डीपफेक वीडियो कॉल: कैसे स्कैमर्स Zoom पर आपके बॉस का रूप धारण करते हैं

जानें कि अपराधी Zoom और Teams कॉल पर एग्ज़ीक्यूटिव का रूप धारण करने के लिए रियल-टाइम डीपफेक तकनीक का कैसे उपयोग करते हैं। रणनीतियों और अपने संगठन को सुरक्षित करने का तरीका समझें।

· Truvizy Research Team · 8 min read

TL;DR

रियल-टाइम डीपफेक तकनीक अब स्कैमर्स को लाइव Zoom और Teams कॉल पर एग्ज़ीक्यूटिव का प्रतिरूपण करने देती है, कर्मचारियों को अनधिकृत वायर ट्रांसफर करने के लिए धोखा देती है। $25 मिलियन हांगकांग मामला एकमात्र घटना नहीं थी। मल्टी-चैनल वेरिफिकेशन प्रोटोकॉल और AI-संचालित डिटेक्शन टूल्स से खुद को सुरक्षित करें।

वीडियो कॉल पर एक वास्तविक एग्ज़ीक्यूटिव और उनके डीपफेक इम्पर्सनेटर को दिखाने वाली स्प्लिट स्क्रीन
वीडियो कॉल पर एक वास्तविक एग्ज़ीक्यूटिव और उनके डीपफेक इम्पर्सनेटर को दिखाने वाली स्प्लिट स्क्रीन

आप एक Zoom कॉल जॉइन करते हैं और स्क्रीन पर अपने CFO का चेहरा देखते हैं। आवाज़ मिलती है। तौर-तरीके परिचित हैं। वे पिछले हफ्ते चर्चा किए गए एक सौदे का संदर्भ देते हैं और आपसे अधिग्रहण को अंतिम रूप देने के लिए एक तत्काल वायर ट्रांसफर प्रोसेस करने को कहते हैं। सब कुछ सही लगता है, तो आप भुगतान शुरू करते हैं। सिवाय इसके कि आपकी स्क्रीन पर वह व्यक्ति आपका CFO नहीं था। वह एक अपराधी था जो रियल-टाइम डीपफेक मास्क पहने हुए था, और पैसा गायब हो चुका है।

यह विज्ञान कथा नहीं है। यह एक प्रलेखित हमले का तरीका है जो पहले ही व्यक्तिगत संगठनों को करोड़ों डॉलर का नुकसान पहुंचा चुका है। रियल-टाइम डीपफेक तकनीक इतनी उन्नत हो गई है कि फेस-स्वैपिंग लाइव वीडियो फीड पर इतनी कम लेटेंसी के साथ लागू की जा सकती है कि यह सामान्य वीडियो कॉल लगे। वॉइस क्लोनिंग के साथ मिलाकर, यह बिज़नेस धोखाधड़ी का एक शक्तिशाली नया रूप बनाता है जो उन्हीं टूल्स का शोषण करता है जिन पर संगठन रिमोट सहयोग के लिए निर्भर हैं।

लाइव डीपफेक प्रतिरूपण का उदय

बिज़नेस ईमेल कंप्रोमाइज़ (BEC) एक दशक से अधिक समय से साइबर अपराध के सबसे महंगे रूपों में से एक रहा है। पारंपरिक तरीके में किसी एग्ज़ीक्यूटिव के ईमेल अकाउंट को स्पूफ या कंप्रोमाइज़ करना और धोखाधड़ीपूर्ण भुगतान निर्देश भेजना शामिल था। जैसे-जैसे संगठनों ने ईमेल वेरिफिकेशन प्रोटोकॉल लागू किए, अपराधियों ने अनुकूलन किया। डीपफेक वीडियो कॉल BEC का स्वाभाविक विकास है, टेक्स्ट-आधारित प्रतिरूपण को कहीं अधिक विश्वसनीय ऑडियो-विज़ुअल प्रतिरूपण से बदल रहा है।

लाइव डीपफेक कॉल के लिए आवश्यक तकनीकी स्टैक आश्चर्यजनक रूप से सुलभ हो गया है। ओपन-सोर्स फेस-स्वैपिंग मॉडल कंज़्यूमर-ग्रेड GPU पर चल सकते हैं, वर्चुअल कैमरा सॉफ्टवेयर Zoom या Teams तक पहुंचने से पहले वीडियो फीड को इंटरसेप्ट करता है, और सार्वजनिक रूप से उपलब्ध ऑडियो सैंपल पर प्रशिक्षित वॉइस-क्लोनिंग टूल्स ऑडियो संभालते हैं। मध्यम तकनीकी कौशल और कुछ घंटों की तैयारी वाला हमलावर लगभग किसी भी व्यक्ति का स्वीकार्य रियल-टाइम प्रतिरूपण बना सकता है जिसका चेहरा और आवाज़ सार्वजनिक रूप से उपलब्ध है।

