मनीष शर्मा : DeepFake के बढ़ते मामले…..क्या AI बना हमारे लिए अभिशाप??

हांगकांग की एक बड़ी Financial Company में काम करने वाले जिनटिंग (आभासी नाम है, जिनपिंग जी से inspired है) को एक दिन उनके CEO के mail id से ईमेल आती है. उस mail में उसे कुछ Financial Transactions करने को कहा जाता है.

जिनटिंग साहब अपनी कंपनी का Finance संभालते थे… अधिकतर transactions वही किया करते थे… कंपनी के बड़े लोग उन्हीं से संपर्क करते थे.. जब भी कोई लेन देन करना हो….. लेकिन इस तरह से ईमेल पर किसी ने उन्हें आज तक Instructions नहीं दिए थे… उन्हें लगा यह एक Phishing ईमेल है…. और उन्होंने उस ईमेल को Ignore कर दिया ( यह उनकी पहली और बहुत बड़ी गलती थी )

उसके कुछ दिनों बाद उन्हें एक meeting invite आता है…. उन्होंने सरसरी निगाह से देखा तो invitee की लिस्ट में कई जाने पहचाने नाम थे….. सभी Senior लोग थे…. उसने Invite accept किया.. और meeting Join कर ली.

यह एक वीडियो meeting थी…. Meeting में 8-10 लोग थे…. CEO भी था.. जो लंदन में रहता है… और सब लोग बात करना शुरू करते हैं.

जिनटिंग साहब ने देखा तो कुछ लोग जाने पहचाने थे… वह लोग बात भी कर रहे थे….इसी बीच CEO उन्हें एक बड़ी रकम किसी account में transfer करने को कहते हैं.

चूँकि meeting में सभी कंपनी के लोग थे… वीडियो call थी… इसलिए उसके मन में कोई Doubt नहीं रहा… और उसने transaction मार दिया.

ऐसे ही कुछ और meetings हुई और उसने कुल 25 मिलियन डॉलर्स (लगभग 200 करोड़ रूपए) transfer कर दिए.

एक हफ्ते बाद accounts को reconcile किया गया, तो उसमे से इतनी बड़ी रकम का transfer हुआ देख कर लोगों के कान खड़े हुए… जब जिनटिंग से पूछा गया, तो उसने बताया कि यह सब transfers CEO के कहने पर किये गए.

CEO से पूछा गया तो उन्होंने ऐसे कोई भी Transaction करने की बात से मना कर दिया.

Meeting में उपस्थित लोगों के नाम जिनटिंग ने बताये…. उन सभी से बात की गई… Meeting के समय वह लोग कहीं और busy थे, यात्रा कर रहे थे.. और कुछ तो छुट्टी पर भी थे.

अब यह समझ आ गया था कि कोई काण्ड हुआ है…. मामला पुलिस को report किया गया…. जिनटिंग के system की जांच की गई… और उसके बाद जो सामने आया.. उससे हांगकांग की अतिआधुनिक पुलिस भी हैरान रह गई.

यह एक हाइब्रिड Cyber Crime था… जिसमें Phishing, छोटी सी चोरी, थोड़े दिमाग और Deepfake का इस्तेमाल किया गया था.

Hackers ने सबसे पहले यह पता लगाया कि इस कंपनी में Transactions करने के लिए कौन authorized है…. यह जानकारी Social Engineering से पता लगाई गई.

फिर जिनटिंग को एक Phishing ईमेल भेजा गया… उसने ईमेल Ignore कर दिया. फिर एक meeting invite भी भेजा गया.

यहाँ याद रखने लायक़ बात यह है, कि ईमेल और meeting invite जिन ID से भेजी गई थी… उनका Domain Name कंपनी के Domain Name से काफी हद तक मिलता था…. और यही कारण था कि जिनटिंग उनके लपेटे में आ गया.

Social Engineering का उपयोग करके कंपनी के CEO, उसकी ईमेल id, कंपनी के senior officials के नाम, उनके ईमेल id आदि पता लगाए गए.

उसके बाद इन सभी के नाम, पते, फोटो इत्यादि भी जुगाड़े गए….. बाद में जांच की तो पता लगा कि इन employees के Identity cards भी चुराये गए थे…. जिनके बारे में कोई report दर्ज नहीं की गई ( यह दूसरी बड़ी गलती)

अब आगे जो हुआ.. वो हैरान करने लायक़ बात है.

