$55.5 बिलियन की समस्या जिसके बारे में कोई बात नहीं करता

बिज़नेस ईमेल कॉम्प्रोमाइज़ — या BEC — दुनिया का सबसे आर्थिक रूप से विनाशकारी साइबर अपराध है। FBI के इंटरनेट क्राइम कंप्लेंट सेंटर के अनुसार, BEC ने संचयी रूप से $55.5 बिलियन का वैश्विक नुकसान पहुँचाया है, जिसमें केवल 2024 में $2.77 बिलियन चुराए गए। फिर भी अधिकांश कंपनियों ने इसके बारे में कभी नहीं सुना, और इससे भी कम के पास बचाव है।

BEC काम करता है क्योंकि यह भरोसे का शोषण करता है, तकनीक का नहीं। एक हमलावर CEO, वेंडर, या सहकर्मी का प्रतिरूपण करता है और किसी को पैसे वायर करने, क्रेडेंशियल साझा करने, या भुगतान विवरण बदलने के लिए मना लेता है। ईमेल असली लगते हैं। फोन कॉल असली लगते हैं। और अब, डीपफेक वॉइस क्लोनिंग और वीडियो के साथ, वे सचमुच असली हो सकते हैं — कम से कम मानवीय धारणा के लिए।

$2.77B
केवल 2024 में बिज़नेस ईमेल कॉम्प्रोमाइज़ से नुकसान (FBI IC3)

Arup डीपफेक: एक वीडियो कॉल में $25 मिलियन गायब

फरवरी 2024 में, हॉन्ग कॉन्ग में इंजीनियरिंग फर्म Arup के एक वित्त कर्मचारी ने एक वीडियो कॉन्फ्रेंस में भाग लिया जिसमें कंपनी के CFO और कई सहकर्मी दिखाई दे रहे थे। कॉल पर हर चेहरा एक डीपफेक था। AI-जनित प्रतिभागियों ने पाँच लेनदेन में $25 मिलियन ट्रांसफर करने के निर्देश दिए। कर्मचारी ने अनुपालन किया। जब तक धोखाधड़ी का पता चला, पैसे कई बैंक खातों में गायब हो चुके थे।

यह कोई परिष्कृत राष्ट्र-राज्य हमला नहीं था। यह एक आपराधिक गिरोह था जो व्यावसायिक रूप से उपलब्ध डीपफेक टूल्स का उपयोग कर रहा था। हमला इसलिए सफल हुआ क्योंकि कर्मचारी ऐसे लोगों को देख और सुन सकता था जो बिल्कुल उसके सहकर्मियों जैसे दिख और सुनाई दे रहे थे। दृश्य और श्रवण सत्यापन — मानवीय भरोसे की नींव — पूरी तरह से समझौता हो चुका था।

"हम BEC धोखाधड़ी के हिस्से के रूप में डीपफेक वीडियो और वॉइस का बढ़ता उपयोग देख रहे हैं। जो पहले एक ईमेल पता प्रतिरूपित करने तक सीमित था, अब एक पूरे व्यक्ति को प्रतिरूपित करना शामिल है।" — FBI साइबर डिवीज़न, 2024

MGM Resorts: एक फोन कॉल, $100 मिलियन का नुकसान

सितंबर 2023 में, हैकिंग ग्रुप Scattered Spider ने MGM Resorts के IT हेल्पडेस्क को कॉल किया और एक कर्मचारी का प्रतिरूपण किया। कॉल लगभग 10 मिनट तक चली। LinkedIn से प्राप्त जानकारी का उपयोग करके, कॉलर ने हेल्पडेस्क तकनीशियन को कर्मचारी के क्रेडेंशियल रीसेट करने के लिए मना लिया। उस एक फोन कॉल ने हमलावरों को MGM के पूरे नेटवर्क तक पहुँच दे दी।

परिणाम: लास वेगास भर में स्लॉट मशीनें बंद हो गईं, होटल की-कार्ड काम करना बंद कर दिए, और MGM का संचालन 10 दिनों तक ठप रहा। अनुमानित लागत $100 मिलियन से अधिक थी। सब इसलिए क्योंकि एक IT हेल्पडेस्क कर्मचारी सत्यापित नहीं कर सका कि फोन के दूसरी तरफ वास्तव में कौन था।

विशिंग हमले — वॉइस फिशिंग — पिछले वर्ष में 442% बढ़ गए हैं, सुरक्षा फर्म Hoxhunt के अनुसार। IT हेल्पडेस्क #1 लक्ष्य हैं क्योंकि उनके पास राज्य की चाबियाँ हैं: पासवर्ड रीसेट, MFA नामांकन, और खाता पहुँच।

पारंपरिक सुरक्षा यहाँ क्यों विफल होती है

कंपनियाँ फायरवॉल, एंडपॉइंट डिटेक्शन, और मल्टी-फैक्टर ऑथेंटिकेशन पर अरबों खर्च करती हैं। लेकिन इनमें से कोई भी एक विश्वसनीय इनसाइडर को फोन पर सोशल इंजीनियरिंग से नहीं बचाता। MFA तब मदद नहीं करता जब हमलावर IT को इसे रीसेट करने के लिए मना ले। ईमेल फिल्टर फोन कॉल नहीं पकड़ते। एंडपॉइंट सुरक्षा एक इंसान को वायर ट्रांसफर अधिकृत करने से नहीं रोकती।