डीपफेक वीडियो कॉल हमले की संरचना

एक परिष्कृत डीपफेक कॉल हमला आमतौर पर कॉल से हफ्तों पहले शुरू होता है। हमलावर जासूसी करता है, लक्षित संगठन की संरचना का अध्ययन करता है, पहचानता है कि कौन से कर्मचारियों के पास भुगतान शुरू करने का अधिकार है, और प्रतिरूपित किए जाने वाले एग्ज़ीक्यूटिव के वीडियो और ऑडियो सैंपल एकत्र करता है। LinkedIn, YouTube कॉन्फ्रेंस प्रेज़ेंटेशन, पॉडकास्ट उपस्थिति और कॉर्पोरेट मार्केटिंग वीडियो सभी स्रोत सामग्री प्रदान करते हैं।

फिर हमलावर कॉल शेड्यूल करने के लिए एग्ज़ीक्यूटिव के कैलेंडर और ईमेल को कंप्रोमाइज़ या स्पूफ करता है। मीटिंग इनविटेशन वास्तविक लगता है, सही ईमेल एड्रेस या कैलेंडर सिस्टम से भेजा गया, अक्सर उस समय के लिए तय किया जाता है जब असली एग्ज़ीक्यूटिव अनुपलब्ध हो जैसे यात्रा या ज्ञात छुट्टी के दौरान। कॉल के दौरान, हमलावर धोखाधड़ीपूर्ण अनुरोध से पहले विश्वसनीयता बनाने के लिए वास्तविक प्रोजेक्ट्स, वास्तविक सहकर्मियों और वास्तविक सौदों का संदर्भ देने वाले तैयार बातों का उपयोग करता है।

इन हमलों को विनाशकारी बनाने वाली बात यह है कि ये वीडियो संचार के अंतर्निहित विश्वास का शोषण करते हैं। दशकों से, वीडियो कॉल पर किसी का चेहरा देखना विश्वसनीय पहचान सत्यापन माना जाता रहा है। यह धारणा अब खतरनाक रूप से पुरानी हो गई है। डीपफेक कैसे काम करते हैं और आप किन दृश्य संकेतों को देख सकते हैं, इसकी गहन जानकारी के लिए, डीपफेक वीडियो पहचानने की गाइड देखें।

हांगकांग मामला: एक कॉल में $25 मिलियन

सबसे व्यापक रूप से रिपोर्ट की गई डीपफेक वीडियो कॉल धोखाधड़ी हांगकांग में हुई, जहां एक बहुराष्ट्रीय फर्म के एक वित्त कर्मचारी को एक वीडियो कॉन्फ्रेंस के बाद लगभग $25 मिलियन ट्रांसफर करने का धोखा दिया गया, जिसमें कंपनी के CFO और कई अन्य वरिष्ठ एग्ज़ीक्यूटिव शामिल दिखे। कर्मचारी ने शुरू में ट्रांसफर का अनुरोध करने वाले ईमेल पर संदेह किया था लेकिन वीडियो कॉल में कई परिचित चेहरों के साथ निर्देशों की पुष्टि होने के बाद आश्वस्त हो गया।

जासूसी से फंड निकालने तक डीपफेक वीडियो कॉल हमले के चरणों की समयरेखा
जासूसी से फंड निकालने तक डीपफेक वीडियो कॉल हमले के चरणों की समयरेखा

इस मामले को विशेष रूप से चिंताजनक बनाने वाली बात डीपफेक की बहु-प्रतिभागी प्रकृति थी। एक ही एग्ज़ीक्यूटिव का प्रतिरूपण करने के बजाय, हमलावरों ने एक साथ कई लोगों के रियल-टाइम डीपफेक जनरेट किए, एक ग्रुप मीटिंग का भ्रम पैदा किया जहां हर प्रतिभागी सिंथेटिक था। इसने अनुरोध की कथित वैधता को काफी बढ़ाया क्योंकि लक्षित कर्मचारी ने "कई" विश्वसनीय सहकर्मियों को एक ही निर्देश की पुष्टि करते देखा।

