धोखाधड़ी का भविष्य पहले ही आ चुका है, बस अभी समान रूप से फैला नहीं है

 (manishearth.github.io)
1 पॉइंट द्वारा GN⁺ 6 시간 전 | 1 टिप्पणियां | WhatsApp पर शेयर करें
  • LLM भर्ती इंटरव्यू, परिवार की आपातकालीन संपर्क स्थिति, बैंक ईमेल, रोमांस जैसे व्यक्तिगत बहानों के साथ कस्टमाइज़्ड धोखाधड़ी चला सकते हैं, और अकाउंट टेकओवर के बाद लंबे समय तक निगरानी तथा आगे के हमलों तक जा सकते हैं
  • पारंपरिक धोखाधड़ी आम तौर पर कम-लागत वाले बड़े पैमाने के प्रसार और अधिक-लागत वाले लक्षित हमलों में बंटी थी, लेकिन LLM इनके बीच की खाई भरते हुए लक्षित हमलों को सस्ते में दोहराने योग्य बना रहे हैं
  • 2024 के एक पेपर ने LLM-आधारित spearphishing ईमेल की लागत लगभग 4 सेंट प्रति ईमेल आंकी, और भर्ती-धोखाधड़ी परिदृश्य अधिक जटिल होने के बावजूद 2026 की LLM क्षमताओं के साथ व्यावहारिक हो सकता है
  • “स्वाभाविक लेखन”, “मजबूत वेब उपस्थिति”, “फोन·वीडियो कॉल से पुष्टि” जैसी heuristics पहले लागत और क्षमता के प्रॉक्सी थे, लेकिन voice cloning·real-time deepfake के कारण इनकी विश्वसनीयता कमजोर हो रही है
  • बचाव के लिए सिर्फ हर संदेश पर अधिक संदेह करना काफी नहीं है; परिवार के बीच मौखिक पासवर्ड, अलग चैनल से पुष्टि, स्वयं शुरू किए गए चैनलों पर अधिक भरोसा, और hardware 2FA जैसी नई आदतों की जरूरत है

LLM द्वारा बनाया गया भर्ती-धोखाधड़ी परिदृश्य

  • एक नौकरी खोजने वाले को LinkedIn पर उसके लिए उपयुक्त दिखने वाला जॉब ऑफर मिलता है, और वह एक प्रसिद्ध कंपनी की अच्छी शर्तों वाली लगने वाली इंटरव्यू प्रक्रिया में शामिल होता है
  • इंटरव्यू से पहले NDA पर हस्ताक्षर के लिए वह एक ऐसे प्लेटफ़ॉर्म में लॉगिन करता है जो किसी legal SaaS जैसा दिखता है, और “Sign in with Google/iCloud” जैसे flow का उपयोग करता है
  • लॉगिन स्क्रीन असली जैसी दिखती है, और उपयोगकर्ता द्वारा डाला गया पासवर्ड तथा “डिवाइस पर Yes दबाएँ” वाला 2FA flow हमलावर दूसरी तरफ वास्तविक अकाउंट लॉगिन के लिए इस्तेमाल करता है
  • हमलावर session cookie सहेज लेता है, और उपयोगकर्ता को सब कुछ सामान्य लॉगिन जैसा दिखाकर अकाउंट एक्सेस छिपा देता है
  • उसके बाद इंटरव्यू और अस्वीकृति सूचना एक ऐसे नाटक की तरह काम करते हैं जिससे पीड़ित को संदेह न हो
  • कुछ महीनों बाद पीड़ित को पता चलता है कि उसकी पहचान का दुरुपयोग हुआ, उसके नाम पर क्रेडिट कार्ड खर्च हुए, उसके ब्रोकरेज अकाउंट से कुछ लीक हुआ, और ईमेल व कई ऑनलाइन अकाउंट्स तक उसकी पहुँच चली गई

