शुरुआती दिनों में, फ़िशिंग हमले अक्सर बहुत सरल होते थे और संवेदनशील डेटा तक पहुंच प्राप्त करने के लिए ईमेल जैसे लिखित संचार के वैध स्रोतों का उपयोग किया जाता था।
एआई के युग में, यह विचार करना आकर्षक है कि हमलावर अपने फ़िशिंग तरीकों को कैसे आधुनिक बना रहे हैं। GenAI टूल की बढ़ती लोकप्रियता के साथ, आवाज-आधारित फ़िशिंग हमले - जिन्हें "विशिंग" भी कहा जाता है - नए मानदंड बन गए हैं और हमले के तरीकों का विकास जारी है।
स्प्रिंगबोर्ड के रूप में फ़िशिंग
मैलवेयर उद्योग में फ़िशिंग के महत्व को समझने के लिए किसी हमले की संरचना को देखने से मदद मिलती है। यह आमतौर पर सफल रैंसमवेयर हमले होते हैं जिन पर मीडिया का सारा ध्यान जाता है। हालाँकि, ब्लैकमेल ट्रोजन का सफल प्लेसमेंट पहले से ही एक संक्रमण चक्र का अंत है जो खतरनाक फिरौती की मांग या डेटा हानि की ओर ले जाता है। इस तरह के हमले की तैयारी का चरण सुर्खियों में बहुत कम है, हालांकि रक्षात्मक रणनीति यहां पहले से ही शुरू होनी चाहिए। पीड़ित स्काउटिंग चरण में, आधुनिक फ़िशिंग तरीके एक महत्वपूर्ण भूमिका निभाते हैं जिसका आईटी संगठनों को जवाब देना चाहिए।
जब मैलवेयर अभिनेता किसी संगठन की हमले की सतह का निर्धारण करते हैं तो फ़िशिंग तंत्र एक भूमिका निभाते हैं। रुचि का फोकस अक्सर व्यक्तिगत एक्सेस डेटा या किसी सिस्टम तक पहुंच प्राप्त करने के लिए शून्य-दिन मैलवेयर की नियुक्ति होता है। चूंकि हमलावर अपने भ्रामक युद्धाभ्यास के लिए एआई प्रवृत्ति पर भी भरोसा कर रहे हैं, इसलिए संगठनों को अपने रक्षा तंत्र को मजबूत करना चाहिए, उदाहरण के लिए आधुनिक व्यवहार-आधारित मैलवेयर विश्लेषण तकनीकों का उपयोग करना।
वैयक्तिकृत फ़िशिंग हमले
पीड़ितों को लुभाने का दायरा साधारण जन-दर्शक ईमेल घोटालों से लेकर वैयक्तिकृत हमलों तक विकसित हुआ है। जैसे-जैसे प्रशिक्षण के माध्यम से पारंपरिक फ़िशिंग अभियानों के बारे में जागरूकता बढ़ी है, विरोधियों ने नए चैनल और तकनीकों की खोज की है। इसके मुताबिक, हाल ही में फर्जी फोन कॉल और विशिंग में बढ़ोतरी हुई है। एआई वॉयस क्लोनिंग टूल का उपयोग करके प्रबंधक की वास्तविक आवाज की नकल की जाती है। ये उपकरण पहले मानव आवाज की विशेषताओं को परिभाषित करते हैं और फिर विभिन्न संदेशों को पढ़ते समय उस आवाज की पूरी तरह से नकल करने के लिए सिस्टम को प्रशिक्षित करने के लिए कृत्रिम बुद्धिमत्ता का उपयोग करते हैं। पारंपरिक फ़िशिंग तकनीकों के संयोजन में, नकली आवाज़ों, यानी तथाकथित नकली आवाज़ों को पहचानना कठिन होता जा रहा है।
वॉयस क्लोनिंग के अलावा, एक और फ़िशिंग तरीका पेश किया जाएगा। "क्विशिंग" में छवि के पीछे छिपे एक दुर्भावनापूर्ण लिंक के साथ ईमेल के माध्यम से एक क्यूआर कोड भेजना शामिल है। ऐसी विधि से दुर्भावनापूर्ण कोड का पता लगाना कठिन हो जाता है क्योंकि सुरक्षा उपकरण अक्सर प्रभावी नहीं होते हैं। इससे विशेष रूप से उन निजी सेल फोन वाले कर्मचारियों के लिए जोखिम बढ़ जाता है जो पर्याप्त रूप से संरक्षित नहीं हैं। फ़िशिंग तकनीकों में इन विकासों को बनाए रखने के लिए, शून्य विश्वास मानसिकता की अनुशंसा की जाती है। न केवल तकनीकी सुरक्षा समाधान के रूप में, बल्कि मानवीय स्तर पर भी। छिपे हुए खतरों को क्रियान्वित करने से रोकने के लिए कार्यबल को असामान्य संचार, सामग्री या अज्ञात प्रेषकों पर स्वस्थ संदेह प्रदर्शित करना चाहिए।