इस मामले ने एक महत्वपूर्ण कमज़ोरी को रेखांकित किया: जिन संगठनों ने ईमेल सुरक्षा में भारी निवेश किया था, उनके पास वीडियो संचार के लिए समकक्ष सुरक्षा नहीं थी। कर्मचारी ने सभी मौजूदा प्रोटोकॉल का पालन किया, वरिष्ठ नेतृत्व के साथ वीडियो कॉल पर अनुरोध सत्यापित किया, लेकिन सत्यापन विधि स्वयं ही कंप्रोमाइज़ हो गई थी।

संदिग्ध वीडियो रिकॉर्डिंग मिली? Truvizy से मुफ्त में स्कैन करें

तकनीकी सीमाएं जिनका स्कैमर्स शोषण करते हैं

रियल-टाइम डीपफेक परिपूर्ण नहीं हैं। वे प्रोसेसिंग लेटेंसी जोड़ते हैं, तेज़ सिर की गति से जूझते हैं, चेहरे को पार करते हाथों पर आर्टिफैक्ट उत्पन्न करते हैं, और अक्सर पर्यावरणीय प्रकाश से मेल खाने में कठिनाई होती है। हालांकि, स्कैमर्स जानबूझकर वीडियो कॉन्फ्रेंसिंग की सीमाओं का शोषण करते हैं ताकि इन संकेतों को छिपाया जा सके। कम-रिज़ॉल्यूशन वीडियो स्ट्रीम, बैंडविड्थ उतार-चढ़ाव और कंप्रेशन आर्टिफैक्ट जो वीडियो कॉल पर सामान्य होते हैं, डीपफेक खामियों को सुविधाजनक रूप से छिपाते हैं।

हमलावर अक्सर कैमरा गुणवत्ता कम रखने, स्क्रीन शेयरिंग अक्षम करने, या कॉल के कुछ हिस्सों में अपना वीडियो बंद रखने के कारण के रूप में खराब इंटरनेट कनेक्टिविटी का दावा करते हैं। वे कॉल को छोटा और धोखाधड़ीपूर्ण अनुरोध पर केंद्रित रखते हैं ताकि पता लगने की संभावना कम हो। कुछ तो डीपफेक खराब होने लगने पर नकली "तकनीकी कठिनाइयां" भी दिखाते हैं, कॉल काटकर सत्र रीसेट करने के लिए वापस कॉल करते हैं। ये वही तरीके हैं जो सेलिब्रिटी डीपफेक स्कैम अभियानों में उपयोग किए जाते हैं, कॉर्पोरेट संदर्भ के लिए अनुकूलित।

लाइव कॉल के दौरान डीपफेक कैसे पहचानें

हालांकि लाइव कॉल के दौरान वीडियो को डिटेक्शन टूल से चलाना उतना आसान नहीं है जितना पहले से रिकॉर्ड किए गए कंटेंट के साथ, कई व्यावहारिक परीक्षण हैं जो आप रियल टाइम में लागू कर सकते हैं। व्यक्ति से कोई अप्रत्याशित कार्य करने को कहें: अपना सिर तेज़ी से एक तरफ मोड़ें, अपने चेहरे के पास विशिष्ट संख्या में उंगलियां दिखाएं, या अपने कमरे में दूसरी जगह जाएं। रियल-टाइम डीपफेक अचानक बदलावों से जूझते हैं, और ये अनुरोध दिखाई देने वाले आर्टिफैक्ट या देरी पैदा कर सकते हैं।

स्पीकर के होंठ की गति और उनके ऑडियो के बीच माइक्रो-डिले पर ध्यान दें। रियल-टाइम डीपफेक प्रोसेसिंग लेटेंसी जोड़ती है जो अक्सर एक सूक्ष्म लेकिन पहचानने योग्य ऑडियो-विज़ुअल डीसिंक के रूप में प्रकट होती है। चेहरे के उन किनारों पर ध्यान दें जहां यह बालों और गर्दन से मिलता है। इन सीमाओं पर जिटरिंग, ब्लरिंग या कलर शिफ्ट फेस-स्वैपिंग के मज़बूत संकेतक हैं।

अगर आपको कोई भी संदेह है, तो कॉल के दौरान अनुरोधित कार्रवाई आगे न बढ़ाएं। इसके बजाय, मीटिंग समाप्त करें और पूरी तरह से अलग चैनल के माध्यम से सत्यापित करें। व्यक्ति को सीधे उनके ज्ञात फोन नंबर पर कॉल करें, अगर वे बिल्डिंग में हैं तो उनके ऑफिस में जाएं, या उनसे किसी अन्य कम्युनिकेशन प्लेटफॉर्म के माध्यम से संपर्क करें। अगर संदिग्ध कॉल की रिकॉर्डिंग उपलब्ध है, तो व्यापक AI-संचालित प्रामाणिकता जांच के लिए इसे Truvizy के वीडियो एनालिसिस टूल से चलाएं।

वीडियो कॉल के दौरान, आपका सहकर्मी आपसे जल्दी से एक वायर ट्रांसफर प्रोसेस करने को कहता है। उनकी वीडियो गुणवत्ता कम है और वे खराब इंटरनेट का दावा करते हैं। सबसे बड़ा खतरे का निशान क्या है?

