कृत्रिम बुद्धिमत्तेच्या (Artificial Intelligence - AI) जलद प्रगतीमुळे आणि आपल्या दैनंदिन जीवनातल्या डिजिटल तंत्रज्ञानात झालेल्या एकत्रीकरणामुळे उत्साह आणि चिंता दोन्ही वाढल्या आहेत. AI मुळे उद्योगधंद्यांमध्ये क्रांती घडेल आणि कार्यक्षमतेत सुधारणा होईल, अशी अपेक्षा आहे, पण त्यामुळे सायबर गुन्हेगारांकडून होणाऱ्या गैरवापराचे एक नवीन आव्हान उभे राहिले आहे. चेक पॉइंट या सॉफ्टवेअर टेक्नॉलॉजी रिसर्च फर्मने (software technologies research firm) नुकत्याच केलेल्या AI सुरक्षा अहवालात (AI security report) या वाढत्या धोक्यावर प्रकाश टाकला आहे. हॅकर्स (hackers) AI साधनांचा उपयोग करून त्यांच्या दुर्भावनापूर्ण (malicious) कामांची व्याप्ती, कार्यक्षमता आणि प्रभाव कसा वाढवत आहेत, हे या अहवालात सांगितले आहे.
चेक पॉइंटचा हा अहवाल दर्शवतो की, AI तंत्रज्ञान जसजसे विकसित होत आहे, तसतसे AI संरक्षणाची (AI safeguards) किती गरज आहे. AI धोके आता केवळ काल्पनिक नाहीत, तर ते प्रत्यक्ष वेळेत (real-time) विकसित होत आहेत. AI साधने सहज उपलब्ध झाल्यामुळे, गुन्हेगार दोन मुख्य मार्गांनी याचा गैरफायदा घेत आहेत: AI वापरून त्यांची क्षमता वाढवणे आणि AI तंत्रज्ञान वापरणाऱ्या संस्था आणि व्यक्तींना लक्ष्य करणे.
सायबर गुन्हेगारांसाठी भाषा मॉडेलचे आकर्षण
सायबर गुन्हेगार AI च्या वापरावर बारीक नजर ठेवून आहेत. जेव्हा एखादे नवीन मोठे भाषा मॉडेल (large language model - LLM) लोकासाठी जारी केले जाते, तेव्हा हे गुन्हेगार त्याचा उपयोग वाईट कामांसाठी कसा करता येईल, हे शोधायला लागतात. ChatGPT आणि OpenAI चे API हे सध्या या गुन्हेगारांचे आवडते साधन आहेत. पण Google Gemini, Microsoft Copilot आणि Anthropic Claude यांसारखी इतर मॉडेलसुद्धा हळूहळू लोकप्रिय होत आहेत.
या भाषा मॉडेलचे आकर्षण हे आहे की, ते सायबर गुन्ह्यांचे अनेक कामे आपोआप (automate) करू शकतात आणि त्यांची व्याप्ती वाढवू शकतात. उदाहरणार्थ, ते फिशिंग ईमेल (phishing email) तयार करू शकतात किंवा दुर्भावनापूर्ण कोड (malicious code) तयार करू शकतात. अहवालात एक चिंताजनक गोष्ट समोर आली आहे: सायबर गुन्ह्यांसाठी खास तयार केलेल्या malicious LLM विकसित करणे आणि त्यांची विक्री करणे, ज्यांना "डार्क मॉडेल" (dark models) म्हटले जाते.
डार्क AI मॉडेलचा उदय
डीपसीक (DeepSeek) आणि अलीबाबाचे (Alibaba) क्वेन (Qwen) यांसारखे ओपन-सोर्स मॉडेल (open-source models) सायबर गुन्हेगारांना अधिक आकर्षित करत आहेत, कारण त्यांच्या वापरावरील निर्बंध कमी आहेत आणि ते विनामूल्य उपलब्ध आहेत. हे मॉडेल malicious प्रयोग आणि बदलांसाठी एक fertile ground (सुपीक जमीन) प्रदान करतात. अहवालात एक अधिक चिंताजनक गोष्ट समोर आली आहे: सायबर गुन्ह्यांसाठी खास तयार केलेल्या malicious LLM विकसित करणे आणि त्यांची विक्री करणे. हे "डार्क मॉडेल" (dark models) नैतिक संरक्षणातून (ethical safeguards) वाचण्यासाठी तयार केले जातात आणि त्यांची hacking tools (हॅकिंग टूल्स) म्हणून उघडपणे विक्री केली जाते.
