अब तक, साइबर अपराध के खिलाफ लड़ाई में संगठनों की सबसे बड़ी कमजोरी नियंत्रण में रही है: कर्मचारियों को सफलतापूर्वक प्रशिक्षित और संवेदनशील बनाया गया है। लेकिन एआई-जनित सोशल इंजीनियरिंग घोटालों के साथ एक नई लहर आती है। सोफोस में फील्ड सीटीओ एप्लाइड रिसर्च चेस्टर विस्निव्स्की कहते हैं, जब तक तकनीक परिपक्व नहीं हो जाती, तब तक इंसानों को प्रहरी की भूमिका निभानी होगी और भविष्य के लिए तीन भविष्यवाणियां करनी होंगी।
संगठन अपने सबसे महत्वपूर्ण साइबर सुरक्षा घटकों में से एक से जूझ रहे हैं: उनके लोग। वे निरंतर प्रशिक्षण के साथ "मानवीय कमजोरी" का मुकाबला करते हैं और अब अक्सर भरोसा करते हैं कि उपयोगकर्ता भाषाई अनियमितताओं या गलत वर्तनी और व्याकरण के कारण संभावित फ़िशिंग हमलों को पहचान लेंगे, उदाहरण के लिए।
एआई अब वर्तनी की गलतियों से खुद को प्रकट नहीं करता है
लेकिन चैटजीपीटी जैसे एआई-संचालित वॉयस और कंटेंट जेनरेटर घोटालों, फ़िशिंग प्रयासों और अन्य सोशल इंजीनियरिंग हमलों से इन टेलटेल तत्वों को हटाने के अपने रास्ते पर हैं। "पर्यवेक्षक" से एक नकली ईमेल कृत्रिम बुद्धि के लिए पहले से कहीं अधिक भरोसेमंद लग सकता है और कर्मचारियों को निस्संदेह कल्पना से अलग तथ्य को कठिन समय होगा। इन घोटालों के मामले में, एआई भाषा उपकरणों द्वारा उत्पन्न जोखिम तकनीकी नहीं हैं। वे सामाजिक हैं और इसलिए भयावह हैं।
एआई-जनित फ़िशिंग हमलों के विशिष्ट जोखिम
ब्लॉग पोस्ट और कोडिंग कोड बनाने से लेकर पेशेवर ईमेल लिखने तक, AI भाषा उपकरण यह सब कर सकते हैं। प्रौद्योगिकियाँ सम्मोहक सामग्री उत्पन्न करने में निपुण हैं और वे मानव भाषा पैटर्न का अनुकरण करने में बहुत अच्छी हैं।
जबकि हमने अभी तक सामाजिक रूप से निर्मित सामग्री के लिए इन कार्यक्रमों के किसी भी दुरुपयोग को सत्यापित नहीं किया है, हमें संदेह है कि यह आसन्न है। ChatGPT का उपयोग पहले ही मैलवेयर लिखने के लिए किया जा चुका है, और हम उम्मीद करते हैं कि अपराधी कलाकार जल्द ही AI वॉइस टूल्स के लिए दुर्भावनापूर्ण एप्लिकेशन विकसित करेंगे। लेकिन: एआई-जनित फ़िशिंग सामग्री पहले से ही अद्वितीय सामाजिक जोखिम पैदा करती है जो तकनीकी रक्षा को कमजोर करती है!
एआई फ़िशिंग हमले: क्या हर ईमेल ख़तरा हो सकता है?
