यह कोई रहस्य नहीं है कि समाज का तेजी से डिजिटलकरण ने व्यक्तिगत और व्यावसायिक संबंधों को गहराई से बदल दिया है। अध्ययन से पता चलता है कि 2024 में ऑनलाइन धोखाधड़ी के कारण वित्तीय नुकसान 10.1 बिलियन रियाल तक पहुंच गया है, जो पिछले साल की तुलना में 17% की वृद्धि है।
हालांकि, इस परिवर्तन ने साइबर अपराधियों के लिए हमले की सतह को भी बढ़ा दिया है, जो जटिल धोखाधड़ी योजनाओं को अंजाम देने के लिए लगातार सोशल इंजीनियरिंग पर निर्भर हो रहे हैं।
सबसे सामान्य में से हैं फिशिंग, स्मिशिंग और विसिंग — ऐसी प्रथाएँ जो, भले ही उपयोग किए गए तरीकों में भिन्न हों, एक ही उद्देश्य साझा करती हैं: पीड़ितों को धोखा देना ताकि संवेदनशील जानकारी, विशेष रूप से अभिगम क्रेडेंशियल्स, चुराई जा सके। परंपरागत रूप से उपभोक्ताओं के खिलाफ धोखाधड़ी से जुड़ी होने के बावजूद, ये सोशल इंजीनियरिंग के तरीके कॉर्पोरेट वातावरण में भी अत्यंत प्रभावी हैं। धोखेबाज कंपनियों को लक्षित करते हैं ताकि आंतरिक प्रणालियों तक पहुंच प्राप्त की जा सके, आपूर्ति श्रृंखलाओं को प्रभावित किया जा सके और बड़े पैमाने पर वित्तीय धोखाधड़ी की जा सके।
फिशिंग, स्मिशिंग और विसिंग क्या ये समान खतरे हैं?
व्याख्या शुरू करने के लिए, यह समझना महत्वपूर्ण है कि सामाजिक इंजीनियरिंग शब्द का अर्थ है धोखेबाजों द्वारा उपयोग की जाने वाली तकनीकों का एक समूह जो पीड़ितों को भावनात्मक और सामाजिक रूप से नियंत्रित करने के लिए उनका उपयोग करता है, जिससे वे अपने ही हितों के खिलाफ कार्य करें और उनकी सुरक्षा को खतरे में डालें।
फिशिंग इस प्रकार के धोखाधड़ी का सबसे जाना-माना प्रकार है। ईमेल फिशिंग किट्स डार्क वेब पर मिल सकते हैं। जो धोखेबाज इस विषय के विशेषज्ञ नहीं हैं, उनके लिए कोई उनके लिए सेवा करता है। यह आमतौर पर विश्वसनीय संस्थानों जैसे बैंक, रिटेलर या ऑनलाइन सेवाओं के नाम पर ईमेल या संदेश भेजने से संबंधित होता है।
लक्ष्य है प्राप्तकर्ता को धोखा देना ताकि वह खतरनाक लिंक पर क्लिक करे जो नकली साइटों की ओर ले जाते हैं, जो मूल साइटों के बहुत समान होते हैं, ताकि पासवर्ड और अन्य संवेदनशील जानकारी जैसे दस्तावेज़ नंबर या क्रेडिट कार्ड डेटा को पकड़ सकें। सेरप्रो के आंकड़ों के अनुसार, फिशिंग ब्राजील में सबसे अधिक बार होने वाले धोखाधड़ी के प्रकारों में से एक बना हुआ है, और अपराधी अपनी रणनीतियों को बेहतर बनाने के लिए कृत्रिम बुद्धिमत्ता (आईए) और डीपफेक का उपयोग कर अधिक विश्वसनीय और व्यक्तिगत सामग्री बनाने में लगे हुए हैं। हाल ही में एक मामला एक व्यक्ति की गिरफ्तारी का था जो एक अपराधी समूह में शामिल था जो डीपफेक के साथ संशोधित वीडियो का उपयोग करके धोखाधड़ी करता था, जिसमें होस्ट मार्कोस मियन की छवि और आवाज़ का उपयोग किया गया था।
