Phishing-as-a-Service समझाया गया: AI, Deepfakes और बचाव

1. परिचय: Phishing-as-a-Service#

फ़िशिंग अब व्यापक, उच्च-मात्रा वाले ईमेल ब्लास्ट से दूर होकर अधिक लक्षित हमलों की ओर बढ़ रही है जिन्हें अभी भी बड़े पैमाने पर चलाया जा सकता है। रेडी-मेड फ़िशिंग किट अब अपेक्षाकृत अनुभवहीन हमलावरों को प्रभावशीलता के उस स्तर को प्राप्त करने की अनुमति देते हैं जो मुख्य रूप से उन्नत लगातार खतरों (APTs) और राज्य-समर्थित समूहों से जुड़ा हुआ करता था।

इस समस्या का प्रभाव बदतर होता जा रहा है: 2024 IBM/Ponemon डेटा उल्लंघन लागत अध्ययन रिपोर्ट करता है कि फ़िशिंग घटनाओं की औसत वार्षिक लागत लगभग 10% बढ़कर 4.88 मिलियन डॉलर हो गई, जो महामारी के बाद से सबसे महत्वपूर्ण उछालों में से एक है। साथ ही, डीपफेक तकनीक धोखाधड़ी के लिए नए रास्ते खोल रही है: Right Hand Cybersecurity सिंथेटिक मीडिया गतिविधि में साल-दर-साल 680% की वृद्धि की रिपोर्ट करता है, जिससे ऐसे हमले संभव हो जाते हैं जो पारंपरिक सत्यापन प्रोटोकॉल को दरकिनार कर सकते हैं। प्रतिदिन 3.4 बिलियन से अधिक फ़िशिंग ईमेल प्रसारित होते हैं (वैश्विक ईमेल ट्रैफ़िक का लगभग 1.2%) और Google उनमें से हर दिन लगभग 100 मिलियन को ब्लॉक करता है। Anti-Phishing Working Group ने अकेले Q1 2025 में 1,003,924 हमलों को दर्ज किया, जो 2023 के अंत के बाद से उच्चतम स्तर है। फ़िशिंग वास्तविक दुनिया के नुकसान का एक प्राथमिक चालक बना हुआ है, अमेरिकी डेटा उल्लंघनों में 36% का योगदान देता है और 80% से अधिक साइबर हमलों में भूमिका निभाता है। औसत उल्लंघन लागत 4.88 मिलियन डॉलर है, बिज़नेस ईमेल समझौता (BEC) का नुकसान सालाना 2.7 बिलियन डॉलर तक पहुँच जाता है, और रैंसमवेयर (अक्सर फ़िशिंग के माध्यम से शुरू किया जाता है) 44% उल्लंघनों में दिखाई देता है।

इस लेख में, हम इस बारे में सबसे महत्वपूर्ण पहलुओं को कवर करने जा रहे हैं कि पिछले वर्षों में फ़िशिंग-एज़-ए-सर्विस और AI के उपयोग जैसे नए दृष्टिकोणों के साथ फ़िशिंग कैसे बदल गई है। विशेष रूप से ये वे प्रश्न हैं जिन्हें हम लेख में कवर करने जा रहे हैं:

1. Phishing-as-a-Service (PhaaS) क्या है?

2. आधुनिक फ़िशिंग हमलों में कृत्रिम बुद्धिमत्ता (AI) क्या भूमिका निभाती है?

3. संगठन आधुनिक फ़िशिंग से कैसे बचाव कर सकते हैं (तकनीकी नियंत्रण, मानव जोखिम प्रबंधन, और शासन/नीति)?

2. Phishing-as-a-Service (PhaaS) क्या है?#

साइबर अपराध अब विशेषज्ञ हैकर्स के लिए आरक्षित नहीं है। Phishing-as-a-Service (PhaaS) के उदय ने सफल हमले शुरू करने के लिए तकनीकी कौशल की आवश्यकता को बहुत कम कर दिया है। वैध सॉफ़्टवेयर कंपनियों के व्यावसायिक मॉडल की नकल करके, सब्सक्रिप्शन, ग्राहक सहायता और नियमित अपडेट की पेशकश करके, आपराधिक डेवलपर्स ने फ़िशिंग को लगभग किसी के लिए भी सुलभ बना दिया है।

2.1 फ़िशिंग टूल तक पहुंच का कमोडिटाइज़ेशन#

PhaaS बाज़ार एक स्तरित पारिस्थितिकी तंत्र में परिपक्व हो गया है। प्रवेश स्तर पर, नौसिखिए हमलावर ("स्क्रिप्ट किडीज़") कम शुल्क के लिए परिष्कृत बुनियादी ढांचे तक पहुंच किराए पर ले सकते हैं, जबकि उन्नत ऑपरेटर "एंटरप्राइज़" टियर खरीद सकते हैं जो समर्पित होस्टिंग और कस्टम इवेजन क्षमताएं प्रदान करते हैं।

इस आर्थिक संरचना ने गतिविधि में भारी उछाल ला दिया है। अकेले 2025 के पहले दो महीनों में, एक मिलियन से अधिक PhaaS-आधारित हमलों का पता चला, जो इन आपराधिक सेवाओं के लिए एक मजबूत और विस्तारित उपयोगकर्ता आधार का संकेत देता है। इन किटों के लिए मार्केटप्लेस मुख्य रूप से Telegram पर होस्ट किया गया है, जो बिक्री और समर्थन के लिए एक एन्क्रिप्टेड, उच्च-उपलब्धता नियंत्रण तल के रूप में कार्य करता है।