याचे एक कुप्रसिद्ध उदाहरण म्हणजे WormGPT, हे ChatGPT jailbreak करून तयार केले आहे."ultimate hacking AI" (अंतिम हॅकिंग AI) म्हणून ओळखले जाणारे WormGPT फिशिंग ईमेल तयार करू शकते, मालवेअर (malware) लिहू शकते आणि कोणतेही नैतिक फिल्टर (ethical filters) न वापरता सोशल इंजिनीअरिंग स्क्रिप्ट (social engineering scripts) तयार करू शकते. याला टेलीग्राम चॅनलचे (Telegram channel) समर्थन आहे, जे subscriptions (सदस्यता) आणि tutorials (शिकवणी) देतात.
इतर dark models मध्ये GhostGPT, FraudGPT आणि HackerGPT यांचा समावेश आहे. हे मॉडेल सायबर गुन्ह्यांच्या विशिष्ट कामांसाठी डिझाइन केलेले आहेत. काही मॉडेल mainstream tools चे jailbreak wrappers (जेलब्रेक रॅपर) आहेत, तर काही ओपन-सोर्स मॉडेलचे बदललेले व्हर्जन (versions) आहेत. हे मॉडेल सामान्यतः underground forums (अंडरग्राउंड फोरम) आणि dark web marketplaces (डार्क वेब मार्केटप्लेस) वर विक्रीसाठी किंवा भाड्याने उपलब्ध असतात, ज्यामुळे ते सायबर गुन्हेगारांच्या मोठ्या गटासाठी सोपे होते.
बनावट AI प्लॅटफॉर्म आणि मालवेअर वितरण
AI साधनांच्या मागणीमुळे बनावट AI प्लॅटफॉर्मची (fake AI platforms) संख्या वाढली आहे, जे कायदेशीर (legitimate) सेवा असल्याचा दावा करतात, पण ते मालवेअर, डेटा चोरी आणि आर्थिक फसवणूक करण्याचे मार्ग आहेत. HackerGPT Lite हे त्याचे एक उदाहरण आहे, ज्याला फिशिंग साइट (phishing site) असल्याचा संशय आहे. त्याचप्रमाणे, डीपसीक डाऊनलोड (DeepSeek downloads) करण्याची सुविधा देणाऱ्या काही वेबसाइट मालवेअर वितरित (malware distribute) करत असल्याचं बोललं जातं.
हे बनावट प्लॅटफॉर्म (fake platforms) वापरकर्त्यांना (users) advanced AI क्षमता किंवा exclusive features (विशिष्ट वैशिष्ट्ये) देण्याचे आमिष दाखवतात. जेव्हा एखादा वापरकर्ता (user) प्लॅटफॉर्मशी संपर्क साधतो, तेव्हा त्याला malicious software (दुर्भावनापूर्ण सॉफ्टवेअर) डाऊनलोड (download) करण्यास किंवा लॉगिन क्रेडेन्शियल्स (login credentials) किंवा आर्थिक तपशील (financial details) यांसारखी संवेदनशील माहिती (sensitive information) देण्यास सांगितले जाते.
AI-सक्षम सायबर हल्ल्यांची वास्तविक उदाहरणे
चेक पॉइंटच्या अहवालात ChatGPT असल्याचा दावा करणाऱ्या एका malicious Chrome extension (दुर्भावनापूर्ण क्रोम एक्स्टेंशन) चा समावेश आहे, जो वापरकर्त्यांची क्रेडेन्शियल्स (credentials) चोरत होता. एकदा इन्स्टॉल (install) झाल्यावर, ते Facebook सेशन कुकीज (Facebook session cookies) हायजॅक (hijack) करतं, ज्यामुळे हल्लेखोरांना (attackers) वापरकर्त्यांच्या अकाउंट्समध्ये (accounts) पूर्ण प्रवेश मिळतो.
या घटनेमुळे ब्राउझर एक्स्टेंशनशी (browser extensions) संबंधित धोके समोर आले आहेत. सायबर गुन्हेगार AI चा उपयोग करून बनावट वेबसाइट्स (fake websites) किंवा ऍप्लिकेशन्स (applications) तयार करू शकतात, ज्यामुळे वापरकर्त्यांना (users) खरे आणि खोटे यातला फरक ओळखणे कठीण होते.