उदाहरण के लिए एआई-जनित मैलवेयर लें: मौजूदा सुरक्षा उत्पाद मिलीसेकंड में कोडिंग कोड का विश्लेषण कर सकते हैं और इसे सुरक्षित या दुर्भावनापूर्ण के रूप में आत्मविश्वास से मूल्यांकन कर सकते हैं। इससे भी महत्वपूर्ण बात यह है कि प्रौद्योगिकी प्रौद्योगिकी का प्रतिकार कर सकती है।
लेकिन कृत्रिम बुद्धिमत्ता के साथ बनाए गए फ़िशिंग संदेशों में सन्निहित शब्दों और बारीकियों को मशीनों द्वारा नहीं पहचाना जा सकता है - यह मनुष्य ही हैं जो इन घोटाले के प्रयासों को प्राप्तकर्ताओं के रूप में व्याख्या करेंगे। जैसा कि एआई उपकरण मांग पर परिष्कृत और यथार्थवादी सामग्री का उत्पादन करने में सक्षम हैं, हम रक्षा की रेखा के हिस्से के रूप में मनुष्यों पर कम और कम भरोसा कर सकते हैं।
नया तथ्य: प्रौद्योगिकी बनाम प्रौद्योगिकी
इस तेजी से विकसित होने वाली स्थिति में सोशल इंजीनियरिंग हमलों से निपटने में सुरक्षा प्रशिक्षण की भूमिका के पुनर्मूल्यांकन की आवश्यकता है। जबकि एआई-जनित धोखाधड़ी के खिलाफ अभी तक कोई व्यावसायिक अनुप्रयोग नहीं है, मशीन-जनित फ़िशिंग हमलों से व्यक्तियों की पहचान करने और उन्हें बचाने के लिए प्रौद्योगिकी तेजी से एक महत्वपूर्ण उपकरण के रूप में काम करेगी। मनुष्य अभी भी एक भूमिका निभाएगा, लेकिन केवल बहुत छोटी।
चैटजीपीटी युग के लिए तीन भविष्यवाणियां
जबकि हम अभी भी इस नए एआई युग के शुरुआती चरण में हैं, यह पहले से ही स्पष्ट है कि एआई-जनित फ़िशिंग सामग्री कॉर्पोरेट सुरक्षा रणनीति के लिए बेहद महत्वपूर्ण विषय बन जाएगी। ChatGPT को साइबर अपराध के लिए एक उपकरण के रूप में कैसे इस्तेमाल किया जा सकता है और इससे कौन सी सुरक्षा प्रतिक्रियाएँ विकसित होंगी, इसके बारे में निम्नलिखित तीन पूर्वानुमान सबसे अधिक संभावित प्रतीत होते हैं:
1. अधिक जटिल उपयोगकर्ता प्रमाणीकरण आवश्यक हो जाएगा।
मशीनें इंसानों की तरह दिखने में बहुत अच्छी हैं, इसलिए कंपनियों में प्रमाणीकरण के नए विकल्प उपलब्ध कराने की जरूरत है। इसका अर्थ है: प्रत्येक संचार जो कंपनी की जानकारी, सिस्टम या मौद्रिक तत्वों तक पहुंच से संबंधित है, को उपयोगकर्ता प्रमाणीकरण के अधिक जटिल रूपों की आवश्यकता होनी चाहिए। फ़ोन कॉल सत्यापन संभवतः इस प्रकार के ईमेल या संदेशों को सत्यापित करने का सबसे सामान्य तरीका बन जाएगा। कंपनियां खुद को अन्य संस्थाओं या व्यक्तियों को पहचानने के लिए एक गुप्त दैनिक पासवर्ड का भी उपयोग कर सकती हैं।
कुछ वित्तीय संस्थान पहले से ही इस तरह से काम करते हैं। सत्यापन के किसी भी रूप का उपयोग किया जाता है, यह महत्वपूर्ण है कि विधि का उपयोग उन हमलावरों द्वारा आसानी से नहीं किया जा सकता है जिन्होंने उपयोगकर्ता क्रेडेंशियल्स से समझौता किया है।
जैसे-जैसे एआई प्रौद्योगिकियां विकसित होती हैं और ब्रेकनेक गति से फैलती हैं, प्रमाणीकरण विधियों को बनाए रखने की आवश्यकता होती है। उदाहरण के लिए, इस साल जनवरी में, Microsoft ने VALL-E, एक नई AI तकनीक का खुलासा किया, जो ऑडियो रिकॉर्डिंग के तीन सेकंड के बाद एक मानव आवाज का क्लोन बना सकती है। तो निकट भविष्य में, फोन कॉल शायद अब प्रमाणीकरण आवश्यकता के रूप में पर्याप्त नहीं होगा ...