सबसे लोकप्रिय PhaaS प्लेटफ़ॉर्म का विश्लेषण (2025)

निम्नलिखित चार्ट पारिस्थितिकी तंत्र में अन्य खिलाड़ियों की तुलना में Tycoon 2FA के भारी बाज़ार प्रभुत्व को दर्शाता है:

2.2 Tycoon 2FA: फ़िशिंग किट का विस्तृत विश्लेषण#

Tycoon 2FA एक परिष्कृत Phishing-as-a-Service (PhaaS) प्लेटफ़ॉर्म है जिसे टू-फ़ैक्टर (2FA) और मल्टी-फ़ैक्टर ऑथेंटिकेशन (MFA) को बायपास करने के लिए डिज़ाइन किया गया है। यह मुख्य रूप से "Adversary-in-the-Middle" (AiTM) तकनीक का उपयोग करके Microsoft 365 और Gmail खातों को लक्षित करता है। 2025 की शुरुआत तक, Tycoon 2FA बाज़ार में मुख्य खिलाड़ी बन गया, जो लगभग 10 में से 9 फ़िशिंग घटनाओं के लिए ज़िम्मेदार है। इसकी सफलता आधुनिक सुरक्षा फ़िल्टरों से अदृश्य रहने की क्षमता से प्रेरित है। 2025 के एक बड़े अपडेट में, डेवलपर्स ने अपने दुर्भावनापूर्ण कोड को छिपाने के लिए पुरानी रणनीति को उन्नत एन्क्रिप्शन से बदल दिया।

विशेष रूप से, वे अब कोड को स्क्रैम्बल करने के लिए "Caesar cipher" का उपयोग करते हैं और अदृश्य "Hangul Filler" वर्ण (Unicode 3164) डालते हैं। ये वर्ण उपयोगकर्ता से छिपे होते हैं लेकिन उन स्वचालित स्कैनरों को भ्रमित करने का काम करते हैं जो ज्ञात खतरों के डिजिटल "हस्ताक्षर" की तलाश करते हैं। इन किटों को वितरित करने के लिए, Tycoon एक "Living off the Land" रणनीति का उपयोग करता है, जो Amazon S3, Canva और Dropbox जैसी विश्वसनीय, उच्च-प्रतिष्ठा सेवाओं पर अपने जाल को होस्ट करता है।

चूंकि Secure Email Gateways (SEGs) इन प्रसिद्ध डोमेन पर भरोसा करने के लिए प्रोग्राम किए गए हैं, इसलिए फ़िशिंग ईमेल अक्सर फ़िल्टर को पूरी तरह से बायपास कर देते हैं। अंत में, यह सुनिश्चित करने के लिए कि उन्हें सुरक्षा बॉट द्वारा नहीं देखा जा रहा है, हमलावर उपयोगकर्ताओं को नकली लॉगिन पृष्ठ देखने से पहले रीडायरेक्ट और Cloudflare CAPTCHAs की एक जटिल श्रृंखला के माध्यम से भेजते हैं।

2.3 Adversary-in-the-Middle (AiTM) के यांत्रिकी#

आधुनिक PhaaS किट की परिभाषित क्षमता Adversary-in-the-Middle (AiTM) हमला है। यह तकनीक लाइव प्रमाणीकरण सत्र को इंटरसेप्ट करके पारंपरिक क्रेडेंशियल हार्वेस्टिंग को अप्रचलित बना देती है, जिससे मल्टी-फ़ैक्टर ऑथेंटिकेशन (MFA) को दरकिनार किया जा सकता है।

AiTM हमले का आर्किटेक्चर क्लोन साइट से मौलिक रूप से भिन्न होता है।

1. प्रॉक्सी दीक्षा: जब कोई पीड़ित फ़िशिंग URL तक पहुंचता है, तो PhaaS सर्वर (रिवर्स प्रॉक्सी के रूप में कार्य करता है) वैध पहचान प्रदाता (IdP), जैसे login.microsoftonline.com से कनेक्शन शुरू करता है।

2. ट्रैफ़िक मिररिंग: प्रॉक्सी वैध लॉगिन सामग्री को पुनर्प्राप्त करता है और उसे पीड़ित को अग्रेषित करता है। पीड़ित वास्तविक Microsoft लॉगिन पृष्ठ देखता है, यद्यपि दुर्भावनापूर्ण डोमेन पर प्रस्तुत किया गया है।

3. वास्तविक समय रिले: जैसे ही पीड़ित अपने क्रेडेंशियल दर्ज करता है, प्रॉक्सी उन्हें कैप्चर करता है और उन्हें IdP को अग्रेषित करता है।

4. MFA इंटरसेप्शन: जब IdP दूसरे फ़ैक्टर (उदा., SMS कोड या ऑथेंटिकेटर प्रॉम्प्ट) का अनुरोध करता है, तो प्रॉक्सी इस अनुरोध को पीड़ित के सामने मिरर कर देता है।

5. सत्र चोरी: पीड़ित MFA टोकन प्रदान करता है। प्रॉक्सी इसे IdP को अग्रेषित करता है। IdP सत्र को मान्य करता है और एक सत्र कुकी (उदा., ESTSAUTH या ESTSAUTH_PERSISTENT) जारी करता है।

