Huntress के शोधकर्ताओं ने बताया कि एक कृत्रिम बुद्धिमत्ता (AI) आधारित फ़िशिंग अभियान ने दुनिया भर में सैकड़ों संगठनों के Microsoft क्लाउड खातों को प्रभावित किया है। इस अभियान में ऐसे अनूठे फ़िशिंग लूज़ का उपयोग किया गया, जिन्हें AI उपकरणों के माध्यम से उत्पन्न किया गया होने का संदेह है।
Huntress की पहचान टीम के उत्पाद प्रबंधक रिच मोज़ेलेस्की ने CyberScoop को बताया कि यह अभियान फिलहाल एक छोटे अपराधी और लगभग दर्जनभर IP पतों से जुड़ा है, लेकिन पिछले कुछ हफ्तों में सैकड़ों लक्ष्यों को प्रभावित कर चुका है। मार्च 3 से इस हमले की गति तेज़ हो गई, जबकि पहले केवल कुछ दर्जन लक्ष्यों पर दैनिक प्रभाव था।
“हमलों की मात्रा अत्यधिक थी और उनकी प्रभावशीलता अभूतपूर्व थी,” मोज़ेलेस्की ने कहा। पारंपरिक फ़िशिंग अभियानों के विपरीत, इन ईमेल्स में कोई दोहराव वाले डोमेन या सामग्री नहीं थी, जो दिखाता है कि AI का उपयोग करके बड़े पैमाने पर अनूठे लूज़ बनाए गए। तकनीक में पारंपरिक ईमेल लालच से लेकर QR कोड और फाइल-शेयर साइटों का दुरुपयोग शामिल था।
अभियान विशेष रूप से Microsoft के ऑथेंटिकेशन फ़्लो को लक्षित कर रहा था, जैसे स्मार्ट टीवी, प्रिंटर और टर्मिनल्स। इससे हमलावर OAuth टोकन प्राप्त कर सकते थे, जो 90 दिनों तक वैध रहते हैं, बिना पासवर्ड या मल्टी-फैक्टर ऑथेंटिकेशन की आवश्यकता के। Huntress ने कहा कि उसने अपने ग्राहकों के मामलों में पोस्ट-कॉम्प्रोमाइज गतिविधि को रोका, लेकिन अनुमान है कि कुल पीड़ितों की संख्या हजारों में हो सकती है, जो रिपोर्ट में उल्लिखित 344 से कहीं अधिक है।
FCRF Launches Premier CISO Certification Amid Rising Demand for Cybersecurity Leadership
प्रभावित क्षेत्रों में निर्माण, व्यापार, कानून फर्म, गैर-लाभकारी संस्थाएं, रियल एस्टेट, विनिर्माण, वित्त, बीमा, स्वास्थ्य सेवा और सरकारी/सार्वजनिक सुरक्षा संगठन शामिल थे। Huntress ने खतरे को कम करने के लिए 60,000 Microsoft क्लाउड टेनेंट्स पर कंडीशनल एक्सेस पॉलिसी अपडेट जारी किया, जिससे Railway से जुड़े ईमेल ब्लॉक किए गए।
Railway प्लेटफ़ॉर्म का फ़िशिंग अवसंरचना के लिए दुरुपयोग
शोधकर्ताओं ने बताया कि हमलावरों ने Railway का Platform as a Service (PaaS) इस्तेमाल किया, जो मूल रूप से गैर-कोडर्स को वेबसाइट और टूल बनाने में मदद करता है। दुरुपयोग किए गए डोमेन और AI-जनित लूज़ से फ़िशिंग अभियान ने अधिकांश व्यावसायिक ईमेल फ़िल्टरों को पार किया। सभी हमले Railway.com IP अवसंरचना से उत्पन्न हुए।
Railway के समाधान इंजीनियर एंजेलो सरासेनो ने पुष्टि की कि कंपनी को मार्च 6 को सूचित किया गया और संबंधित खाते और डोमेन ब्लॉक कर दिए गए। उन्होंने कहा कि धोखाधड़ी पहचान और झूठी चेतावनी के बीच संतुलन बनाना चुनौतीपूर्ण है।
मोज़ेलेस्की ने सुझाव दिया कि Railway, MailChimp और HubSpot जैसी SaaS ट्रायल सेवाओं की तरह, उपयोगकर्ता सत्यापन और संसाधन नियंत्रण को सख़्त कर सकती है, ताकि प्लेटफ़ॉर्म का दुरुपयोग साइबर हमलों के लिए न हो।
AI छोटे साइबर अपराधियों के लिए अवसर बढ़ा रहा है
सुरक्षा विशेषज्ञों के अनुसार, यह अभियान दिखाता है कि छोटे साइबर अपराधी भी जनरेटिव AI का लाभ उठा रहे हैं। Huntress के प्रमुख उत्पाद अधिकारी प्रकाश रामामूर्ति ने कहा, “AI का पहला लाभ लेने वाले क्रिमिनल खुद हैं। वे PII और मॉडल प्रशिक्षण का कोई भेदभाव नहीं करते, और यह अभियान दिखाता है कि AI कितनी तेजी से हमलों को बढ़ा सकता है।”
यह घटना दर्शाती है कि खतरे का परिदृश्य बदल रहा है, जहां AI-जनित अवसंरचना और सामग्री छोटे समूहों को उन्नत या राज्य-संशोधित हमलों के समान क्षमता देती है। विशेषज्ञ चेतावनी देते हैं कि संगठनों को साइबर सुरक्षा नीतियों और निगरानी को AI-जनित फ़िशिंग खतरों के अनुसार अनुकूलित करना होगा।
Huntress की रिपोर्ट से स्पष्ट होता है कि कंडीशनल एक्सेस पॉलिसी, मल्टी-फैक्टर ऑथेंटिकेशन, और AI-सावधान खतरे खुफिया उपाय विशेष रूप से क्लाउड वातावरण में आवश्यक हैं, ताकि ऑटोमेटेड और बड़े पैमाने पर फ़िशिंग हमलों का खतरा कम किया जा सके।