Meeting organize की गई.. उसमे कौन कौन सा employee होगा, यह decide किया गया. उनकी फोटो वीडियो आदि का उपयोग करके Deep Fake वीडियो बनाया गया.

इस वीडियो में 10-15 मिनट का interaction था.. जिसमें सभी employees एक दूसरे से बात कर रहे थे…. ऐसा दर्शाया गया कि यह बात Real Time में हो रही हो.

Meeting का invite जिनटिंग साहब को भेजा गया… और जैसे ही उन्होंने join किया (तीसरी गलती)… यह Deepfake वीडियो play कर दिया गया.

जब जिनटिंग इस meeting में आये.. तो उन्होंने देखा कि सभी लोग आपस में बातें कर रहे हैं… सब Good Morning Afternoon कर रहे हैं… फिर CEO पिछले दिनों हुई कुछ घटनाओं पर जानकारी मांगता है… जिसके जवाब दूसरे employees के recorded वीडियो से दिए गए…. उनकी आवाज और gestures भी काफी मिलते जुलते थे…एक-दो लोग ऐसे थे जिन्हे जिनटिंग personally भी जानते थे… इसलिए उन्हें कोई doubt नहीं हुआ

जिनटिंग भाई साहब के लिए तो यह एक Real Time meeting थी… सब कुछ एक सामान्य meeting की तरह चल रहा था… तभी CEO उन्हें account share करते हैं और उसमे transaction करने को बोलते हैं…. अब CEO order देगा तो लोग उससे सवाल जवाब तो करेंगे नहीं…. अगले ने transaction कर दिया… Meeting के दौरान ही.

ऐसे ही कुछ और meetings हुई और ऐसे ही जिनटिंग हर meeting के बाद transactions करते गए (चौथी गलती)

कुलमिलाकर meeting में कोई इंसान था तो वह सिर्फ जिनटिंग ही थे… बाकि सब Deepfake वीडियो ही थे.

अब यह scam हो चुका है… हो सकता है अपराधी पकड़ा जाए, या फिर ना पकड़ा जाए….. लेकिन यह Cyber Crime करने का नया तरीका है… और यह जल्द ही भारत में भी आएगा.

इससे बचे कैसे??
1. जिनटिंग को जब ईमेल आई थी.. उसको ignore नहीं करना था.. तुरंत अपनी Security team या Manager को inform करना चाहिए था…. अगर वो कर देते तो आगे कुछ होता ही नहीं.

2. कंपनी के employees के id card चोरी हुए.. लेकिन किसी ने report नहीं किया… यह बेहद बचकानी बात थी. ID card 8-9 employees के खो गए और किसी ने report नहीं किया… बड़ी अजीब सी बात है.

3. आपके पास कभी भी कोई ईमेल आये….तो उसका domain name जरूर check करें. कई बार आपकी कंपनी के नाम से मिलते जुलते नाम से ईमेल आ सकती है… उन्हें कभी खोलना नहीं चाहिए.

जहाँ तक meeting join करने की बात है…तो उसको avoid किया जा सकता था… जिनटिंग उस meeting के invite को देख सकते थे.. उनमे कुछ लोगों को वो personally जानते थे.. उनसे बात कर सकते थे…. Chat या call करने में कितना time लगता है??

4. चलिए meeting भी attend कर ली… तो transactions करने की जरूरत नहीं थी… कम से कम ऑनलाइन तो नहीं ही करने चाहिए थे.

जिनटिंग साहब को पहली transaction के बाद ही meeting में मौजूद जान पहचान के लोगों से एक बार बात कर लेनी चाहिए थी. यह कोई सामान्य meeting नहीं थी……कम से कम एक बार ही किसी से बात कर लेते तो scam इतना बड़ा नहीं होता.

Deep Fake अभी भी बिलकुल शुरूआती stage में है… आगे आने वाले समय में इसकी accuracy और बढ़ जायेगी….कुछ सरकारें (भारत समेत) Deepfake के विरुद्ध कानून बना रही हैं…. लेकिन इससे बचने के लिए आपको Common Sense इस्तेमाल करना होगा.

इस मामले में अगर जिनटिंग साहब उस phishing ईमेल को ignore करने के बजाये उसे report करते तो कुछ होता ही नहीं. लेकिन हम common sense इस्तेमाल करते ही कहाँ हैं??