6. उल्लंघन: महत्वपूर्ण रूप से, प्रॉक्सी इस सत्र कुकी को इंटरसेप्ट करता है। यह इसे पीड़ित को वापस नहीं भेजता है (या मूल रखते हुए एक प्रतिलिपि भेजता है)। हमलावर के पास अब एक वैध, प्रमाणित सत्र कुकी है जो उन्हें किसी भी डिवाइस से पीड़ित के खाते तक पहुंचने की अनुमति देता है, पासवर्ड या MFA टोकन की आवश्यकता को तब तक दरकिनार करता है जब तक कि टोकन समाप्त न हो जाए।

Sneaky 2FA जैसी किटों ने प्रशासनिक पैनल की पेशकश करके इसे और परिष्कृत किया है जो हमलावरों को सत्र में मैन्युअल रूप से हस्तक्षेप करने की अनुमति देता है, प्रभावी ढंग से वास्तविक समय में हमले का प्रबंधन करता है।

2.4 Phishing-as-a-Service प्रदाताओं का बुनियादी ढांचा#

PhaaS बुनियादी ढांचे को खत्म करना इसकी विकेंद्रीकृत प्रकृति के कारण बहुत मुश्किल है। जबकि मुख्य "व्यवस्थापक" पैनल ढीले साइबर कानूनों वाले अधिकार क्षेत्र में सर्वर पर होस्ट किए जा सकते हैं, "एज" नोड्स (वास्तविक फ़िशिंग पृष्ठ) अल्पकालिक होते हैं। उदाहरण के लिए, Tycoon 2FA हज़ारों डिस्पोजेबल डोमेन स्पिन अप करने के लिए Domain Generation Algorithm (DGA) का उपयोग करता है। Cloudflare Turnstile भी सुरक्षा स्कैनरों को रोकता है और फ़िशिंग साइटों को आधिकारिक दिखाता है। चूंकि लोगों को वास्तविक वेबसाइटों पर इन जांचों को देखने की आदत है, इसलिए उनके पेज पर भरोसा करने की अधिक संभावना है।

Tycoon 2FA पेज अक्सर "Quishing" (QR Code Phishing) के माध्यम से वितरित किए जाते हैं। QR कोड में दुर्भावनापूर्ण URL होता है, जो प्रभावी रूप से ईमेल सुरक्षा स्कैनरों से खतरे को दूर रखता है जो छवि डेटा को पार्स नहीं कर सकते हैं। इस वेक्टर में साल-दर-साल 25% की वृद्धि देखी गई है, जो विशेष रूप से मोबाइल उपकरणों को लक्षित करता है जिनमें अक्सर कॉर्पोरेट वर्कस्टेशन के एंडपॉइंट सुरक्षा नियंत्रणों का अभाव होता है।

3. कृत्रिम बुद्धिमत्ता (AI) के समय में फ़िशिंग#

यदि PhaaS ने बड़े पैमाने पर शोषण के लिए बुनियादी ढांचा प्रदान किया है, तो कृत्रिम बुद्धिमत्ता ने बुद्धिमत्ता और सामग्री प्रदान की है। साइबर अपराध जीवनचक्र में Generative AI (GenAI) के एकीकरण ने हमलावरों के लिए दो सबसे बड़ी चुनौतियों का समाधान किया है: पैमाना और विश्वसनीयता। "खराब व्याकरण" और "सामान्य अभिवादन" के फ़िशिंग के विश्वसनीय संकेतक के रूप में कार्य करने के दिन अब लद गए हैं।

3.1 "वाइब स्कैमिंग" और नो-कोड टूल का शस्त्रीकरण#

2025 में एक महत्वपूर्ण विकास "वाइब स्कैमिंग" का उद्भव है। यह प्रवृत्ति "वाइब कोडिंग" आदर्श का फायदा उठाती है, जहां उपयोगकर्ता दुर्भावनापूर्ण संपत्ति उत्पन्न करने के लिए प्राकृतिक भाषा के संकेतों का उपयोग करके सॉफ़्टवेयर बनाते हैं।

सॉफ़्टवेयर निर्माण को लोकतांत्रिक बनाने के लिए डिज़ाइन किए गए Lovable जैसे वैध प्लेटफ़ॉर्म साइबर अपराध के इंजन बन गए हैं। Guardio Labs ने दुरुपयोग के प्रति AI एजेंटों के प्रतिरोध का एक बेंचमार्क आयोजित किया, जिसमें पाया गया कि जहां ChatGPT जैसे स्थापित मॉडल ने दुर्भावनापूर्ण अनुरोधों को अस्वीकार करने में अपेक्षाकृत उच्च (8/10) स्कोर किया, वहीं Lovable जैसे नए प्लेटफार्मों ने खतरनाक रूप से कम (1.8/10) स्कोर किया। हमलावर इन उपकरणों को आसानी से संकेत दे सकते हैं, उदा., "एक लॉगिन पोर्टल बनाएं जो एक बड़े बैंक जैसा लगे, आधिकारिक नीले और लाल ब्रांडिंग का उपयोग करता हो, और जिसमें सामाजिक सुरक्षा नंबरों के लिए फ़ील्ड हों", और AI पिक्सेल-परफ़ेक्ट, पूरी तरह कार्यात्मक फ़िशिंग कोड उत्पन्न करता है।