सायबर गुन्ह्यांच्या व्याप्तीवर AI चा प्रभाव
चेक पॉइंटच्या अहवालात म्हटले आहे की, "AI-आधारित साधनांमुळे गुन्हेगारी कामांची व्याप्ती वाढवण्यास मदत होते. AI- जनरेटेड टेक्स्ट (AI-generated text) मुळे सायबर गुन्हेगारांना भाषेची आणि संस्कृतीची अडचण येत नाही, ज्यामुळे ते sophisticated real-time (परिष्कृत वास्तविक-वेळ) आणि ऑफलाइन कम्युनिकेशन अटॅक (offline communication attacks) करू शकतात."
AI मुळे सायबर गुन्हेगार पूर्वी वेळखाऊ आणि कष्टाचे असलेले कामे आपोआप करू शकतात. उदाहरणार्थ, AI चा उपयोग करून काही मिनिटांत हजारो वैयक्तिक फिशिंग ईमेल तयार करता येतात, ज्यामुळे कोणीतरी या घोटाळ्याला बळी पडण्याची शक्यता वाढते.
शिवाय, AI चा उपयोग फिशिंग ईमेल (phishing email) आणि इतर सोशल इंजिनीअरिंग अटॅकची (social engineering attacks) गुणवत्ता सुधारण्यासाठी केला जाऊ शकतो. वापरकर्त्यांचा डेटा विश्लेषण (user data analysis) करून आणि संदेश (message) वैयक्तिक recipient (प्राप्तकर्ता) नुसार तयार करून, सायबर गुन्हेगार highly convincing scams (खूप आकर्षक घोटाळे) तयार करू शकतात, जे ओळखणे कठीण असते.
केनियामधील धोक्याचे स्वरूप
केनियातील अधिकारी AI-सक्षम सायबर हल्ल्यांच्या (AI-enabled cyberattacks) वाढीबद्दल धोक्याचा इशारा देत आहेत. ऑक्टोबर 2024 मध्ये, केनियाच्या कम्युनिकेशन अथॉरिटीने (Communications Authority of Kenya - CA) AI-सक्षम सायबर हल्ल्यांमध्ये वाढ झाल्याचा इशारा दिला.
CA चे महासंचालक (Director-General) डेव्हिड मुगोनी म्हणाले, "सायबर गुन्हेगार त्यांच्या operations (कारवाया) अधिक कार्यक्षम करण्यासाठी AI-सक्षम हल्ल्यांचा वापर करत आहेत. ते फिशिंग ईमेल (phishing email) आणि इतर सोशल इंजिनीअरिंगचे प्रकार (types of social engineering) तयार करण्यासाठी AI आणि मशीन लर्निंगचा (machine learning) उपयोग करत आहेत."
ते पुढे म्हणाले की, हल्लेखोर (attackers) unauthorized access (अनधिकृत प्रवेश) मिळवण्यासाठी, संवेदनशील डेटा (sensitive data) चोरण्यासाठी आणि मालवेअर (malware) deploy (तैनात) करण्यासाठी system misconfigurations (सिस्टम मिसकॉन्फिगरेशन) चा वापर करत आहेत.
केनिया एकटाच या धोक्याचा सामना करत नाहीये. जगभरातील देश AI-सक्षम सायबर गुन्ह्यांच्या (AI-enabled cybercrime) आव्हानांना तोंड देत आहेत.
AI साधनांची उपलब्धता (Accessibility) आणि सायबर हल्ल्यांची वाढती sophistication (परिष्करण) यामुळे संस्था (organizations) आणि व्यक्तींना (individuals) स्वतःचे संरक्षण करणे अधिक कठीण होत आहे.
AI चे संरक्षण करण्यासाठी शस्त्र स्पर्धा
जसजसे AI स्वीकारण्याची गती वाढत आहे, तसतसे त्याचे संरक्षण करण्यासाठी शस्त्र स्पर्धा वाढत आहे. संस्था आणि वापरकर्त्यांसाठी सावधगिरी बाळगणे आता ऐच्छिक नाही, तर ते अनिवार्य आहे.
AI-सक्षम सायबर गुन्ह्यांचे धोके कमी करण्यासाठी, संस्थांनी multi-layered security approach (बहु-स्तरीय सुरक्षा दृष्टीकोन) स्वीकारण्याची गरज आहे, ज्यामध्ये खालील गोष्टींचा समावेश आहे:
- AI-powered threat detection (AI-शक्तीशाली धोके शोधणे): AI-आधारित सुरक्षा सोल्यूशन्स (security solutions) लागू करणे, जे AI-सक्षम हल्ल्यांना real-time (वास्तविक वेळेत) शोधू शकतात आणि त्यावर प्रतिक्रिया देऊ शकतात.