धोखेबाज भी बिजनेस ईमेल समझौता (BEC) और नकली सीईओ धोखाधड़ी जैसी धोखाधड़ी करते हैं, जिनमें ईमेल अधिकारियों के रूप में प्रेषित होते हैं ताकि कर्मचारियों को पैसा स्थानांतरित करने या क्रेडेंशियल प्रदान करने के लिए प्रेरित किया जा सके।
दूसरी ओर, स्मिशिंग (एसएमएस और फिशिंग का संयोजन) पीड़ितों को धोखा देने के लिए टेक्स्ट संदेश का उपयोग करता है। व्हाट्सएप और टेलीग्राम जैसे संदेश ऐप्स के लोकप्रिय होने के साथ, इस विधि ने ताकत हासिल की है, लोगों की जल्दी से जवाब देने की प्रवृत्ति का लाभ उठाते हुए जो संदेश जरूरी या महत्वपूर्ण लगते हैं।
विषिंग (आवाज का फ़िशिंग) टेलीफ़ोन कॉल के माध्यम से किया जाता है, जिसमें ठग कंपनी या संस्था के प्रतिनिधि का रूप धारण करता है। एक प्रेरक टोन, पहले से प्राप्त लीक किए गए डेटा के उपयोग के साथ मिलकर, पीड़ितों को फोन के माध्यम से गोपनीय जानकारी साझा करने के लिए अधिक प्रवृत्त बनाता है। इस तरह का धोखा अधिक से अधिक ब्राज़ीलियाई कंपनियों, विशेष रूप से बड़ी कॉर्पोरेशनों को प्रभावित कर रहा है।
पुराने खातें अपराधियों के लिए सबसे मूल्यवान संपत्ति हैं
इन धोखाधड़ी के बढ़ने का सीधा संबंध खातों पर आधारित पारिस्थितिक तंत्र के मूल्य से है। एक पुराना और भरोसेमंद खाता सीधे पैसे की चोरी से अधिक मूल्यवान है। इसलिए क्योंकि वैध गतिविधियों का इतिहास रखने वाले खातों को पारंपरिक धोखाधड़ी का पता लगाने वाली प्रणालियों द्वारा स्वचालित रूप से पता लगाने की कम संभावना होती है।
धोखेबाज फिशिंग और इसकी विभिन्नताओं का उपयोग मिलकर इन खातों तक पहुंच प्राप्त करने के लिए करते हैं, जिनमें वर्षों का संबंध और लेनदेन हो सकते हैं जो उनकी प्रतिष्ठा को मान्य करते हैं। एक बार अंदर जाने के बाद, अपराधी खरीद इतिहास, व्यवहार के पैटर्न का अध्ययन कर सकता है और कुछ मामलों में, ग्राहक सेवा के साथ भी बातचीत कर सकता है, खुद को खाता धारक के रूप में दिखाते हुए।
नेटहोन की रिपोर्ट में उल्लिखित अनुसार, कुछ धोखेबाज समर्थन कर्मचारियों के साथ संबंध बनाने तक पहुंच जाते हैं, उन्हें धोखा देकर खाते में परिवर्तन करने के लिए जिससे धोखाधड़ी को आसान बनाया जा सके — इस प्रक्रिया को खाता कब्ज़ा (अकाउंट टेकओवर) कहा जाता है। इस प्रकार का हमला न केवल सीधे वित्तीय नुकसान पहुंचाता है, बल्कि डिजिटल प्लेटफार्मों और सेवाओं में विश्वास को भी कमजोर करता है।
कृत्रिम बुद्धिमत्ता और स्वचालन का धोखाधड़ी पर प्रभाव
ऐतिहासिक रूप से, सोशल इंजीनियरिंग अभियानों को योजना, समय और कुछ हद तक मैनुअल व्यक्तिगतकरण की आवश्यकता होती थी। हालांकि, जेनरेटिव भाषा मॉडल (LLMs) के बड़े पैमाने पर अपनाने ने इस परिदृश्य को पूरी तरह से बदल दिया है।