यह क्षमता हमलावरों को पुरानी PhaaS किटों के "टेम्पलेट थकान" को दरकिनार करने की अनुमति देती है। एक मानक Microsoft टेम्पलेट का उपयोग करने के बजाय जिसे रक्षकों ने फिंगरप्रिंट किया है, एक वाइब स्कैमर हर एक अभियान के लिए, या यहां तक कि हर एक पीड़ित के लिए एक अद्वितीय, अनुकूलित लॉगिन पृष्ठ उत्पन्न कर सकता है। Proofpoint ने 2025 की शुरुआत में Tycoon और अन्य मैलवेयर वितरित करने वाले हजारों Lovable-जनरेटेड URL देखे, जो इस बात की पुष्टि करते हैं कि यह कोई सैद्धांतिक खतरा नहीं बल्कि एक बड़े पैमाने पर, सक्रिय वेक्टर है।

3.2 एजेंटिक AI स्वायत्त जासूसी को बढ़ावा देता है#

सामग्री उत्पन्न करने के अलावा, AI का उपयोग अब हमलों को अंजाम देने के लिए भी किया जा रहा है। Generative AI से "Agentic AI" में यह बदलाव सामाजिक इंजीनियरिंग के लिए एक महत्वपूर्ण क्षण का प्रतिनिधित्व करता है:

2024 के अंत में चीनी राज्य-प्रायोजित समूह से जुड़ी एक घटना घटी। इस प्रतिद्वंद्वी ने बड़े पैमाने पर साइबर जासूसी अभियान चलाने के लिए Anthropic के "Claude Code" एजेंट (स्वचालित सॉफ़्टवेयर विकास के लिए अभिप्रेत) का उपयोग किया। इसके नैतिक रेलिंग को दरकिनार करके, हमलावर उच्च-स्तरीय उद्देश्यों के साथ AI को कार्य सौंपने में सक्षम थे। AI एजेंट ने स्वायत्त रूप से टोही का प्रदर्शन किया, विशिष्ट कमजोरियों को लक्षित करने के लिए कस्टम एक्सप्लॉइट कोड लिखा, क्रेडेंशियल काटी, और नेटवर्क में आगे बढ़ा।

यह बल-गुणा एक समर्पित मानव रेड टीम की गहराई और दृढ़ता के साथ एक ही समय में सैकड़ों संगठनों को लक्षित करने के लिए ऑपरेटरों की एक छोटी टीम को अनुमति देता है।

2023 और 2025 के बीच Hoxhunt द्वारा किए गए प्रयोग AI क्षमताओं के तीव्र विकास को प्रकट करते हैं। जैसा कि नीचे दी गई समयरेखा में दिखाया गया है, AI एजेंट 2025 की शुरुआत में मानव प्रभावशीलता की सीमा को पार कर गए, जो विशिष्ट सामाजिक इंजीनियरों की तुलना में 31% कम प्रभावी से 24% अधिक प्रभावी हो गए।

इसके अलावा, अध्ययन बताते हैं कि AI-समर्थित स्पीयर फ़िशिंग अभियान सामान्य अभियानों के लिए बहुत कम दरों की तुलना में 50% से अधिक क्लिक-थ्रू दर प्राप्त कर सकते हैं। लागत में कमी भी उतनी ही नाटकीय है। AI-संचालित अभियानों की लागत मैन्युअल अभियानों का लगभग 1/30वां हिस्सा होती है जबकि बेहतर परिणाम देते हैं।

3.3 केस स्टडी: "Arup हीस्ट" में डीपफेक#

सुरक्षा पर AI के सबसे प्रत्यक्ष प्रभावों में से एक डीपफेक का उदय है, जो अत्यधिक यथार्थवादी, कंप्यूटर-जनित ऑडियो और वीडियो हैं। इन उपकरणों को हमारी इंद्रियों को धोखा देने के लिए डिज़ाइन किया गया है, जिससे किसी व्यक्ति की पहचान को सत्यापित करने की कोशिश करते समय लोगों के लिए अपनी आंखों और कानों पर भरोसा करना मुश्किल हो जाता है। इंजीनियरिंग फर्म Arup से 25 मिलियन डॉलर की 2024 की चोरी धोखाधड़ी के इस नए युग के लिए निश्चित केस स्टडी के रूप में कार्य करती है।

Arup घटना (25 मिलियन डॉलर का नुकसान)

• सेटअप: Arup के हांगकांग कार्यालय के एक कर्मचारी को एक ईमेल प्राप्त हुआ जो ब्रिटेन स्थित मुख्य वित्तीय अधिकारी (CFO) का होने का दिखावा कर रहा था, जिसमें एक गोपनीय वित्तीय लेनदेन का अनुरोध किया गया था। अनुरोध पर संदेह करते हुए, कर्मचारी रुक गया। एक मानक सुरक्षा जागरूकता मॉडल में यह सही प्रक्रिया है।

• बायपास: कर्मचारी की चिंताओं को दूर करने के लिए, हमलावरों ने एक वीडियो कॉन्फ्रेंस कॉल शुरू की।

• धोखा: कर्मचारी कॉल में शामिल हुआ, जिसमें न केवल CFO, बल्कि कई अन्य ज्ञात सहकर्मी भी थे। वे सभी डीपफेक थे, जो वास्तविक समय की वॉयस क्लोनिंग और फेशियल रीनेक्टमेंट तकनीक द्वारा संचालित AI-जनित अवतार थे। "CFO" द्वारा प्रदान की गई दृश्य और श्रवण पुष्टि और अन्य "सहकर्मियों" के सामाजिक प्रमाण ने कर्मचारी की सुरक्षा को पूरी तरह से अभिभूत कर दिया।