- Employee training (कर्मचारी प्रशिक्षण): कर्मचाऱ्यांना AI-शक्तीशाली सोशल इंजिनीअरिंग हल्ल्यांच्या धोक्यांबद्दल शिक्षित करणे आणि त्यांना हे scams (घोटाळे) ओळखण्यासाठी आणि टाळण्यासाठी कौशल्ये प्रदान करणे.
- Strong access controls (मजबूत प्रवेश नियंत्रण): संवेदनशील डेटा (sensitive data) आणि सिस्टीम्समध्ये (systems) unauthorized access (अनधिकृत प्रवेश) रोखण्यासाठी मजबूत प्रवेश नियंत्रणे (access controls) लागू करणे.
- Regular security audits (नियमित सुरक्षा ऑडिट): सिस्टीम्स (systems) आणि इन्फ्रास्ट्रक्चरमधील (infrastructure) vulnerabilities ( असुरक्षितता) ओळखण्यासाठी आणि त्यांचे निराकरण करण्यासाठी नियमित सुरक्षा ऑडिट (security audits) करणे.
- Collaboration and information sharing (सहकार्य आणि माहितीची देवाणघेवाण): AI-सक्षम सायबर गुन्ह्यांविरुद्ध सामूहिक संरक्षण सुधारण्यासाठी इतर संस्था आणि सुरक्षा प्रदात्यांसोबत धोक्याची माहिती (threat intelligence) शेअर (share) करणे.
- Ethical AI development and deployment (नैतिक AI विकास आणि तैनाती): AI प्रणाली नैतिक (ethically) आणि जबाबदारीने (responsibly) विकसित आणि तैनात केल्या जातील याची खात्री करणे, गैरवापर टाळण्यासाठी सुरक्षा उपाय (safeguards) ठेवणे.
AI-सक्षम सायबर गुन्ह्यांपासून स्वतःचा बचाव करण्यासाठी व्यक्ती (individuals) देखील काही उपाय करू शकतात, ज्यात खालील गोष्टींचा समावेश आहे:
- Being wary of unsolicited emails and messages (अनोळखी ईमेल आणि संदेशांबद्दल सावधगिरी बाळगणे): अनोळखी senders (प्रेषक) कडून येणारे ईमेल आणि संदेश उघडताना दक्षता बाळगणे, विशेषत: ज्यामध्ये लिंक्स (links) किंवा attachments (जोडपत्रे) आहेत.
- Verifying the authenticity of websites and applications (वेबसाइट्स आणि ऍप्लिकेशन्सची सत्यता पडताळणे): कोणतीही वैयक्तिक माहिती (personal information) देण्यापूर्वी वेबसाइट्स (websites) आणि ऍप्लिकेशन्स कायदेशीर (legitimate) असल्याची खात्री करणे.
- Using strong passwords and enabling multi-factor authentication (मजबूत पासवर्ड वापरणे आणि मल्टी-फॅक्टर ऑथेंटिकेशन enable (सक्षम) करणे): खात्यांचे (accounts) संरक्षण करण्यासाठी मजबूत, unique passwords (अद्वितीय पासवर्ड) वापरणे आणि शक्य असेल तेव्हा मल्टी-फॅक्टर ऑथेंटिकेशन (multi-factor authentication) enable (सक्षम) करणे.
- Keeping software up to date (सॉफ्टवेअर अद्ययावत ठेवणे): सुरक्षा vulnerabilities ( असुरक्षितता) patch (दुरुस्त) करण्यासाठी सॉफ्टवेअर (software) आणि ऑपरेटिंग सिस्टीम्स (operating systems) नियमितपणे अपडेट (update) करणे.
- Reporting suspected scams (संशयास्पद scams (घोटाळे) रिपोर्ट (नोंद) करणे): संशयास्पद scams (घोटाळे) योग्य अधिकाऱ्यांकडे रिपोर्ट (नोंद) करणे.
AI-सक्षम सायबर गुन्ह्यांविरुद्धचा (AI-enabled cybercrime) लढा अजूनही चालू आहे. माहितीमध्ये राहून, मजबूत सुरक्षा उपाय (robust security measures) स्वीकारून आणि एकत्र काम करून, संस्था (organizations) आणि व्यक्ती (individuals) या विकसित धोक्यांचे (evolving threats) बळी ठरण्याचा धोका कमी करू शकतात.