लोक ज्या स्कॅम ईमेलसाठी बहुधा पडतात ते तज्ञांद्वारे प्रकाशित केले जातात

सर्वात धोकादायक ईमेल घोटाळे आपल्या इनबॉक्समधील सर्वात सामान्य संदेशांसारखे दिसतात, तज्ञ म्हणतात.

बनावट पावत्यांपासून ते कंपनीच्या अधिकाऱ्यांची तोतयागिरी करणाऱ्या तातडीच्या संदेशांपर्यंत, फिशिंग हल्ले अधिक वैयक्तिकृत, अधिक अत्याधुनिक—आणि अधिक प्रभावी होत आहेत.

तज्ज्ञांनी सांगितले न्यूजवीक जागरूकता मोहिमा आणि नवीन सुरक्षा तंत्रज्ञान असूनही, सायबर गुन्हेगार चपळता, फसवणूक आणि सतत वाढत जाणारी कृत्रिम बुद्धिमत्ता शोध वापरून पीडितांना मागे टाकत आहेत. ते घोटाळ्याच्या ईमेलबद्दल उघडतात ज्यांना लोक पडण्याची शक्यता असते.

“सर्वात सामान्य प्रकारचे फिशिंग अजूनही ईमेलद्वारे चालवले जाते, जे सर्व फिशिंग प्रयत्नांपैकी 30 टक्के बनवतात,” असे AdGuard VPN चे मुख्य उत्पादन अधिकारी डेनिस वाझोवॉय म्हणाले. न्यूजवीक. “अंदाजे समान शेअरसाठी पेमेंट खात्याची मागणी करणारे ईमेल, तर फॉलो-अप ईमेल शीर्ष तीन श्रेणींमध्ये आहेत.”

FBI इंटरनेट क्राइम कम्प्लेंट सेंटर (IC3) नुसार, 2021 मध्ये, युनायटेड स्टेट्समधील 323,972 लोक फिशिंगचे बळी ठरले आहेत. FBI च्या सर्वात अलीकडील 2024 च्या अहवालात ही संख्या 193,407 वर घसरली आहे—परंतु तरीही इतर सर्व सायबर गुन्ह्यांच्या आरोपांपेक्षा जास्त आहे.

सामान्य तंत्र आणि थीम

व्याझोव्हॉय स्पष्ट करतात की अनेक घोटाळे मूलभूत सामाजिक अभियांत्रिकीवर अवलंबून असतात – तर्कसंगत विचारांना मागे टाकण्यासाठी निकडीची भावना निर्माण करतात. विषय ओळींमध्ये सहसा “कृती आवश्यक”, “आता उत्तर द्या” किंवा “तुम्ही उपलब्ध आहात?” इतर गोपनीय अंतर्गत संदेश, बँक खाते अद्यतने किंवा कायदेशीर कार्य-संबंधित कॅलेंडर आमंत्रणे म्हणून मुखवटा घालतात.

“रिमोट वर्कच्या लोकप्रियतेशी जोडलेल्या नवीन फिशिंग ट्रेंडमध्ये बनावट कॅलेंडर आमंत्रणे समाविष्ट आहेत,” तो म्हणाला. “हे घोटाळे अधिकृततेशिवाय आपोआप तुमच्या कॅलेंडरमध्ये दिसतात आणि त्यात अनेकदा झूम मीटिंग किंवा सॉफ्टवेअर अपडेट्सच्या वेशातील दुवे समाविष्ट असतात.”

जनरेटिव्ह AI सह ईमेल पर्सनलायझेशनने नवीन उंची गाठली आहे, ज्यामुळे स्कॅमर्सना कॉर्पोरेट कम्युनिकेशन आणि लेखन शैलीची जवळून नक्कल करता येते, तज्ञ म्हणतात.

“स्पियर फिशिंग देखील एक वाढता धोका आहे कारण हे हल्ले अधिक अत्याधुनिक आणि शोधणे कठीण झाले आहे,” ॲलेक्स गार्सिया-टोबर, ईमेल सुरक्षा फर्म व्हॅलेमेलचे सीईओ म्हणाले. न्यूजवीक. “व्यक्ती किंवा विभागांसाठी तयार केलेले विश्वासार्ह ईमेल तयार करण्यासाठी सोशल इंजिनिअरिंगचा वापर करणारे हॅकर्स.”

आतापर्यंतचा सर्वात यशस्वी घोटाळा

क्रेडेन्शियल हार्वेस्टिंग आणि बिझनेस ईमेल तडजोड (बीईसी) ही दोन सर्वात हानिकारक फिशिंग तंत्रे राहिली आहेत, सायबरसुरक्षा तज्ञ मायकेल को, सीईओ आणि ईमेल प्रमाणीकरण आणि सुरक्षा प्लॅटफॉर्म सुपेडचे सह-संस्थापक यांच्या मते.