• परिणाम: यह आश्वस्त होकर कि वे वैध आदेशों पर काम कर रहे थे, कर्मचारी ने धोखाधड़ी वाले खातों में 200 मिलियन हांगकांग डॉलर (25.6 मिलियन अमेरिकी डॉलर) के कुल 15 वायर ट्रांसफ़र अधिकृत किए।

डीपफेक तकनीक कमोडिटाइज़ हो गई है। डार्क वेब मार्केटप्लेस अब वीडियो के लिए 50 डॉलर और वॉयस क्लोनिंग के लिए 30 डॉलर में "Deepfake-as-a-Service" ऑफ़र करते हैं। तकनीक वास्तविक समय की बातचीत को कम विलंबता के साथ समर्थित करने के लिए उन्नत हुई है, जिससे लाइव फ़िशिंग कॉल व्यवहार्य हो गए हैं। अकेले 2025 की पहली तिमाही में डीपफेक फ़िशिंग हमलों में 1,633% की वृद्धि हुई है।

4. Quishing (QR कोड फ़िशिंग)#

यद्यपि अक्सर AI की छाया में रहता है, "Quishing" (QR कोड फ़िशिंग) समानांतर रूप से बढ़ा है, जो मोबाइल सुरक्षा अंतर का लाभ उठाता है। दुर्भावनापूर्ण QR कोड का उपयोग करने वाले हमलों में साल-दर-साल 25% की वृद्धि हुई।

Quishing के यांत्रिकी को कॉर्पोरेट सुरक्षा को बायपास करने के लिए डिज़ाइन किया गया है। जैसा कि नीचे दी गई प्रक्रिया प्रवाह में चित्रित किया गया है, हमला एक "सुरक्षा अंतर" का लाभ उठाता है जहां उपयोगकर्ता अपने व्यक्तिगत उपकरण के साथ एक एम्बेडेड QR कोड स्कैन करता है, मोबाइल ब्राउज़र में हमले को निष्पादित करने से पहले Secure Email Gateway (SEG) और कॉर्पोरेट एंडपॉइंट सुरक्षा को बायपास करता है।

हमलावर तेजी से "कलात्मक" QR कोड उत्पन्न करने के लिए AI का उपयोग कर रहे हैं जो मार्केटिंग सामग्री में मिल जाते हैं, जिससे उपयोगकर्ता का संदेह और कम हो जाता है।

5. उद्योग और क्षेत्रीय खतरा विश्लेषण#

इन खतरों का प्रभाव एक समान नहीं है। विभिन्न क्षेत्र अपने संपत्ति मूल्य और परिचालन गति के आधार पर PhaaS और AI-संचालित हमलों की अलग-अलग विविधताओं का सामना करते हैं।

5.1 बैंकिंग और वित्त में Phishing-as-a-Service#

वित्तीय क्षेत्र सबसे लक्षित उद्योग बना हुआ है, जो फ़िशिंग हमलों की उच्चतम मात्रा के लिए जिम्मेदार है।

• वाइबस्कैमिंग पोर्टल: हमलावर क्षेत्रीय बैंक लॉगिन पोर्टल के अल्पकालिक, उच्च-निष्ठा वाले क्लोन बनाने के लिए Lovable जैसे उपकरणों का उपयोग करते हैं। ये साइटें अक्सर 24 घंटे से कम समय तक लाइव रहती हैं, जिससे निष्कासन अप्रभावी हो जाता है।

• डीपफेक सत्यापन धोखाधड़ी: एक बढ़ती प्रवृत्ति में टेलीफोन बैंकिंग सुरक्षा सत्यापन पास करने के लिए वॉयस क्लोनिंग का उपयोग करने वाले हमलावर शामिल हैं। खाताधारक का प्रतिरूपण करके, वे स्थानांतरण अधिकृत करते हैं या पासवर्ड रीसेट करते हैं। वरिष्ठ नागरिकों ने विशिंग (vishing) हमलों में 40% की वृद्धि देखी है, जो इन अभियानों की शिकारी प्रकृति को उजागर करता है।

5.2 हेल्थकेयर में Phishing-as-a-Service#

हेल्थकेयर के लिए, फ़िशिंग मुख्य रूप से रैंसमवेयर के लिए एक प्रारंभिक एक्सेस वेक्टर है।

• लागत प्रभाव: हेल्थकेयर में उल्लंघन की औसत लागत 9.77 मिलियन डॉलर है, जो किसी भी उद्योग में सबसे अधिक है।

• परिचालन लालच: हमलावर अस्पताल के कर्मचारियों को "Shift Scheduling", "Patient Portal Admin" या "Payroll Updates" से संबंधित लालच के साथ लक्षित करते हैं। नैदानिक ​​वातावरण की तात्कालिकता कर्मचारियों को इन परिचालन लालच के प्रति अत्यधिक संवेदनशील बनाती है।

• सप्लाई चेन: हमले अक्सर समझौता किए गए वेंडर खातों (उदा., चिकित्सा उपकरण आपूर्तिकर्ता) से उत्पन्न होते हैं, जो संदेह से बचने के लिए विश्वसनीय संबंधों का लाभ उठाते हैं।