भरोसा अच्छा है, नियंत्रण बेहतर है
बेशक, मानव सुरक्षा के अलावा, आधुनिक फ़िशिंग के बढ़ते खतरे से निपटने और संवेदनशील जानकारी की सुरक्षा के लिए साइबर सुरक्षा रणनीतियों को भी अनुकूलित किया जाना चाहिए। हालाँकि, आज कर्मचारी उपलब्ध सुरक्षा समाधानों पर बहुत अधिक भरोसा करते हैं और संदिग्ध संचार से निपटने के दौरान पर्याप्त सावधानी नहीं बरतते हैं। किसी ऐसे व्यक्ति का फ़ोन कॉल जिसके बारे में आपको लगता है कि आप जानते हैं, लेकिन जो असामान्य या अप्रत्याशित अनुरोध करता है, उससे हमेशा पूछताछ की जानी चाहिए। ऐसी स्थिति में कर्मचारियों को कार्रवाई करने से पहले सावधानी बरतने की सलाह दी जाती है। संदेह की स्थिति में, कॉलबैक यह सुनिश्चित करता है कि अजीब स्थिति स्पष्ट हो गई है और कॉल करने वाले को प्रमाणित किया गया है, जिससे बहुमूल्य जानकारी सुरक्षित हो जाती है।
चूँकि आज के मिश्रित कार्य परिवेश में सत्यापन के लिए आमने-सामने बातचीत हमेशा संभव नहीं होती है, इसलिए प्राप्त संचार को सत्यापित करने के लिए एक अलग चैनल चुनने की सिफारिश की जाती है। उदाहरण के लिए, यदि आपको व्हाट्सएप के माध्यम से किसी विशिंग कॉल पर संदेह है, तो यह सुनिश्चित करने की सलाह दी जाती है कि फोन पर बात करने वाला व्यक्ति वही है जो वे कहते हैं कि वे मोबाइल फोन कॉल, स्लैक संदेश या ईमेल के माध्यम से हैं। समझौते से बचने के लिए, कर्मचारियों को यह भी सुनिश्चित करना चाहिए कि वे व्यक्तिगत जानकारी या पासवर्ड कभी भी फोन पर या ईमेल के माध्यम से साझा न करें, यदि ऐसा करने का अनुरोध किया गया हो। कार्यबल को एक बात बताई जानी चाहिए: सिस्टम में डेटा या संसाधनों तक पहुंचने के लिए किसी अन्य कर्मचारी के पासवर्ड का आंतरिक रूप से उपयोग करने की कोई आवश्यकता नहीं है। ऐसे अनुरोध के साथ भी, संवेदनशील डेटा को आगे बढ़ाने से पहले खतरे की घंटी बजनी चाहिए।
और अधिक ध्यान
चूंकि फ़िशिंग अक्सर समझौते की श्रृंखला की शुरुआत होती है, इसलिए इस सोशल इंजीनियरिंग रणनीति पर अधिक ध्यान दिया जाना चाहिए - न कि केवल डेटा सुरक्षा दिवस पर। कंपनियों को एआई पर आधारित नए हमले के विकल्पों के खिलाफ खुद को तैयार करना चाहिए, क्योंकि इससे हमले खतरे के एक नए स्तर पर पहुंच जाते हैं। इस चुनौती का समाधान करके, कंपनियां अधिक लचीली साइबर सुरक्षा संस्कृति को बढ़ावा दे सकती हैं और संवेदनशील डेटा की प्रभावी ढंग से सुरक्षा कर सकती हैं।
मूलमंत्र शून्य विश्वास मानसिकता को मानवीय स्तर पर लाना होना चाहिए। इसका मतलब यह है कि कार्यबल को सूचना के एक स्रोत पर परोक्ष रूप से भरोसा न करने के लिए प्रशिक्षित किया जाना चाहिए, बल्कि इसे हमेशा दूसरे माध्यम से जांचने के लिए प्रशिक्षित किया जाना चाहिए। यह और भी महत्वपूर्ण हो जाएगा क्योंकि एआई भविष्य में गलत सूचना और दुष्प्रचार अभियानों में महत्वपूर्ण भूमिका निभाएगा।
Zscaler.com पर अधिक
ZScaler के बारे में Zscaler डिजिटल परिवर्तन को तेज करता है ताकि ग्राहक अधिक चुस्त, कुशल, लचीला और सुरक्षित बन सकें। Zscaler Zero Trust Exchange कहीं भी लोगों, उपकरणों और एप्लिकेशन को सुरक्षित रूप से कनेक्ट करके हजारों ग्राहकों को साइबर हमले और डेटा हानि से बचाता है। एसएसई-आधारित ज़ीरो ट्रस्ट एक्सचेंज दुनिया का सबसे बड़ा इनलाइन क्लाउड सुरक्षा मंच है, जो दुनिया भर के 150+ डेटा केंद्रों में वितरित किया जाता है।
विषय से संबंधित लेख