसाय होते हैं या फिर ऐसे विषय होते हैं जिनका उद्देश्य उपभोक्ताओं को उनके बैंकिंग संस्थानों से आने वाले ईमेल प्राप्त करने के बाद विशिष्ट कार्रवाई करने के लिए लुभाना होता है।
बैंकिंग-विशिष्ट घोटाले का पता सबसे पहले 2014 में चला जिसमें डायर मैलवेयर का इस्तेमाल किया गया था, जिसने पीड़ितों के ब्राउज़रों को खतरे में डाल दिया और वित्तीय संस्थानों के प्लेटफ़ॉर्म और अन्य सुरक्षित इंटरफ़ेस में लॉग इन करने के लिए क्रेडेंशियल चुरा लिए। यह घोटाला तब शुरू हुआ जब किसी को एक ईमेल अटैचमेंट मिला जिसमें कथित तौर पर एक अवैतनिक चालान था। इसके अतिरिक्त, अटैचमेंट में मैलवेयर था जिसे प्राप्तकर्ताओं के एडोब रीडर सॉफ़्टवेयर में अप्रकाशित कमजोरियों का फायदा उठाने के लिए डिज़ाइन किया गया था।
इन पहलुओं से साइबर अपराधियों की रचनात्मक सोच का पता चलता है। सबसे पहले, उन्हें पता था कि किसी इनवॉइस के बारे में ऐसा अस्पष्ट लेकिन प्रासंगिक लगने वाला अटैचमेंट नाम लोगों की रुचि को आकर्षित करेगा। चूँकि जीवन इतना व्यस्त हो सकता है, इसलिए कभी-कभी कोई व्यक्ति चीज़ों का भुगतान करना भूल सकता है। फ़ाइल नाम में वर्तनी की गलतियाँ इस साइबर हमले की खास विशेषताएँ थीं, लेकिन अपराधियों को शायद उम्मीद थी कि लोग इस पर ध्यान नहीं देंगे या परवाह नहीं करेंगे।
स्कैमर्स ने यह भी सही माना कि उनके लक्ष्य अपने एडोब सॉफ़्टवेयर को अक्सर अपडेट नहीं करेंगे, जिससे उद्यमी हैकर्स के लिए कई संभावित प्रवेश बिंदु बन गए। एक बार जब कोई व्यक्ति चाल में फंस गया और अनुलग्नक डाउनलोड कर लिया, तो मैलवेयर ने खुद को कॉपी किया और उस व्यक्ति के कंप्यूटर पर प्रतीत होता है कि निर्दोष "Google अपडेट सेवा" बना दी। फिर इसने रजिस्ट्री कुंजियाँ सेट कीं और हैकर्स को भेजने से पहले कीस्ट्रोक डेटा लॉग करना शुरू कर दिया।
2016 तक, संयुक्त राज्य अमेरिका के सरकारी प्राधिकारी विक्रेताओं के उत्पादों ने इस खतरे का पता लगा लिया था। हालाँकि, पता लगाने के लिए लोगों को नियमित रूप से ऐसे उपकरणों का उपयोग और अद्यतन करने की आवश्यकता होती है।
बैंक कर्मचारी सख्त नियमों का पालन कर रहे हैं धोखाधड़ी को रोकने के लिए अपने ग्राहक को जानें प्रक्रियाएं और जोखिम प्रोफाइल स्थापित करें। ये निस्संदेह आवश्यक हैं, लेकिन यह घोटाला दिखाता है कि जब ग्राहक मैलवेयर के झांसे में आ जाते हैं तो कितनी आसानी से चीजें गलत हो सकती हैं।
2. WPP डीपफेक घोटाला
जैसे-जैसे तकनीकें उन्नत हुई हैं, साइबर अपराधियों की उनका शोषण करने की रचनात्मकता भी बढ़ी है। आर्टिफिशियल इंटेलिजेंस (AI) इतना विश्वसनीय हो गया है कि उपभोक्ताओं को यह सीखना पड़ा है कि वे विस्तृत डीपफेक के कारण जो कुछ भी देखते या सुनते हैं, उस पर वे जरूरी तौर पर भरोसा नहीं कर सकते।