अकाउंट टेकओवर के बाद संभावित हमला प्रवाह

  • हमलावर ईमेल और अकाउंट्स तक लगातार पहुँच बनाए रखते हुए उपयोगकर्ता के व्यवहार पैटर्न पर नजर रख सकता है
    • लक्ष्य अकाउंट से जुड़े चेतावनी ईमेल पहले से फ़िल्टर कर सकता है ताकि नोटिफिकेशन पीड़ित तक न पहुँचे
    • cloud files डाउनलोड कर सकता है, और उसी अकाउंट से अन्य साइटों में लॉगिन भी कर सकता है
    • पीड़ित की जानकारी से क्रेडिट कार्ड खुलवा सकता है
  • वित्तीय अकाउंट से सीधे पैसा निकालना आधुनिक वित्तीय सिस्टम की सुरक्षा परतों के कारण आसान नहीं है
    • online bank transfer पकड़ा जा सकता है, इसमें कुछ दिन लग सकते हैं, और KYC नियमों के कारण गंतव्य अकाउंट ट्रैक होने की संभावना रहती है
    • बैंक साइटें अक्सर 2FA और login alerts का उपयोग करती हैं
  • फिर भी अगर लंबे समय तक बिना पकड़े पहुँच बनी रहे, तो ब्रोकरेज अकाउंट्स जैसे कम-बार देखे जाने वाले अकाउंट्स निशाना बन सकते हैं
    • हमलावर ऐसे अकाउंट खोज सकता है जिनमें वेतन ऑटो-डिपॉज़िट होता है
    • पासवर्ड रीसेट करके पहुँच लेने के बाद, छोटे-छोटे ट्रांसफ़र से उपयोग पैटर्न बनाया जा सकता है
    • कैलेंडर की जानकारी, जैसे छुट्टी का कार्यक्रम, का उपयोग करके ऐसा समय चुना जा सकता है जब पीड़ित को पता चलना कठिन हो
  • अगर हमलावर को लगे कि धोखाधड़ी जल्द खुलने वाली है, तो वह पीड़ित को अकाउंट से बाहर कर सकता है ताकि यह समझना मुश्किल हो जाए कि हुआ क्या है

धोखाधड़ी की लागत संरचना कहाँ बदल रही है

  • पारंपरिक धोखाधड़ी मोटे तौर पर दो श्रेणियों में बंटी थी
    • बड़े पैमाने पर भेजी जाने वाली: सस्ती, आसान, और कम-कुशल लोगों को निशाना बनाने वाली
    • लक्षित: महंगी, परिष्कृत, और ऐसे लोगों या संगठनों को निशाना बनाने वाली जिन पर हमला करना मूल्यवान हो
  • spam जैसी धोखाधड़ी का जानबूझकर भद्दा दिखना इसलिए उपयोगी था कि अधिक कुशल लोग शुरुआत में ही बाहर हो जाएँ, जिससे आगे की प्रतिक्रिया लागत घटे
  • तकनीक-समझ रखने वाले लोग बुनियादी कंप्यूटर सुरक्षा आदतों और सिस्टम की समझ के कारण बड़े पैमाने की धोखाधड़ी से अपेक्षाकृत सुरक्षित रहते थे
  • व्यक्तिगत संपत्ति को निशाना बनाने वाली परिष्कृत धोखाधड़ी वास्तव में मौजूद थी, लेकिन अधिकांश लोग मानते थे कि उनके लक्ष्य बनने की संभावना कम है
  • LLM हमलावर क्षमताओं की इस ध्रुवीकृत संरचना को बदल रहे हैं
    • 2024 के पेपर ने LLM द्वारा किए गए spearphishing की लागत लगभग 4 सेंट प्रति ईमेल बताई
    • भर्ती-धोखाधड़ी परिदृश्य अधिक जटिल और महंगा है, लेकिन 2026 के LLM अधिक उन्नत होने के कारण यह व्यवहारिक हो सकता है
    • धोखेबाज़ हजारों धोखाधड़ियाँ एक साथ चला सकते हैं, और हर व्यक्ति पर शोध करके उसके लिए कस्टम बहाना बना सकते हैं

LLM धोखाधड़ी को कौन-सी क्षमताएँ देते हैं

  • पहले जिन कामों के लिए हर लक्ष्य पर कुशल मनुष्यों का काफी समय लगता था, वे अब LLM से सस्ते में हो सकते हैं
    • पीड़ित पर शोध और सबसे प्रभावी अप्रोच चुनना
    • प्रतिक्रियाओं के अनुसार बदलने वाला personalized communication
    • भरोसेमंद परिवारजन आदि की voice cloning
    • लगभग real-time वीडियो कॉल deepfake
    • विश्वसनीय लगने वाली नकली web presence बनाना
    • चुराए गए resources की real-time निगरानी और उसी के अनुसार हमले का विस्तार
    • लक्ष्य ढूँढना और छाँटना
    • signature-based spam filter से बच निकलना
    • patch न किए गए deployed software में ज्ञात CVE ढूँढना और जोड़ना
  • ये क्षमताएँ पहले से मौजूद हैं और आगे और बेहतर हो सकती हैं
  • token cost पर चलने वाली धोखाधड़ी को for loop की तरह दोहराया जा सकता है, और यही scale ऐसी रणनीतियों को संभव बनाता है जो पहले हर अलग धोखाधड़ी में कठिन थीं