  1. वे वर्चुअल बैकग्राउंड का उपयोग कर रहे हैं
  2. वे तत्काल वित्तीय अनुरोध करते हुए खराब इंटरनेट का दावा करते हैं
  3. वे सामान्य से अलग कपड़े पहने हैं
  4. कॉल लंच के समय शेड्यूल की गई है

Answer: स्कैमर्स जानबूझकर डीपफेक आर्टिफैक्ट छिपाने के लिए कम वीडियो गुणवत्ता का उपयोग करते हैं। खराब वीडियो गुणवत्ता, तत्कालता और वित्तीय अनुरोध का संयोजन डीपफेक वीडियो कॉल धोखाधड़ी का क्लासिक पैटर्न है।

संगठनात्मक रक्षा तैयार करना

डीपफेक वीडियो कॉल धोखाधड़ी के खिलाफ़ सबसे प्रभावी रक्षा नीति, प्रशिक्षण और तकनीक का संयोजन है। एक निर्धारित सीमा से ऊपर के सभी वित्तीय लेनदेन के लिए अनिवार्य मल्टी-चैनल वेरिफिकेशन नीति लागू करके शुरू करें। कोई भी एकल संचार चैनल, चाहे ईमेल, फोन, या वीडियो कॉल, भुगतान अधिकृत करने के लिए पर्याप्त नहीं होना चाहिए। हर अनुरोध की कम से कम एक स्वतंत्र चैनल के माध्यम से पुष्टि होनी चाहिए।

डीपफेक कॉल के खिलाफ़ नीतियों, प्रशिक्षण और तकनीक की परतों को दिखाने वाला संगठनात्मक रक्षा ढांचा
डीपफेक कॉल के खिलाफ़ नीतियों, प्रशिक्षण और तकनीक की परतों को दिखाने वाला संगठनात्मक रक्षा ढांचा

वित्तीय लेनदेन या संवेदनशील जानकारी संभालने वाले सभी कर्मचारियों के लिए नियमित डीपफेक जागरूकता प्रशिक्षण आयोजित करें। इस प्रशिक्षण में रियल-टाइम डीपफेक तकनीक के उदाहरण, सिंथेटिक वीडियो पहचानने में अभ्यास अभ्यास, और संदिग्ध प्रतिरूपण प्रयासों की रिपोर्ट करने की स्पष्ट प्रक्रियाएं शामिल होनी चाहिए। कर्मचारियों के लिए वरिष्ठ नेतृत्व के निर्देशों पर सवाल उठाना और सत्यापित करना सांस्कृतिक रूप से स्वीकार्य, यहां तक कि प्रोत्साहित होना चाहिए।

संगठनात्मक सुरक्षा के व्यापक दृष्टिकोण के लिए, हमारी संपूर्ण डीपफेक सुरक्षा गाइड देखें। जिन टीमों को स्केलेबल डिटेक्शन क्षमताओं की आवश्यकता है, Truvizy की प्रोफेशनल योजनाएं उन्नत फोरेंसिक विश्लेषण और वॉल्यूम सपोर्ट प्रदान करती हैं जो सुरक्षा टीमों को चाहिए।

आज ही अपने संगठन की डीपफेक रक्षा तैयार करें

वीडियो कॉल ऑथेंटिकेशन का भविष्य

वीडियो कॉन्फ्रेंसिंग उद्योग डीपफेक खतरे पर प्रतिक्रिया देना शुरू कर रहा है, हालांकि समाधान अभी शुरुआती चरणों में हैं। प्रस्तावित दृष्टिकोणों में कॉल प्लेटफॉर्म में बिल्ट-इन क्रिप्टोग्राफिक आइडेंटिटी वेरिफिकेशन, रियल-टाइम लाइवनेस डिटेक्शन जो फेस-स्वैपिंग के संकेतों की जांच करती है, और कंटेंट प्रोवेनेंस मानकों का एकीकरण शामिल है जो स्रोत पर वीडियो फीड को प्रमाणित कर सकते हैं।