  • मल्टी-फैक्टर ऑथेंटिकेशन — हमलावर IT को इसे रीसेट करने के लिए सोशल इंजीनियर करते हैं
  • ईमेल सुरक्षा फिल्टर — जब हमला फोन या वीडियो से आए तो अप्रासंगिक
  • कॉलर ID — कोई भी नंबर दिखाने के लिए आसानी से स्पूफ किया जा सकता है
  • वीडियो कॉल पर दृश्य सत्यापन — रियल-टाइम डीपफेक से पराजित
  • सुरक्षा जागरूकता प्रशिक्षण — कर्मचारियों को फिशिंग ईमेल पहचानना सिखाता है, लाइव वॉइस प्रतिरूपण नहीं

गायब परत: मौखिक सत्यापन

सेफवर्ड वह चीज़ है जो डीपफेक दोहरा नहीं सकता क्योंकि यह किसी सार्वजनिक जानकारी से प्राप्त नहीं है। यह एक साझा रहस्य है — ज्ञान का एक टुकड़ा जो केवल उन लोगों के मन में मौजूद है जिन्होंने व्यक्तिगत रूप से इस पर सहमति दी। कितनी भी LinkedIn स्क्रैपिंग, वॉइस क्लोनिंग, या वीडियो डीपफेकिंग इसे उत्पन्न नहीं कर सकती।

NIST Special Publication 800-63B — US सरकार के डिजिटल पहचान दिशानिर्देश — सार्वजनिक स्विच्ड टेलीफोन नेटवर्क (PSTN) के माध्यम से वॉइस-आधारित आउट-ऑफ-बैंड ऑथेंटिकेशन को स्पष्ट रूप से अनुमोदित करता है। सिद्धांत स्वस्थ है: एक अलग चैनल के माध्यम से साझा ज्ञान का उपयोग करके पहचान सत्यापित करें जिसे हमलावर इंटरसेप्ट नहीं कर सकता।

कार्यस्थल सेफवर्ड कैसे लागू करें

  • ऑल-हैंड्स मीटिंग में व्यक्तिगत रूप से एक टीम सेफवर्ड स्थापित करें — कभी ईमेल या चैट पर नहीं
  • एक नीति बनाएँ: एक सीमा (जैसे, $5,000) से ऊपर किसी भी वित्तीय लेनदेन के लिए मौखिक सेफवर्ड पुष्टि आवश्यक है
  • IT हेल्पडेस्क को पासवर्ड या MFA रीसेट करने से पहले विभाग का सेफवर्ड सत्यापित करना होगा
  • सेफवर्ड को तिमाही में बदलें — अगली व्यक्तिगत बैठक में नया घोषित करें
  • वेंडर भुगतान: भुगतान परिवर्तन अनुरोधों के लिए प्रमुख वेंडरों के साथ सेफवर्ड स्थापित करें
  • कार्यकारी संचार: यदि CEO तत्काल अनुरोध के साथ कॉल करे, तो किसी के भी कार्य करने से पहले सेफवर्ड प्रदान करना होगा

वेंडर प्रतिरूपण: सबसे तेज़ी से बढ़ता BEC वेक्टर

Abnormal AI के अनुसार, आधुनिक BEC हमलों में से 60% में अब कार्यकारी प्रतिरूपण के बजाय वेंडर प्रतिरूपण शामिल है। एक हमलावर वेंडर के ईमेल को कॉम्प्रोमाइज़ करता है, इनवॉइसिंग पैटर्न की निगरानी करता है, और फिर एक विश्वसनीय संदेश भेजता है: "हमारा बैंक खाता बदल गया है। कृपया अपने रिकॉर्ड अपडेट करें और अगला भुगतान इस नए खाते में भेजें।"

आपकी अकाउंट्स पेएबल टीम और प्रत्येक महत्वपूर्ण वेंडर के बीच साझा किया गया सेफवर्ड इसे पूरी तरह रोक देगा। किसी भी भुगतान विवरण परिवर्तन को संसाधित करने से पहले, वेंडर को साझा सत्यापन शब्द प्रदान करना होगा — फोन पर, एक ज्ञात संपर्क को, एक ज्ञात नंबर पर।

रिमोट वर्क ने इसे और बिगाड़ दिया

जब टीमें एक ही ऑफिस में काम करती थीं, तो आप किसी के डेस्क पर जाकर अनुरोध की पुष्टि कर सकते थे। रिमोट और हाइब्रिड वर्क ने वह विकल्प समाप्त कर दिया। अब, सारा सत्यापन डिजिटल चैनलों पर होता है — वही चैनल जिन्हें डीपफेक कॉम्प्रोमाइज़ कर सकते हैं। सेफवर्ड रिमोट इंटरैक्शन में व्यक्तिगत भरोसे की परत को पुनर्स्थापित करते हैं।

आज ही शुरू करें: कार्यस्थल सत्यापन प्रोटोकॉल बनाने के लिए Safewords.io प्रोटोकॉल बिल्डर का उपयोग करें। अपने समूह प्रकार के रूप में "कार्यस्थल" चुनें, अपनी टीम के सदस्यों को जोड़ें, और परिभाषित करें कि सेफवर्ड कब आवश्यक होना चाहिए। सुरक्षा कार्ड प्रिंट करें और अपनी अगली टीम मीटिंग में साझा करें।