scale से खुलने वाले तीन बदलाव

  • scale धैर्य संभव बनाता है
    • किसी एक व्यक्ति पर महीनों या वर्षों तक नज़र रखना मानवीय टीम के लिए कठिन है, लेकिन LLM से कई लोगों को एक साथ संभालते हुए ऑपरेशन को लंबे समय तक निष्क्रिय रखा जा सकता है
    • समय में अलग-अलग कई धोखाधड़ियों को एक-दूसरे पर चढ़ाकर भी चलाया जा सकता है
  • scale संयोजन संभव बनाता है
    • छोटी धोखाधड़ी से money mule भर्ती करके, फिर बड़ी धन-निकासी सक्षम करने वाले हमले जोड़े जा सकते हैं
    • फ़िल्म The Sting में कई छोटी चालों से भरोसेमंद संस्थान का भ्रम पैदा करने वाला तरीका अब बहुत कम लागत पर संभव हो सकता है
  • scale नए लक्ष्य बनाता है
    • चुराए गए 1,000 अकाउंट्स हर प्लेटफ़ॉर्म के भीतर 1,000 प्रमाणित positions बन जाते हैं
    • जिन loopholes को प्लेटफ़ॉर्म “कभी-कभार होने वाली धोखाधड़ी की लागत से अधिक लाभ” मानकर सहन करते थे, वे 1,000 अकाउंट्स से एक साथ दुरुपयोग होने पर तुरंत बंद करने लायक बड़े छेद बन जाते हैं
    • The optimal amount of fraud is nonzero” जैसी गणना बड़े पैमाने पर एक-साथ दुरुपयोग के सामने बदल सकती है
  • इन हमलों को जोड़ने के लिए अभी भी तकनीकी कौशल चाहिए, लेकिन यदि reusable tools धोखेबाज़ बाज़ार में बिकने लगें, तो “धोखाधड़ी वाले script kiddies” उभर सकते हैं
  • कुछ धोखेबाज़ संभवतः पहले से ही ऐसी क्षमताओं का उपयोग कर रहे हैं, लेकिन क्योंकि यह अभी सर्वव्यापी नहीं हुआ है, इसलिए व्यक्ति और कंपनियों की heuristics अभी तक पर्याप्त रूप से समायोजित नहीं हुई हैं

पुरानी heuristics क्यों कमजोर पड़ रही हैं

  • लोग अनजान संपर्क मिलने पर सामने वाले को search करते थे, परिवार के संपर्क को फोन या वीडियो कॉल से verify करते थे, और बातचीत के ऐसे मोड़ से सावधान रहते थे जहाँ सामने वाला प्रभावशाली मांग करने लगे
  • इन heuristics का एक हिस्सा लागत के प्रॉक्सी थे
    • धाराप्रवाह और personalized लेखन इस बात का संकेत था कि किसी वास्तविक व्यक्ति ने समय लगाया है
    • मजबूत web presence तैयार करना कठिन और महंगा संकेत था
    • यह मान लिया जाता था कि कोई धोखेबाज़ सिर्फ एक व्यक्ति के लिए इतना प्रयास नहीं करेगा
  • अन्य heuristics क्षमता की सीमाओं पर आधारित थे
    • पहले परिवार की आवाज़ को फोन पर स्वाभाविक रूप से नकल करना कठिन था
    • वीडियो कॉल पर दिखने वाला व्यक्ति वास्तविक होगा, और जरूरत पड़ने पर पुलिस उसकी पहचान कर सकेगी—ऐसी अपेक्षा थी
  • LLM और deepfake लागत तथा क्षमता—दोनों नींवों को हिला रहे हैं
  • नतीजतन लोगों को सिर्फ धोखाधड़ी से बचने के लिए नहीं, बल्कि क्या असली है यह तय करने के लिए भी अधिक मेहनत करनी पड़ेगी
    • जब किसी दूसरे शहर में रहने वाला परिवारजन आपातकालीन पैसे माँगे, तो अकाउंट टेकओवर, संचार अवरोधन, और deepfake—तीनों संभावनाओं पर साथ में विचार करना होगा
    • कभी-कभी सीधे जाकर मिलना, या उस इलाके के किसी अन्य व्यक्ति से पुष्टि करवाना जैसी अतिरिक्त जाँच जरूरी हो सकती है