5.3 खुदरा और विनिर्माण में Phishing-as-a-Service#

विनिर्माण संगठनों ने 2024 में वैश्विक गिरावट की प्रवृत्ति को धता बताते हुए रैंसमवेयर घटनाओं की सबसे अधिक संख्या देखी।

• विरासत तकनीक: विनिर्माण अक्सर विरासत ऑपरेशनल टेक्नोलॉजी (OT) और पुराने Windows सिस्टम पर निर्भर करता है, जो फ़िशिंग के माध्यम से प्रारंभिक पहुंच प्राप्त होने पर उन्हें ज्ञात कारनामों के प्रति संवेदनशील बनाता है।

• ब्रांड प्रतिरूपण: खुदरा विक्रेताओं को "ब्रांडजैकिंग" का सामना करना पड़ता है, जहां हमलावर उपभोक्ताओं को फ़िश करने के लिए नकली उत्पाद समीक्षा, धोखाधड़ी वाले चालान और नकली शिपिंग सूचनाएं (उदा., "आपके पैकेज में देरी हो रही है") उत्पन्न करने के लिए AI का उपयोग करते हैं।

• APAC वृद्धि: एशिया-प्रशांत क्षेत्र ने 2024 में हमलों में 13% की वृद्धि का अनुभव किया, जो मुख्य रूप से वैश्विक आपूर्ति श्रृंखला के लिए महत्वपूर्ण विनिर्माण केंद्रों पर हमलों से प्रेरित था।

6. PhaaS के खिलाफ रणनीतिक रक्षा और लचीलापन#

पिछले दशक की सुरक्षा (हस्ताक्षर-आधारित पहचान, ब्लैकलिस्ट और बुनियादी उपयोगकर्ता प्रशिक्षण) AI-संचालित, प्रॉक्सी-आधारित हमलों के खिलाफ विफल हो रही हैं। पहचान-केंद्रित रक्षा (Identity-Centric Defense) और व्यवहार विश्लेषण (Behavioral Analysis) में बदलाव आवश्यक है।

6.1 Phishing-as-a-Service के खिलाफ तकनीकी नियंत्रण#

फ़िशिंग की समस्याओं को हल करने के लिए एक ही समय में कुछ वैक्टर को संबोधित किया जाना चाहिए

1. फ़िशिंग-प्रतिरोधी MFA#

• बचाव: प्रशासकों को Conditional Access Policies लागू करनी चाहिए जो विरासत प्रमाणीकरण विधियों को अवरुद्ध करती हैं। यदि किसी उपयोगकर्ता का ब्राउज़र पासवर्ड/SMS प्रवाह में डाउनग्रेड करने का प्रयास करता है, तो लॉगिन अवरुद्ध होना चाहिए।

• उच्चतम एन्क्रिप्शन: FIDO पासकी (FIDO Passkeys) उच्चतम सुरक्षा प्रदान करते हैं क्योंकि वे शारीरिक रूप से क्रेडेंशियल को डिवाइस से बांधते हैं, जिससे रिमोट रीप्ले हमले लगभग असंभव हो जाते हैं।

2. विज़ुअल और बिहेवियरल AI:#

• कंप्यूटर विज़न: सुरक्षा उपकरणों को वेबपेज की प्रस्तुत उपस्थिति का विश्लेषण करना चाहिए। भले ही कोड Caesar ciphers के साथ उलझा हुआ हो, प्रस्तुत पृष्ठ Microsoft लॉगिन जैसा दिखता है। कंप्यूटर विज़न मॉडल इस दृश्य समानता की पहचान कर सकते हैं और साइट को ब्लॉक कर सकते हैं।

• व्यवहार बेसलाइन: Check Point और Proofpoint जैसे प्लेटफ़ॉर्म व्यवहार बेसलाइन की ओर बढ़ रहे हैं। वे ईमेल के इरादे और संदर्भ का विश्लेषण करते हैं (उदा., "क्या CFO के लिए रविवार को रात 11 बजे वायर ट्रांसफर के लिए पूछना सामान्य है?")। प्रेषक की प्रतिष्ठा की परवाह किए बिना विसंगतियां अलर्ट ट्रिगर करती हैं।

6.2 मानव जोखिम प्रबंधन (HRM)#

• डीपफेक ड्रिल: सुरक्षा जागरूकता प्रशिक्षण में अब डीपफेक ऑडियो और वीडियो के संपर्क को शामिल किया जाना चाहिए। कर्मचारियों को खतरे को समझने के लिए एक सुरक्षित वातावरण में इन नकली की गुणवत्ता का अनुभव करने की आवश्यकता है।

• "चुनौती-प्रतिक्रिया" (Challenge-Response) प्रोटोकॉल: संगठनों को वित्तीय लेनदेन के लिए आउट-ऑफ़-बैंड सत्यापन प्रोटोकॉल लागू करना चाहिए। यदि कोई वीडियो कॉल फंड ट्रांसफर का अनुरोध करती है, तो कर्मचारी को द्वितीयक चैनल (उदा., एन्क्रिप्टेड चैट ऐप या किसी ज्ञात आंतरिक नंबर पर फ़ोन कॉल) के माध्यम से इसे सत्यापित करना होगा।

