काठमाडौं – साइबर अपराधीहरूले संस्थामा छिर्नका लागि प्रायः प्रयोग गर्ने पहिलो हतियार भनेकै सामाजिक इन्जिनियरिङ हो। आर्टिफिसियल इन्टेलिजेन्स (Artificial intelligence) मा भएको तीव्र विकासका कारण हरेक वर्ष सामाजिक इन्जिनियरिङ आक्रमणहरू झन् ठूला र खतरनाक बन्दै गइरहेका छन्।
एआईले कसरी सामाजिक इन्जिनियरिङ आक्रमणलाई बढाइरहेको छ?
एआई (AI) ले साइबर अपराधीहरूलाई विभिन्न तरिकाले उनीहरूको सामाजिक इन्जिनियरिङ योजनाहरूलाई अगाडि बढाउन मद्दत गरिरहेको छ:
व्यक्तिगत बनाइएको फिसिङ (Personalized Phishing): एआई अल्गोरिदम (AI algorithm) हरूले सामाजिक सञ्जाल (जस्तै पृष्ठभूमि, रुचि, काम, सम्बन्ध, ठेगाना आदि) र विभिन्न ओएसआईएनटी (OSINT) स्रोतहरूबाट डेटा विश्लेषण गरी थप व्यक्तिगत र विश्वासिलो स्पियर फिसिङ (spear phishing) आक्रमणहरू सिर्जना गर्न सक्छन्।
स्थानीय र प्रासंगिक सामग्री (Local and Contextual Content): च्याटजीपीटी (ChatGPT), कोपाइलट (Copilot) र जेमिनी (Gemini) जस्ता उपकरणहरूले व्याकरणको रूपमा सही, प्रसङ्ग अनुसार मिल्ने र कुनै पनि स्थानीय भाषामा अनुवाद गरिएको फिसिङ इमेल (phishing email) हरू बनाउन मद्दत गर्न सक्छन्। एआई (AI) लाई कुनै खास लेखन शैली वा भावनाको नक्कल गर्न लगाउन सकिन्छ, र प्राप्तकर्ताको प्रतिक्रिया वा व्यवहार अनुसार फिसिङ इमेलहरू तयार गर्न सकिन्छ।
वास्तविक डीपफेक (Realistic Deepfakes): खतरा निम्त्याउने व्यक्तिहरूले डीपफेक (deepfake) उपकरणहरू प्रयोग गरेर नक्कली भर्चुअल (virtual) पहिचान र उच्च अधिकारीहरू तथा विश्वासिला व्यापार साझेदारहरूको आवाजको नक्कल बनाउँछन्। डीपफेकहरूले कर्मचारीहरूलाई संवेदनशील जानकारी साझा गर्न, पैसा ट्रान्सफर (transfer) गर्न वा संस्थाको नेटवर्कमा पहुँच दिन मनाउन प्रयोग गरिन्छ।
एआईको पछिल्लो विकासले सामाजिक इन्जिनियरिङको जोखिमलाई अझ बढाउँदै
नोभेम्बर २०२२ मा पहिलो लार्ज ल्याङ्ग्वेज मोडल (Large Language Model – LLM) सार्वजनिक रूपमा आयो। २०२३ मा, विश्वले जेनेरेटिभ एआई (generative AI) उपकरणहरू प्रयोग गर्न थाल्यो र विकासकर्ताहरूले यी एलएलएम (LLM) हरूमा आधारित विभिन्न फिचर (feature) र कार्यक्षमताहरू ल्याए। २० २४ को दोस्रो आधासम्ममा, एआई-पावर्ड एजेन्ट (AI-powered agents) हरू (“एजेन्टिक एआई” – agentic AI) द्रुत रूपमा देखा परे – जसले आफैं काम गर्न र जटिल कार्यहरू गर्न सक्छन्।
एआई (AI) सबैका लागि उपलब्ध भएकोले, हामी साइबर अपराधीहरूले खराब उद्देश्यका लागि एजेन्टिक एआई (agentic AI) प्रविधिको दुरुपयोग गर्ने अपेक्षा गर्न सक्छौं। खराब व्यक्तिहरूले सामाजिक इन्जिनियरिङ आक्रमणहरू गर्न एजेन्टिक एआई (agentic AI) लाई कसरी हतियार बनाउनेछन् भन्ने केही उदाहरणहरू तल दिइएका छन्:
आफैं सुध्रने, अनुकूल हुने र लगातार खतरा (Self-improving, Adaptive, and Relentless Threats): एजेन्टिक एआई (agentic AI) को मुख्य फाइदा भनेको यसमा मेमोरी (memory) हुन्छ र त्यसैले सिक्ने र सुधार गर्ने क्षमता हुन्छ। एआई (AI) ले समयसँगै धेरै पीडितहरूसँग अन्तरक्रिया गर्दा, निश्चित प्रकारका मानिसहरूका लागि कस्ता सन्देश वा तरिकाहरू उत्तम हुन्छन् भन्ने डेटा (data) सङ्कलन गर्छ। यसरी, यसले आफैंलाई अनुकूल बनाउँछ, भविष्यका फिसिङ (phishing) योजनाहरूलाई परिष्कृत गर्छ, जसले गर्दा प्रत्येक पछिल्लो आक्रमण अझ शक्तिशाली, विश्वासिलो र प्रभावकारी हुन्छ।
स्वचालित स्पियर फिसिङ (Automated Spear Phishing): नन-एजेन्टिक एआई (Non-agentic AI) मूलतः प्रोम्प्ट-आधारित (prompt-based) हुन्छ; साइबर अपराधीहरूले फिसिङ इमेल (phishing email) बनाउन एआई (AI) लाई विशेष इनपुट (input) दिनुपर्छ। नयाँ परिस्थितिमा, खराब एआई एजेन्ट (AI agent) हरूले सामाजिक सञ्जाल प्रोफाइलहरूबाट स्वतः डेटा (data) सङ्कलन गर्नेछन्, फिसिङ (phishing) सन्देशहरू बनाउनेछन्, तिनीहरूलाई विशेष व्यक्ति वा संस्थाहरू अनुरूप बनाउनेछन्, र इच्छित परिणाम प्राप्त नभएसम्म फैलाउनेछन्।
गतिशील लक्षित (Dynamic Targeting): एआई एजेन्ट (AI agent) हरूले प्राप्तकर्ताको प्रतिक्रिया वा स्थान, वा छुट्टी, कार्यक्रम वा लक्षित व्यक्तिको रुचि जस्ता कुराहरूमा आधारित भएर आफ्नो फिसिङ (phishing) को तरिकालाई गतिशील रूपमा अपडेट (update) वा परिवर्तन गर्न सक्छन्। यो स्थिर फिसिङ (static phishing) आक्रमणबाट उच्च अनुकूलनशील र वास्तविक समयको सामाजिक इन्जिनियरिङ खतरामा महत्त्वपूर्ण परिवर्तन हो। उदाहरणका लागि, यदि फिसिङ (phishing) सन्देशलाई बेवास्ता गरियो भने, एआई (AI) ले थप जरुरी स्वरमा फलो-अप (follow-up) सन्देश पठाउन सक्छ।
बहु-चरण अभियान (Multi-stage Campaigns): एजेन्टिक एआई (agentic AI) लाई जटिल र बहु-चरण सामाजिक इन्जिनियरिङ आक्रमणहरू गर्न प्रयोग गर्न सकिन्छ। सरल भाषामा भन्नुपर्दा, एआई (AI) लाई पहिलो अन्तरक्रियाबाट प्राप्त डेटा (data) लाई अर्को अन्तरक्रियालाई अगाडि बढाउन प्रयोग गर्न भन्न सकिन्छ। उदाहरणका लागि, फिसिङ (phishing) आक्रमणले कसैलाई पहिलो चरणको आक्रमणमा थोरै जानकारी दिन प्रलोभनमा पार्न सक्छ। त्यसपछि एआई (AI) ले त्यो जानकारीलाई आफ्नो अर्को कदम तय गर्न प्रयोग गर्न सक्छ।
बहु-मोडल सामाजिक इन्जिनियरिङ (Multi-modal Social Engineering): एक स्वायत्त एआई एजेन्ट (autonomous AI agent) ले इमेल (email) भन्दा बाहिर गएर टेक्स्ट मेसेज (text message), फोन कल (phone call) वा सामाजिक सञ्जाल जस्ता अन्य सञ्चार माध्यमहरू प्रयोग गर्न वा संयोजन गर्न सक्छ। उदाहरणका लागि, यदि फिसिङ इमेल (phishing email) लाई बेवास्ता गरियो भने, एआई (AI) ले लक्षित व्यक्तिको प्रतिक्रियाको सम्भावना बढाउन अडियो (audio) वा भिडियो (video) डीपफेक (deepfake) प्रयोग गरेर फलो-अप (follow-up) कल गर्न सक्छ।