क्रेडेन्शियल-कापणी घोटाळ्यांमध्ये, ईमेल Microsoft, Google किंवा Docusign सारख्या विश्वासार्ह ब्रँडची तोतयागिरी करतात आणि प्राप्तकर्त्यांना तातडीची बतावणी करणाऱ्या लिंकवर क्लिक करण्यास प्रॉम्प्ट करतात—जसे की “तुमचे खाते लॉक केलेले आहे”—ज्यामुळे बनावट लॉगिन पोर्टल होते.

दुसरीकडे, बीईसी घोटाळे अधिक लक्ष्यित आहेत.

“घोटाळेबाज उच्च स्तरीय कार्यकारिणीची तोतयागिरी करतात… ‘ही अतिरिक्त बिले भरण्याची’ किंवा ‘गुप्त संपादनासाठी वायर फंड’ या तातडीच्या, गोपनीय विनंतीसह,” को म्हणाले. न्यूजवीक.

को ने “क्विशिंग”—क्यूआर कोडद्वारे फिशिंग—आणि “विशिंग,” किंवा व्हॉईस फिशिंगच्या वाढत्या धोक्यावरही प्रकाश टाकला, जिथे स्कॅमर वास्तविक लोकांची तोतयागिरी करण्यासाठी AI-जनरेट केलेले आवाज वापरतात. ते म्हणाले की फिशिंग मोहिमेवरील क्लिक-थ्रू दर चिंताजनकरित्या उच्च आहेत.

“काही अहवाल दर्शवतात की सरासरी फिशिंग मोहीम 17.8 टक्के क्लिक-थ्रू दर प्राप्त करते,” को म्हणतात. “याहून वाईट, अत्यंत लक्ष्यित ‘भाला-फिशिंग’ हल्ले 50 टक्क्यांहून अधिक प्राप्तकर्त्यांना मूर्ख बनवू शकतात. वापरकर्त्याने दुर्भावनापूर्ण लिंकवर क्लिक करण्याची सरासरी वेळ फक्त 21 सेकंद आहे.”

कृत्रिमरित्या बुद्धिमान फसवणूक

कृत्रिम बुद्धिमत्तेमुळे सायबर गुन्हेगारांच्या प्रवेशातील अडथळे कमी झाले आहेत आणि त्यांचे हल्ले शोधणे कठीण झाले आहे, असे अनेक तज्ञांचे म्हणणे आहे.

“आज हल्लेखोर अतिशय अत्याधुनिक पद्धती वापरून लोकांना फसवतात की त्यांना मिळालेले फिशिंग ईमेल ते तोतयागिरी करत असलेल्या कंपनीचे आहेत,” अर्ने मोहेल म्हणाले, एनक्रिप्टेड ईमेल सेवा Tuta Mail चे सह-संस्थापक. न्यूजवीक. “ते डोमेन, पाठवणारा ईमेल पत्ता फसवतात, तोतयागिरी करणाऱ्या कंपनीच्या लोगो आणि रंगांसह ईमेल छान डिझाइन केलेले दिसतात आणि बरेच काही.”

रोझारियो मास्ट्रोगियाकोमो, ओळख व्यवस्थापन कंपनी SPHERE चे मुख्य सुरक्षा अधिकारी म्हणाले न्यूजवीक मायक्रोसॉफ्ट 365 किंवा पे पोर्टल सारख्या प्लॅटफॉर्मची नक्कल करणारी बनावट लॉगिन पृष्ठे आता फिशिंग मोहिमेचा मुख्य भाग आहेत. निरुपद्रवी शेअर केलेल्या दस्तऐवज सूचना किंवा पासवर्ड रीसेट प्रॉम्प्टमध्ये एम्बेड केलेल्या लिंकवर वापरकर्ते क्लिक केल्यानंतर ही पेज अनेकदा दिसतात.

मॅस्ट्रोगियाकोमो म्हणाले, “आम्ही वायर ट्रान्सफर, गिफ्ट कार्ड खरेदी किंवा बँकिंग तपशीलांमध्ये बदल करण्याची विनंती करणारे ईमेल देखील पाहत आहोत.” “ते सहसा प्लेन-टेक्स्ट फॉरमॅटिंग आणि अंतर्गत संप्रेषण शैलींसाठी तयार केलेली भाषा वापरून स्पॅम फिल्टरला बायपास करतात.”

मल्टी-चॅनल घोटाळे, बनावट आवाज आणि ‘क्विशिंग’चा उदय

फिशिंग ईमेलच्या पलीकडे विकसित झाले आहे. एसएमएस मजकूर संदेश आणि व्हॉट्सॲप सारख्या संदेशन प्लॅटफॉर्म आता सामान्य वितरण पद्धती आहेत.