2. वैध उपयोगकर्ता सुरक्षा चेतावनियों को कम करते हैं: सभी या कोई नहीं
चेस्टर विस्नियुस्की, फील्ड सीटीओ एप्लाइड रिसर्च एट सोफोस (छवि: सोफोस)।
कई उपयोगकर्ता ChatGPT का उपयोग पेशेवर या प्रचारात्मक सामग्री को शीघ्रता से तैयार करने के लिए करते हैं। एआई भाषा उपकरणों का यह वैध उपयोग आपराधिक उदाहरणों की पहचान करना कठिन बनाकर सुरक्षा उत्तरों को जटिल बनाता है।
उदाहरण: चैटजीपीटी-जनित टेक्स्ट वाले सभी ईमेल दुर्भावनापूर्ण नहीं होते हैं, इसलिए हम उन सभी को एकमुश्त ब्लॉक नहीं कर सकते। यह, कुछ हद तक, हमारी सुरक्षा प्रतिक्रिया को कम करता है। एक प्रतिउपाय के रूप में, सुरक्षा समाधान प्रदाता "विश्वास बिंदु" या अन्य संकेतक विकसित कर सकते हैं जो इस संभावना का आकलन करते हैं कि एक संदेश या ईमेल, हालांकि एआई-जनित, अभी भी भरोसेमंद है। वे आर्टिफिशियल इंटेलिजेंस के साथ बनाए गए टेक्स्ट को पहचानने के लिए एआई मॉडल को भी प्रशिक्षित कर सकते हैं और यूजर-फेसिंग सिस्टम पर "सावधानी" बैनर लगा सकते हैं। कुछ मामलों में, यह तकनीक कर्मचारी के ईमेल इनबॉक्स के संदेशों को फ़िल्टर कर सकती है।
3. एआई जनित धोखाधड़ी अधिक संवादात्मक हो जाएगी
मुझे उम्मीद है कि भविष्य में फ़िशिंग ईमेल या एक बार के संदेश बनाने के लिए एआई भाषा कार्यक्रमों का अपराधियों द्वारा और भी अधिक अंतःक्रियात्मक रूप से उपयोग किया जाएगा। स्कैमर्स इस तकनीक का इस्तेमाल रीयल-टाइम चैट के जरिए लोगों से छेड़छाड़ करने के लिए कर सकते हैं।
व्हाट्सएप, सिग्नल या टेलीग्राम जैसी मैसेजिंग सेवाएं एंड-टू-एंड एन्क्रिप्टेड हैं, इसलिए ये प्लेटफॉर्म निजी चैनलों में धोखाधड़ी या एआई-जेनरेट किए गए संदेशों को फ़िल्टर करने में असमर्थ हैं। यह उन्हें उन स्कैमर्स के लिए बहुत आकर्षक बना सकता है जो इन प्लेटफॉर्म्स पर अपने पीड़ितों का पीछा करते हैं।
दूसरी ओर, यह विकास संगठनों को अपने सुरक्षा समाधानों को फिर से कॉन्फ़िगर करने के लिए प्रेरित कर सकता है। व्यक्तिगत कर्मचारी अंत उपकरणों पर फ़िल्टर तकनीकों का उपयोग करना आवश्यक हो सकता है।
जब तक नई प्रौद्योगिकियां पकड़ में नहीं आतीं, तब तक निम्नलिखित लागू होता है: सभी संचारों पर अविश्वास करें
एआई भाषा उपकरण साइबर सुरक्षा के भविष्य के लिए आवश्यक प्रश्न पूछते हैं। जो वास्तविक है उसका पता लगाना कठिन होता जा रहा है, और भविष्य के विकास इसे आसान नहीं बना रहे हैं। एआई-संचालित साइबर अपराध के खिलाफ प्रौद्योगिकियां प्राथमिक हथियार होंगी। लेकिन अब कर्मचारियों को हस्तक्षेप करना होगा और सभी संचारों पर अविश्वास करना सीखना होगा। चैटजीपीटी के युग में, यह एक अतिप्रतिक्रिया नहीं है, यह एक महत्वपूर्ण प्रतिक्रिया है।
Sophos.com पर अधिक
सोफोस के बारे में सोफोस पर 100 देशों में 150 मिलियन से अधिक उपयोगकर्ता भरोसा करते हैं। हम जटिल आईटी खतरों और डेटा हानि के विरुद्ध सर्वोत्तम सुरक्षा प्रदान करते हैं। हमारे व्यापक सुरक्षा समाधानों को तैनात करना, उपयोग करना और प्रबंधित करना आसान है। वे उद्योग में स्वामित्व की सबसे कम कुल लागत की पेशकश करते हैं। सोफोस पुरस्कार विजेता एन्क्रिप्शन समाधान, एंडपॉइंट, नेटवर्क, मोबाइल डिवाइस, ईमेल और वेब के लिए सुरक्षा समाधान प्रदान करता है। मालिकाना विश्लेषण केंद्रों के हमारे वैश्विक नेटवर्क सोफोसलैब्स से भी समर्थन प्राप्त है। सोफोस का मुख्यालय बोस्टन, यूएसए और ऑक्सफोर्ड, यूके में है।