संस्थागत heuristics भी हिल रही हैं

  • सिर्फ व्यक्ति ही नहीं, वित्तीय संस्थान और regulation भी heuristics पर निर्भर करते हैं
  • अमेरिकी उपभोक्ता बैंकिंग सुरक्षा इस बात पर कड़ी रेखा खींचती है कि transfer किसने approve किया
    • अगर किसी ने अकाउंट में घुसकर fraudulent transfer किया, तो बैंक नुकसान भरता है
    • लेकिन यदि उपयोगकर्ता को बहकाकर उसने खुद transfer किया, तो अपराध की रिपोर्ट की जा सकती है, पर यह जरूरी नहीं कि कोई उसका पैसा लौटाए
  • यह अंतर उस दुनिया में उचित लग सकता है जहाँ “पासवर्ड चोरी” लक्षित persuasion scam से आसान थी, लेकिन LLM से लक्षित persuasion की लागत घटने पर यह आधार डगमगाता है
  • UK ने 2024 में ऐसा कानून पारित किया जिसके तहत धोखे से transfer करने वाले ग्राहकों को बैंक मुआवजा देंगे
  • हालांकि अगर हर धोखाधड़ी का नुकसान बैंक उठाएँ, तो लागत अत्यधिक रूप से बैंकों पर चली जाएगी, और बैंक ऐसे लोगों से कारोबार न करने का फैसला कर सकते हैं जिनमें धोखाधड़ी का जोखिम अधिक हो

अब किस तरह की नई रक्षा चाहिए

  • हर ईमेल और हर फोन आवाज़ पर चरम संदेह करना ही पर्याप्त नहीं है
    • क्योंकि पुरानी heuristics अब उन संकेतों के प्रॉक्सी थीं जिन्हें सस्ते में नकली बनाया जा सकता है
  • जैसे Wikipedia को स्कूल असाइनमेंट में इस्तेमाल न करने वाले दौर की सोच से चिपके रहना गलत सुधार था, वैसे ही पुरानी trust rules से चिपके रहना भी गलत दिशा हो सकती है
    • इंटरनेट पर जानकारी के विस्फोट के बाद source checking और cross-verification जैसी नई heuristics की जरूरत पड़ी थी
    • LLM युग की धोखाधड़ी के लिए भी नई heuristics चाहिए
  • धोखाधड़ी की साझा संरचना को पहचानना उपयोगी हो सकता है
    • urgency, secrecy, और सामान्य से अलग चैनल उपयोग करने की मांग कई धोखाधड़ियों में बार-बार दिखती है
    • भाषा अधिक परिष्कृत हो जाए, तब भी “कुछ माँगा जा रहा है” वाली संरचना बनी रहती है
  • परिवार के साथ मौखिक पासवर्ड तय करना उपयोगी हो सकता है
    • अगर पासवर्ड न हो, तो अतीत की ऐसी घटना को सत्यापन के लिए उपयोग किया जा सकता है जिसके सार्वजनिक रिकॉर्ड में होने की संभावना कम हो
    • तकनीक से कम परिचित परिवारजनों को यह बताया जा सकता है: “अगर मेरी कोई कॉल बहुत गंभीर, बहुत आपातकालीन या बहुत गोपनीय लगे, तो संदेह करो, कॉल काटो, और किसी दूसरे चैनल से पुष्टि करो”
  • आने वाले संचार की प्रामाणिकता पर भरोसा करना कठिन है, लेकिन उपयोगकर्ता द्वारा जानबूझकर शुरू किए गए रास्ते अपेक्षाकृत अधिक भरोसेमंद हो सकते हैं
    • किसी विशेष पते पर लिखा गया ईमेल आम तौर पर उसी inbox तक पहुँचता है
    • किसी विशेष नंबर पर की गई कॉल आम तौर पर उसी device तक पहुँचती है
    • इसके विपरीत, ईमेल from: header और caller number आसानी से spoof किए जा सकते हैं