जब तक ये प्लेटफॉर्म-स्तरीय समाधान व्यापक रूप से तैनात नहीं हो जाते, ज़िम्मेदारी संगठनों और व्यक्तियों पर है कि वे खुद को सुरक्षित करें। अच्छी खबर यह है कि डीपफेक वीडियो कॉल धोखाधड़ी से बचाव करने वाली नीतियां, मल्टी-चैनल वेरिफिकेशन, वित्तीय अनुमोदन के लिए कर्तव्यों का पृथक्करण, और स्वस्थ संशयवाद की संस्कृति, वही नीतियां हैं जो कई अन्य प्रकार की व्यावसायिक धोखाधड़ी से भी सुरक्षित करती हैं।

Key Takeaways

डीपफेक वीडियो कैसे पहचानें — AI-जनित वीडियो कंटेंट को उजागर करने वाले 7 प्रमुख दृश्य और श्रवण संकेत

वीडियो प्रामाणिकता कैसे सत्यापित करें — वीडियो कंटेंट वास्तविक है या नहीं इसकी पुष्टि की चरण-दर-चरण प्रक्रिया

AI स्कैम का विकास — कैसे डीपफेक तकनीक बिज़नेस धोखाधड़ी और सोशल इंजीनियरिंग को बदल रही है

FAQ

क्या डीपफेक वास्तव में रियल-टाइम वीडियो कॉल में काम कर सकते हैं?

हां। आधुनिक फेस-स्वैपिंग टूल्स 100 मिलीसेकंड से कम लेटेंसी के साथ रियल टाइम में वीडियो फीड प्रोसेस कर सकते हैं, जो उन्हें लाइव वीडियो कॉन्फ्रेंस के लिए व्यवहार्य बनाता है। गुणवत्ता पहले से रिकॉर्ड किए गए डीपफेक से कम होती है लेकिन अक्सर प्रतिभागियों को धोखा देने के लिए पर्याप्त होती है, विशेष रूप से सामान्य-गुणवत्ता वीडियो कॉल पर।

कंपनियों को डीपफेक वीडियो कॉल स्कैम से कितना नुकसान हुआ है?

सबसे प्रचारित मामले में हांगकांग में एक ही घटना से $25 मिलियन का नुकसान हुआ। उद्योग अनुमानों के अनुसार 2025 तक डीपफेक-सक्षम बिज़नेस ईमेल कंप्रोमाइज़ और वीडियो कॉल धोखाधड़ी से वैश्विक स्तर पर संचयी नुकसान सैकड़ों मिलियन तक पहुंच गया।

अगर मुझे संदेह है कि वीडियो कॉल डीपफेक है तो मुझे क्या करना चाहिए?

कोई भी फंड ट्रांसफर न करें और कोई संवेदनशील जानकारी साझा न करें। कॉलर से कोई अप्रत्याशित कार्य करने को कहें जैसे अपने ऑफिस में कोई विशिष्ट वस्तु दिखाने के लिए मुड़ना। कॉल समाप्त करें और ज्ञात फोन नंबर या व्यक्तिगत पुष्टि जैसे अलग, विश्वसनीय संचार चैनल के माध्यम से अनुरोध सत्यापित करें।

क्या वीडियो कॉन्फ्रेंसिंग प्लेटफॉर्म डीपफेक का पता लगा सकते हैं?

2026 तक, अधिकांश मुख्यधारा वीडियो कॉन्फ्रेंसिंग प्लेटफॉर्म में बिल्ट-इन डीपफेक डिटेक्शन नहीं है। कुछ एंटरप्राइज़ सिक्योरिटी वेंडर ऐड-ऑन समाधान प्रदान करते हैं जो सिंथेटिक आर्टिफैक्ट के लिए वीडियो फीड का विश्लेषण करते हैं, लेकिन अपनाना अभी सीमित है।

क्या छोटे व्यवसायों को भी खतरा है या केवल बड़ी कॉर्पोरेशंस को?

छोटे और मध्यम व्यवसाय तेज़ी से निशाने पर हैं क्योंकि उनके पास अक्सर बड़े संगठनों के जैसे वेरिफिकेशन प्रोटोकॉल और सुरक्षा प्रशिक्षण नहीं होते। कम लेनदेन सीमा का मतलब कम व्यक्तिगत नुकसान है, लेकिन हज़ारों लक्ष्यों में संचयी प्रभाव बहुत बड़ा है।