आज, जनरेटिव AI पर आधारित स्वचालित उपकरणों के साथ, अपराधी मिनटों में फ़िशिंग अभियानों को बना और चला सकते हैं। अच्छी तरह से लिखे गए टेक्स्ट, जो पहले प्रवाह या समय की आवश्यकता थी, अब उच्च स्तर की परिष्करण के साथ स्वचालित रूप से उत्पन्न होते हैं। परिणामस्वरूप, इन हमलों का मात्रा और आवृत्ति चिंताजनक रूप से बढ़ गई है।
यह वृद्धि न केवल धोखाधड़ी अभियानों की पहुंच में वृद्धि को दर्शाती है, बल्कि नई AI और स्वचालन आधारित तकनीकों की प्रभावशीलता को भी दर्शाती है।
जो लोग सोचते हैं कि फिशिंग, स्मिशिंग और विशिंग केवल व्यक्तिगत उपभोक्ताओं के लिए ही खतरा हैं, वे गलत हैं। कंपनियां भी इन धोखाधड़ी का अक्सर शिकार होती हैं, विशेष रूप से जब कॉर्पोरेट क्रेडेंशियल्स डार्क वेब पर उजागर होते हैं। नेटहोन के एक विश्लेषण के अनुसार, धोखेबाज कर्मचारियों के लीक हुए डेटा प्राप्त कर सकते हैं, जिससे उन्हें आंतरिक प्रणालियों और संवेदनशील डेटाबेस तक विशेष पहुंच मिल सकती है।
उसके बाद, वे सूक्ष्म हरकतें करते हैं: कंपनी के खरीद या संचालन के व्यवहार का अध्ययन करते हैं, तकनीकी या वाणिज्यिक समर्थन के साथ इंटरैक्शन बनाते हैं और आंतरिक प्रक्रियाओं को धीरे-धीरे नियंत्रित करते हैं ताकि धोखाधड़ीपूर्ण लेनदेन कर सकें बिना तत्काल संदेह पैदा किए। यह अभ्यास न केवल संगठन की सुरक्षा को खतरे में डालता है, बल्कि ग्राहकों और भागीदारों के साथ विश्वास के संबंध को भी प्रभावित करता है।
इन खतरों से कैसे बचें?
फिशिंग, स्मिशिंग और विसिंग के खिलाफ सुरक्षा में तकनीक, प्रक्रियाएं और जागरूकता का संयोजन शामिल है।
शिक्षा और जागरूकता:पहली रक्षा की लाइन हमेशा व्यक्ति ही होता है। उभय कंपनियों और उपयोगकर्ताओं दोनों को इन धोखाधड़ी के सामान्य संकेतों को पहचानने के लिए शिक्षित किया जाना चाहिए, जैसे कि वर्तनी की गलतियाँ, संदेशों में अत्यधिक तात्कालिकता, संवेदनशील जानकारी की माँग और असामान्य संचार चैनल।
मल्टीफैक्टर प्रमाणीकरण (MFA):यह भी कि प्रमाण पत्र समझौता हो जाएं, बहु-स्तरीय प्रमाणीकरण का उपयोग अनधिकृत पहुंच को कठिन बनाता है।
क्रेडेंशियल्स की निगरानी:डार्क वेब में क्रेडेंशियल्स की एक्सपोज़र की निगरानी करने वाले उपकरण आवश्यक हैं ताकि कंपनियों और व्यक्तियों को जल्दी से लीक के बारे में सूचित किया जा सके।
एआई आधारित धोखाधड़ी का पता लगाने वाली प्रणालियाँ:ठीक वैसे ही जैसे अपराधियों को, कंपनियों को भी अनियमित व्यवहार के पैटर्न का पता लगाने के लिए कृत्रिम बुद्धिमत्ता का सहारा लेना पड़ता है, जो संभावित घुसपैठ या धोखाधड़ी के प्रयासों का संकेत दे सकते हैं।
जब विश्वास एक मूल्यवान मुद्रा है, तब क्रेडेंशियल्स की सुरक्षा और सतर्क रहना आवश्यक है ताकि व्यक्तियों और कंपनियों की डिजिटल अखंडता बनी रहे।