ब्रिटिश बहुराष्ट्रीय विज्ञापन और जनसंपर्क कंपनी WPP के सीईओ मार्क रीड के लिए यह स्थिति सबसे आगे आई। कार्यकारी ने हाल ही में एक डीपफेक घोटाले का विवरण दिया, जिसमें कई प्लेटफ़ॉर्म और मीडिया प्रकारों का शोषण किया गया।
रीड ने बताया कि कैसे हैकर्स ने एक नया व्हाट्सएप अकाउंट बनाया और प्रोफाइल पिक्चर के रूप में उनकी सार्वजनिक रूप से उपलब्ध तस्वीर का इस्तेमाल किया। उन्होंने इसका इस्तेमाल माइक्रोसॉफ्ट टीम्स पर एक अन्य वरिष्ठ अधिकारी के साथ मीटिंग शेड्यूल करने के लिए किया, जिसे लगा कि वे रीड के साथ बातचीत कर रहे हैं।
बैठक के दौरान, साइबर अपराधियों ने रीड की आवाज़ का क्लोन और YouTube फुटेज का इस्तेमाल किया, जबकि वे माइक्रोसॉफ्ट टीम्स चैट विंडो में एक साथ बातचीत कर रहे थे ताकि वे उसके जैसे दिखें और नेता की तरह दिखने, सुनने और पढ़ने वाली सामग्री के साथ अन्य सहभागियों को बेवकूफ़ बना सकें। लक्ष्य एक एजेंसी प्रमुख को एक नया व्यवसाय स्थापित करने के लिए राजी करना था, जिसके बाद घोटालेबाज उनसे वित्तीय और व्यक्तिगत विवरण प्राप्त कर लेते थे।
यह घोटाला विफल हो गया, और पढ़ें जिम्मेदार ठहराया , जिसमें लक्षित कार्यकारी अधिकारी भी शामिल है, जिसने हैकर्स की उम्मीद के मुताबिक जवाब नहीं दिया। सीईओ ने बताया कि कैसे सभी को तेजी से जटिल चालों से सावधान रहना चाहिए, जिसमें किसी के ईमेल इनबॉक्स से परे जाने वाली चालें भी शामिल हैं।
कुछ तकनीकी विशेषज्ञों का सुझाव है कि ब्लॉकचेन लोगों की मुखर विशेषताओं को सुरक्षित रखने के लिए आदर्श है। दुर्भावनापूर्ण पक्षों को छेड़छाड़ से रोकना प्रमाणित क्लिप के साथ। हालाँकि, चूँकि प्रसिद्ध हस्तियों की आवाज़ें टेलीविज़न, रेडियो, यूट्यूब और यहाँ तक कि ऑडियोबुक पर भी होती हैं, इसलिए प्रेरित साइबर अपराधियों के पास उपयोग करने के लिए बहुत सारा डेटा होता है।
3. छोटे व्यवसायों को लक्षित करने वाले भ्रामक AI विज्ञापन
कोई भी कंपनी या व्यक्ति साइबर घोटालों से पूरी तरह सुरक्षित नहीं है, लेकिन सफलतापूर्वक आयोजित हमलों के प्रभाव कुछ पीड़ितों के लिए दूसरों की तुलना में अधिक विनाशकारी होते हैं। छोटे व्यवसाय इसके बेहतरीन उदाहरण हैं क्योंकि ऐसे संगठनों में अक्सर पूरी तरह और जल्दी से उबरने के लिए संसाधनों की कमी होती है।
हालाँकि, 2023 के एक अध्ययन से पता चला है कि, पिछले वर्ष के दौरान डेटा उल्लंघन या दोनों। 2024 की रिपोर्ट में साइबर हमले पाए गए सर्वेक्षण में शामिल उत्तरदाताओं में से अधिकांश ने कहा कि वे खतरे की गंभीरता को समझते हैं।