संस्थाहरूका लागि मुख्य कुराहरू
संस्थाहरूका लागि केही उत्तम अभ्यासहरू र सुझावहरू तल दिइएका छन्:
एजेन्टिक एआईसँग एजेन्टिक एआईलाई लड्ने (Fight Agentic AI with Agentic AI): उन्नत सामाजिक इन्जिनियरिङ आक्रमणहरूको सामना गर्न, एआई एजेन्ट (AI agent) निर्माण वा प्राप्त गर्ने विचार गर्नुहोस् जसले आक्रमणको सतहमा भएका परिवर्तनहरूको मूल्याङ्कन गर्न, खराब गतिविधिहरू देखाउने असामान्य गतिविधिहरू पत्ता लगाउन, खतराहरूलाई चाँडै पत्ता लगाउन विश्वव्यापी फिड (feed) हरूको विश्लेषण गर्न, भित्री खतराहरू पत्ता लगाउन प्रयोगकर्ताको व्यवहारमा भएका विचलनहरूको निगरानी गर्न र कमजोरीको प्रवृत्तिमा आधारित प्याचिङ (patching) लाई प्राथमिकता दिन सक्छ।
एआई-आधारित सुरक्षा जागरूकताको लाभ उठाउने (Leverage AI-based Security Awareness): सुरक्षा जागरूकता तालिम मानव सुरक्षालाई बलियो बनाउन अपरिहार्य भाग हो। संस्थाहरूले परम्परागत सुरक्षा तालिमभन्दा अगाडि बढेर जोखिम स्कोर (risk score) र असफलता दरको आधारमा प्रयोगकर्ताहरूलाई आकर्षक सामग्री प्रदान गर्ने, नवीनतम खतराहरूमा आधारित गतिशील रूपमा क्विज (quiz) र सामाजिक इन्जिनियरिङ परिदृश्यहरू उत्पन्न गर्ने, छोटो रिफ्रेसर (refresher) हरू ट्रिगर (trigger) गर्ने जस्ता उपकरणहरू प्रयोग गर्नुपर्छ।
कर्मचारीहरूलाई एजेन्टिक एआई सामाजिक इन्जिनियरिङका लागि तयार गर्ने (Prepare Employees for Agentic AI Social Engineering): सामाजिक इन्जिनियरिङ खतराहरूको सामना गर्न मानव अन्तर्ज्ञान र सतर्कता महत्त्वपूर्ण छ। संस्थाहरूले साइबर सुरक्षाको संस्कृतिलाई बढावा दिन, कर्मचारीहरूलाई सामाजिक इन्जिनियरिङको जोखिम र संस्थामा पर्ने प्रभावबारे शिक्षित गर्न, त्यस्ता खतराहरू पहिचान गर्न र रिपोर्ट गर्न तालिम दिन र सुरक्षा व्यवहार सुधार गर्न सक्ने उपकरणहरू प्रदान गर्नुपर्छ।
गार्टनर (Gartner) ले भविष्यवाणी गरेको छ कि २०२८ सम्ममा एआई (AI) सँग हाम्रो एक तिहाइ अन्तरक्रिया केवल कमाण्ड (command) टाइप गर्नुको सट्टा आफ्नै लक्ष्य र इरादाहरूमा काम गर्न सक्ने स्वायत्त एजेन्टहरूसँग पूर्ण रूपमा संलग्न हुनेछ। स्पष्ट रूपमा, साइबर अपराधीहरू यी विकासहरूको दुरुपयोग गर्न धेरै पछाडि हुनेछैनन्। संस्थाहरूले आफ्नै एआई-आधारित साइबर सुरक्षा एजेन्टहरू प्रयोग गरेर, एआई-आधारित सुरक्षा तालिमको लाभ उठाएर र सुरक्षा जिम्मेवारीको भावना जगाएर यस स्थितिको लागि तयारी गर्न आफ्नो सुरक्षा बलियो बनाउनुपर्छ।