सुरक्षा आदतें और आगे का अनुकूलन

  • hardware 2FA धोखेबाज़ों के कई टूल्स को रोकने में मदद कर सकता है
    • FIDO2/WebAuthn उपलब्ध होने पर password exchange में website domain को शामिल करता है, इसलिए phishing site के लिए signature को बस relay कर देना आसान नहीं होता
    • इसे SMS या authenticator app की तुलना में अधिक मजबूत सुरक्षा माना जाता है
  • पूरी तरह कभी धोखा न खाना शायद यथार्थवादी नहीं है, लेकिन आप खुद को ऐसा लक्ष्य बना सकते हैं जिसे निशाना बनाना अधिक महंगा और कठिन हो
  • defenders भी LLM क्षमताओं का उपयोग कर सकते हैं
    • Mozilla ने Mythos के साथ Firefox की red teaming की, और उसका मानना है कि ऐसे टूल्स से वास्तव में सभी security vulnerabilities ढूँढना संभव हो सकता है
    • Android ने हाल ही में impersonated call detection जोड़ा है
  • संस्थान और सिस्टम समय के साथ बेहतर सुरक्षा विकसित कर सकते हैं, लेकिन यह प्रक्रिया समय लेगी और संभव है कि यह arms race बन जाए
  • निकट भविष्य में धोखाधड़ी बढ़ने की उम्मीद है, और व्यक्तियों को सोचना होगा कि यह बदलाव उनके लिए, उनके दोस्तों के लिए, और उनके परिवार के लिए क्या मतलब रखता है, और वे किस तरह मदद कर सकते हैं

संबंधित पढ़ाई

1 टिप्पणियां

 
GN⁺ 6 시간 전
Lobste.rs की राय
  • अच्छा है कि मैं public health क्षेत्र में काम करता/करती हूँ। अगर भर्ती प्रक्रिया इतनी स्मूद होती, तो मुझे तुरंत शक होता, और स्थानीय health department के पास ऐसा budget भी नहीं है
  • समझ नहीं आता कि इस प्रवाह में सिर्फ password से यह कैसे संभव है। क्या हमलावर को फ़ोन पर भी नियंत्रण नहीं चाहिए होता?
    क्या पीड़ित को नए login warning ईमेल नहीं मिलते? क्या वह logged-in sessions भी नहीं देख सकता/सकती?
    • उनके पास सिर्फ password नहीं था, बल्कि session cookie भी थी। जब पीड़ित phishing site पर login कर रहा/रही था/थी, तब हमलावर की तरफ़ से भी साथ में login हो रहा था, और उस दौरान अगर 2-step verification flow आया हो, तो संभव है कि उसे वैसे ही relay किया गया हो। warning ईमेल delete या filter भी किए जा सकते हैं
      logged-in sessions दिखेंगे, लेकिन login करने का संदेश मिलने के तुरंत बाद हर कोई जाकर यह चेक नहीं करता। Google account पर कई वजहों से बीच-बीच में फिर से login करने को कहना कोई दुर्लभ बात नहीं है
      URL bar को और ध्यान से देखना जैसी mitigation मौजूद हैं, लेकिन interview process जैसी setting खुद ही सतर्कता कम करने के लिए डिज़ाइन की जाती है
      और ज़ोर देकर कहें तो, मूल लेख में शुरुआत में जो scam है, वह सिर्फ एक उदाहरण है उन scams का जिन्हें पहले की तुलना में अब काफ़ी ज़्यादा आसानी से automate किया जा सकता है, और चिंता करने लायक प्रकार सिर्फ वही नहीं है
  • “ऐसी क्षमता पहले से मौजूद है, और आगे और बेहतर होगी। इस तकनीक को upper bound नहीं बल्कि lower bound की तरह देखना चाहिए” जैसी framing मुझे समझ नहीं आती। इस तकनीक के अभी से बेहतर होने की कोई गारंटी नहीं है, और circular investment जैसा आर्थिक खेल आख़िरकार फूटता हुआ लगता है
    • सहमत। deepfake का इस्तेमाल करने वाले spearphishing जैसे वास्तविक उदाहरणों से शुरू करके, बात सीधे बड़े पैमाने पर fully automated account takeover और man-in-the-middle attacks तक पहुँच जाती है
      यह मान लिया जाता है कि क्योंकि कुछ components किसी हद तक मौजूद हैं, इसलिए उन सबको जोड़कर काम कराया जा सकता है, लेकिन large language models अभी इतने reliable नहीं हैं कि यह सब ठीक से चल सके