• रिपोर्टिंग संस्कृति: सुरक्षा संस्कृति के लिए सबसे प्रभावी मीट्रिक रिपोर्टिंग दर है। विश्व स्तरीय संगठन 20% से ऊपर रिपोर्टिंग दर प्राप्त करते हैं। प्रभावी प्रशिक्षण कार्यक्रमों वाले संगठन एक वर्ष में फ़िशिंग संवेदनशीलता को 86% तक कम कर सकते हैं।

6.3 नीति और शासन#

• SEC प्रकटीकरण: नए SEC साइबर सुरक्षा प्रकटीकरण नियम (Form 8-K) को भौतिक घटनाओं की त्वरित रिपोर्टिंग की आवश्यकता है। एक राष्ट्र-राज्य अभिनेता के लिए जिम्मेदार 2024/2025 में F5 Networks उल्लंघन ने इन खुलासों की जटिलता को उजागर किया, जहां न्याय विभाग (Department of Justice) राष्ट्रीय सुरक्षा कारणों से देरी का अनुरोध कर सकता है।

• NIS2 निर्देश: यूरोप में, NIS2 निर्देश सख्त घटना रिपोर्टिंग और जोखिम प्रबंधन उपायों को अनिवार्य करता है, संगठनों को फ़िशिंग द्वारा पेश किए गए सहित आपूर्ति श्रृंखला जोखिमों का स्वामित्व लेने के लिए मजबूर करता है।

7. Corbado कैसे मदद कर सकता है#

पासवर्ड और OTP-आधारित MFA को फ़िशिंग-प्रतिरोधी, FIDO-आधारित पासकी (passkeys) से बदलकर, Corbado यह सुनिश्चित करता है कि प्रमाणीकरण क्रिप्टोग्राफ़िक रूप से उपयोगकर्ता के डिवाइस और मूल से जुड़ा हुआ है, जिससे adversary-in-the-middle हमले और सत्र रीप्ले अप्रभावी हो जाते हैं। पासकी को फिर से उपयोग, प्रॉक्सी या एक्सफ़िल्टर नहीं किया जा सकता है, यहां तक कि Tycoon 2FA जैसे अत्यधिक परिष्कृत PhaaS किट द्वारा भी नहीं।

Corbado को वास्तविक दुनिया के उद्यम वातावरण के लिए डिज़ाइन किया गया है: यह मौजूदा प्रमाणीकरण स्टैक में एकीकृत होता है, क्रमिक रोलआउट का समर्थन करता है, और उपयोगकर्ता घर्षण जोड़े बिना मजबूत MFA सक्षम करता है। परिणाम उल्लेखनीय रूप से उच्च सुरक्षा, बेहतर लॉगिन सफलता दर, और बड़े पैमाने पर AI-संचालित फ़िशिंग के खिलाफ एक टिकाऊ बचाव है।

8. निष्कर्ष: Phishing-as-a-Service#

फ़िशिंग खतरे के परिदृश्य का प्रक्षेपवक्र स्वायत्त अनुकूलन की ओर इशारा करता है। हम "स्वचालित" हमलों से "स्वायत्त" हमलों की ओर बढ़ रहे हैं। भविष्य के AI एजेंट केवल एक पूर्व-निर्धारित स्क्रिप्ट को निष्पादित नहीं करेंगे; वे रक्षक की प्रतिक्रिया से सीखेंगे। यदि कोई रक्षक किसी IP को ब्लॉक करता है, तो AI उसे घुमाएगा। यदि कोई रक्षक किसी भेद्यता को पैच करता है, तो AI एक्सप्लॉइट को फिर से लिखेगा।

इस लेख में हमने निम्नलिखित प्रमुख प्रश्नों के उत्तर भी दिए:

1. Phishing-as-a-Service (PhaaS) क्या है? Phishing-as-a-Service एक आपराधिक SaaS-शैली का पारिस्थितिकी तंत्र है जिसमें रेडी-मेड फ़िशिंग किट, बुनियादी ढांचा और समर्थन सब्सक्रिप्शन के माध्यम से बेचे जाते हैं, जिससे कम-कौशल वाले हमलावरों को भी अत्यधिक प्रभावी, स्केलेबल हमले शुरू करने की अनुमति मिलती है, जो अक्सर adversary-in-the-middle तकनीकों के माध्यम से MFA को बायपास करने में सक्षम होते हैं।

2. आधुनिक फ़िशिंग हमलों में कृत्रिम बुद्धिमत्ता क्या भूमिका निभाती है? कृत्रिम बुद्धिमत्ता अत्यधिक विश्वसनीय, बेसपोक लालच ("वाइब स्कैमिंग") उत्पन्न करके, स्वायत्त एजेंटिक हमलों को शक्ति प्रदान करके, और रीयल-टाइम डीपफेक ऑडियो और वीडियो धोखाधड़ी को सक्षम करके फ़िशिंग को स्केल और अनुकूलित करने में सक्षम बनाती है जो मानव सत्यापन और पारंपरिक सुरक्षा नियंत्रणों को हरा सकती है।

3. संगठन आधुनिक फ़िशिंग से कैसे बचाव कर सकते हैं (तकनीकी नियंत्रण, मानव जोखिम प्रबंधन, और शासन/नीति)? संगठनों को फ़िशिंग-प्रतिरोधी, हार्डवेयर-समर्थित प्रमाणीकरण (उदा., FIDO पासकी) और व्यवहार/दृश्य AI पहचान को मानव जोखिम प्रबंधन जैसे डीपफेक जागरूकता और आउट-ऑफ़-बैंड सत्यापन प्रोटोकॉल के साथ जोड़ना चाहिए, जो घटना-रिपोर्टिंग और आपूर्ति-श्रृंखला जोखिम नियमों (उदा., SEC नियम और NIS2) के अनुपालन और मजबूत शासन द्वारा प्रबलित हो।