दुर्भाग्य से, घोटालेबाजों को पता है कि छोटे व्यवसाय के मालिक बेहतरीन लक्ष्य होते हैं और वे पीड़ितों की नई तकनीक के साथ अपने वर्कफ़्लो को बेहतर बनाने की इच्छा का फ़ायदा उठा सकते हैं। छोटे व्यवसायों के खिलाफ़ एक घोटाले का मामला ऐसा ही था जिसने Google के अधिकारियों का ध्यान खींचा और परिणामस्वरूप कंपनी ने घोटालेबाजों के खिलाफ़ मुकदमा दायर किया।
रणनीति Google Bard पर केंद्रित थी - एक बड़ी भाषा मॉडल जिसे अब जेमिनी के नाम से जाना जाता है। टेक कंपनी का पहला मुकदमा उन बुरे लोगों के खिलाफ था जिन्होंने सोशल मीडिया प्रोफाइल और विज्ञापन बनाकर छोटे-छोटे व्यवसाय मालिकों को Bard डाउनलोड करने के लिए प्रोत्साहित किया।
हालाँकि, Google ने लोगों को इसका उपयोग करने के लिए कुछ भी डाउनलोड करने की आवश्यकता नहीं बताई; इसके बजाय, इसने अपने कई मौजूदा उत्पादों में इस टूल को एकीकृत किया। जो लोग इस घोटाले के झांसे में आए, उन्हें उम्मीद थी कि कुछ डाउनलोड करने से वे Bard का उपयोग कर पाएँगे। इसके बजाय, इसने उन्हें मैलवेयर दिया जिसने उनके सोशल मीडिया प्रोफाइल को खतरे में डाल दिया।
अप्रैल से नवंबर 2023 तक, Google ने लगभग इस घोटाले के साथ। इसने अपराधियों को इसी तरह की साइटें स्थापित करने से रोकने और डोमेन रजिस्ट्रार के पास वर्तमान में मौजूद उन साइटों को निष्क्रिय करने का आदेश मांगा।
यह घोटाला अपनी रचनात्मकता के कारण उल्लेखनीय था, क्योंकि इसमें गूगल की ब्रांड पहचान और लोगों की नए उत्पाद को आजमाने की रुचि का लाभ उठाकर व्यापार संचालन को अधिक सुविधाजनक बनाया गया।
झूठ के साथ मिला हुआ सच
ये रचनात्मक साइबर घोटाले साबित करते हैं कि उन्हें अंजाम देने वाले लोग अपने लक्ष्य को हासिल करने के लिए किसी भी हद तक जा सकते हैं। यहां तक कि जब प्रयास सफल नहीं होते हैं - जैसा कि WPP डीपफेक मामले में हुआ - तो वे चेतावनी बन जाते हैं कि लोगों को हमेशा सावधान रहना चाहिए कि चीजें वैसी न हों जैसी वे दिखती हैं। आखिरकार, अधिकांश ऑनलाइन घोटालों में झूठ के साथ-साथ सच्चाई भी होती है।
Google Bard नामक एक उत्पाद था, लेकिन इसका उपयोग करने के लिए सॉफ़्टवेयर डाउनलोड करने की आवश्यकता नहीं थी। मार्क रीड WPP के सीईओ हैं, लेकिन उन्होंने कभी भी नया व्यवसाय स्थापित करने के बारे में उस बैठक की व्यवस्था नहीं की या उसमें भाग नहीं लिया। ये मामले कार्य करने से पहले सावधानी से सोचने और ऐसे निर्णय लेने से पहले दावों की पुष्टि करने के महत्व को उजागर करते हैं जिनके विनाशकारी परिणाम हो सकते हैं।