“बहुतेक भाग, हे नेहमीसारखेच आहे – Microsoft, PayPal, बँका, लॉजिस्टिक कंपन्यांचे संदेश … परंतु शुद्धलेखनाच्या चुका न करता आणि एकूणच चांगले केले,” Artem Bovtyukh, MacPow चे वरिष्ठ IT सुरक्षा अभियंता म्हणाले. न्यूजवीक. “आणि हे फक्त ईमेलद्वारे नाही – WhatsApp सारख्या मेसेजिंग ॲप्सवर फिशिंग केल्याप्रमाणे SMS फिशिंग आता खूप सामान्य आहे.”

QR कोड फिशिंग, किंवा “quishing,” अधिक व्यापक होत आहे, Bovtyukh जोडले, Ko समर्थन.

रॉबसन जेनिंग्स, सायबर सिक्युरिटी फर्म ZeroFox मधील जागतिक सेवा आणि बुद्धिमत्तेचे वरिष्ठ VP म्हणाले. न्यूजवीक सर्वात यशस्वी हल्ले हे अनेक वेक्टर एकत्र करतात.

“फिशिंग ईमेल वाढत्या प्रमाणात मोठ्या योजनेचा भाग बनतात,” जेनिंग्स म्हणाले. “आम्ही या बहुस्तरीय सामाजिक अभियांत्रिकी तंत्रात वाढ पाहत आहोत.”

सुरुवातीच्या फिशिंग ईमेलनंतर, स्कॅमर मजकूर संदेश किंवा फोन कॉलसह फॉलो-अप करू शकतात – कधीकधी संस्थेतील विश्वासू लोकांची तोतयागिरी करण्यासाठी AI-क्लोन केलेला आवाज वापरतात. या गोष्टींबाबत काळजी घ्या, असे तज्ज्ञांनी सांगितले आहे.

हंगामी आणि मानसिक शोषण

घोटाळेबाजांना लोकांची फसवणूक होण्याची शक्यता असते अशा वेळेची तीव्रतेने जाणीव असते—जसे की सुट्ट्या किंवा नोकरी शोधण्याचा हंगाम.

“आम्ही सुट्ट्या जवळ येत असताना, सर्वात सामान्य फिशिंग ईमेल विश्वसनीय ब्रँड आणि आणीबाणीच्या परिस्थितीत शोषण करतील,” पर्ड्यू ग्लोबल प्रोफेसर शैला राणा, सायबर सुरक्षा आणि AI तज्ञ म्हणाल्या. न्यूजवीक. “डिलिव्हरी अयशस्वी झाल्याचा दावा करणाऱ्या पॅकेज वितरण सूचनेचा विचार करा आणि त्यांना पत्ता पडताळणीची आवश्यकता आहे.”

राणा यांनी एक गंभीर उदाहरण देखील दिले ज्याने भावनिक हाताळणी केली: फिशिंग मोहिमेने LastPass समर्थनाची तोतयागिरी करून विषय ओळ, “वारसा विनंती उघडली (आपण मृत नसल्यास त्वरित).”

“घरातून कामाच्या योजना आणि बनावट नोकरीच्या ऑफर देखील वाढल्या आहेत,” राणा म्हणाले, “दूरस्थ रोजगार साधकांना लक्ष्य करत आहे.”

तरीही लोक त्यात का पडतात

कीपर सिक्युरिटी येथील सायबरसुरक्षा तज्ञ ॲन कटलर म्हणाले, “फिशिंग हा ईमेल स्कॅमचा सर्वात सामान्य आणि प्रभावी प्रकारांपैकी एक आहे कारण तो फसवणूक आणि ओळखीवर अवलंबून असतो.” न्यूजवीक.

हल्लेखोर सहसा सहकारी, बँक किंवा अगदी कुटुंबातील सदस्यांची तोतयागिरी करतात. मजकुरात थोडासा बदल—जसे की “m” अक्षराच्या जागी “rn” करणे—सजग वाचकांनाही मूर्ख बनवू शकते.

“हे घोटाळे अनेकदा डिजिटल व्यवहारांच्या घटनांभोवती वारंवारतेने शिखरावर पोहोचतात,” तो पुढे म्हणाला.

सर्व घोटाळ्यांमध्ये समान धागा म्हणजे मनोवैज्ञानिक हाताळणी – तात्काळ, अधिकार, भीती आणि विश्वास.

व्याझोवॉय म्हणतात, “प्राप्तकर्त्याला विचार करण्यास किंवा दुहेरी-तपासण्यासाठी वेळ न देता त्वरीत कार्य करण्यास प्रवृत्त करणे हे मुख्य ध्येय आहे.”