Corbado के बारे में

Corbado बड़े पैमाने पर consumer authentication चलाने वाली CIAM टीमों के लिए Passkey Intelligence Platform है। हम आपको वह दिखाते हैं जो IDP logs और सामान्य analytics tools नहीं दिखा सकते: कौन-से devices, OS versions, browsers और credential managers passkeys को support करते हैं, क्यों enrollments login में नहीं बदलते, WebAuthn flow कहाँ fail होता है, और कब कोई OS या browser update चुपचाप login को तोड़ देता है — और यह सब Okta, Auth0, Ping, Cognito या आपके in-house IDP को बदले बिना। दो products: Corbado Observe जोड़ता है passkeys और किसी भी अन्य login method के लिए observability। Corbado Connect देता है analytics के साथ built-in managed passkeys (आपके IDP के साथ-साथ)। VicRoads, Corbado के साथ 5M+ users के लिए passkeys चला रहा है (+80% passkey activation)। Passkey विशेषज्ञ से बात करें →

अक्सर पूछे जाने वाले प्रश्न (FAQ)#

वाइब स्कैमिंग क्या है और यह एंटरप्राइज़ सुरक्षा के लिए ख़तरा क्यों है?#

वाइब स्कैमिंग सरल प्राकृतिक भाषा संकेतों से पूरी तरह कार्यात्मक फ़िशिंग पृष्ठ उत्पन्न करने के लिए Lovable जैसे नो-कोड AI प्लेटफॉर्म का फायदा उठाता है। Guardio Labs ने पाया कि दुर्भावनापूर्ण अनुरोधों को अस्वीकार करने में Lovable का स्कोर केवल 1.8/10 था, जबकि ChatGPT का 8/10 था। Proofpoint ने 2025 की शुरुआत में सक्रिय मैलवेयर वितरित करने वाले हजारों Lovable-जनरेटेड फ़िशिंग URL देखे।

Quishing कॉर्पोरेट ईमेल सुरक्षा गेटवे को कैसे बायपास करता है?#

Quishing ईमेल या PDF में QR कोड छवियों के अंदर दुर्भावनापूर्ण URL एम्बेड करता है, जिसे Secure Email Gateways पार्स नहीं कर सकते। पीड़ित अपने व्यक्तिगत स्मार्टफोन से कोड को स्कैन करता है, मोबाइल ब्राउज़र में फ़िशिंग साइट लोड होने से पहले कॉर्पोरेट एंडपॉइंट सुरक्षा को दरकिनार करता है। यह हमले का वेक्टर साल-दर-साल 25% बढ़ा है और इसका पता लगाना लगातार मुश्किल होता जा रहा है।

Arup डीपफेक धोखाधड़ी मामले में क्या हुआ और पहचान सत्यापन के लिए इसका क्या अर्थ है?#

2024 में, हमलावरों ने Arup के एक कर्मचारी को एक वीडियो कॉल का मंचन करके 200 मिलियन HKD (25.6 मिलियन USD) के 15 वायर ट्रांसफर को अधिकृत करने के लिए मना लिया, जिसमें CFO और कई सहकर्मी सभी वास्तविक समय के डीपफेक थे। घटना से पता चलता है कि वीडियो कॉल पर दृश्य और ऑडियो पुष्टि अब द्वितीयक आउट-ऑफ़-बैंड पुष्टिकरण चैनल के बिना एक विश्वसनीय सत्यापन विधि के रूप में काम नहीं कर सकती है।

SMS या ऑथेंटिकेटर ऐप MFA की तुलना में FIDO पासकी PhaaS हमलों के प्रति अधिक प्रतिरोधी क्यों हैं?#

FIDO पासकी (FIDO passkeys) क्रिप्टोग्राफ़िक रूप से उपयोगकर्ता के विशिष्ट डिवाइस और वैध मूल डोमेन से बंधे होते हैं, इसलिए AiTM हमले में एक रिवर्स प्रॉक्सी उन्हें कैप्चर या फिर से नहीं चला सकता है। SMS कोड या OTP टोकन के विपरीत, पासकी कभी भी एक साझा करने योग्य रहस्य प्रसारित नहीं करते हैं, जिससे उन्हें Tycoon 2FA जैसे परिष्कृत प्लेटफॉर्म के लिए भी इंटरसेप्ट करना अप्रभावी हो जाता है।

एक मजबूत सुरक्षा संस्कृति को मापने के लिए किसी संगठन को किस फ़िशिंग रिपोर्टिंग दर का लक्ष्य रखना चाहिए?#

लेख के अनुसार, विश्व स्तरीय संगठन 20% से ऊपर फ़िशिंग रिपोर्टिंग दर प्राप्त करते हैं। प्रभावी प्रशिक्षण कार्यक्रमों वाले संगठन एक वर्ष में समग्र फ़िशिंग संवेदनशीलता को 86% तक कम कर सकते हैं, जिससे तकनीकी नियंत्रण के साथ-साथ रिपोर्टिंग संस्कृति सुरक्षा मुद्रा का एक प्रमुख संकेतक बन जाती है।