डीपफेक ऑन द कॉल: ग्लोबल ज़ूम हैक से उत्पन्न एसएनएस चेन हाईजैक का झटका

1. परिचय―“Zoom में दिखने वाला मित्र” असली है क्या?

ऑनलाइन बैठकें 2025 में रोजमर्रा की बात हो गई हैं, और हम स्क्रीन पर दिखने वाली छवि पर शक नहीं करते। लेकिन जून के अंत में, जापान के सोशल मीडिया पर "Zoom के दौरान संपत्ति चोरी हो गई" की चीखें सुनाई दीं। पीड़ितों के क्रिप्टोकरेंसी वॉलेट खाली कर दिए गए और X (पूर्व Twitter) और Telegram खातों को भी हैक कर लिया गया।internet.watch.impress.co.jp

2. हमले के प्रवाह का गहन विश्लेषण

1. संपर्क ― अपराधी पहले से हैक किए गए परिचित के X/Telegram से "बात करनी है" का संदेश भेजते हैं।

2. वीडियो कॉल ― Zoom पर ले जाकर, डीपफेक से बनाए गए परिचित के “वीडियो” का लाइव प्रसारण करते हैं। आवाज नहीं निकालते और "माइक खराब है" का बहाना देते हैं।

3. फर्जी अपडेट ― चैट में "साउंड ड्राइवर को अपडेट करें" का लिंक भेजते हैं। असल में यह एक इंफोस्टीलर प्रकार का मैलवेयर होता है।

4. चोरी और विस्तार ― MetaMask के सीड, ब्राउज़र कुकी, X टोकन को निकालकर, क्रिप्टो संपत्ति को स्वचालित रूप से भेजते हैं। नए हैक किए गए सोशल मीडिया से अगले शिकार की तलाश करते हैं।internet.watch.impress.co.jp

3. सोशल मीडिया पर हलचल भरी प्रतिक्रिया

❝⚠️ फर्जी Zoom से क्रिप्टोकरेंसी गायब हो गई। अगर आवाज की समस्या बताई जाए तो तुरंत समाप्त करें!❞
— @Crypto_AI_chan_（2025年6月22日）x.com


इसी तरह की चेतावनी अंग्रेजी भाषी क्षेत्रों में भी फैली, और "#DeepfakeScam" X पर ट्रेंड में आया।

4. विदेशी उदाहरण: “ELUSIVE COMET” अभियान

अप्रैल में, NFT प्लेटफॉर्म Emblem Vault के CEO ने Zoom के माध्यम से $100,000 मूल्य की संपत्ति खो दी। खतरे के अभिनेता को “ELUSIVE COMET” नाम दिया गया, जो इंटरव्यू अनुरोध का बहाना बनाकर रिमोट एक्सेस प्राप्त करते हैं और वॉलेट को खाली कर देते हैं।jp.cointelegraph.com

5. आवाज को गायब करने का कारण―डीपफेक तकनीक का विकास

वर्तमान में, व्यक्तियों के उच्च-प्रेसिजन फेक वीडियो बनाना आसान है, लेकिन प्राकृतिक सिंथेटिक आवाज और रीयल-टाइम लिप-सिंकिंग अभी भी चुनौतीपूर्ण है। इस कमी का फायदा उठाते हुए अपराधी "माइक खराब" का बहाना बनाते हैं और बिना आवाज के वीडियो से विश्वास दिलाते हैं।

6. तकनीकी दृष्टिकोण: रिमोट कंट्रोल और इंफोस्टीलर

Zoom डिफ़ॉल्ट रूप से होस्ट को प्रतिभागियों से रिमोट कंट्रोल अनुरोध की अनुमति देता है, और अगर सामाजिक इंजीनियरिंग सफल होती है, तो पूरे पीसी को नियंत्रित किया जा सकता है। मैलवेयर में कुकी डंप/क्लिपबोर्ड हाईजैक मॉड्यूल होते हैं, जो क्रिप्टो संपत्ति के लिए ब्राउज़र एक्सटेंशन को स्कैन करते हैं।

7. नुकसान को बढ़ाने वाली “द्वितीयक संक्रमण”

हैक किए गए सोशल मीडिया खातों का उपयोग करके, मित्र सूची का विश्लेषण कर फिशिंग को फिर से भेजा जाता है। इसे पारंपरिक ईमेल प्रकार की तुलना में अधिक विश्वसनीयता वाला "सोशल ग्राफ्ट अटैक" कहा जाता है।

8. कंपनी जोखिम और कानूनी चुनौतियाँ

सीमाओं के पार नुकसान की जांच के लिए बहुपक्षीय न्यायिक सहयोग आवश्यक है, लेकिन डीपफेक विनियमन में एकरूपता नहीं है। EU AI अधिनियम के तहत "उच्च जोखिम AI" पर लेबलिंग अनिवार्य करने की दिशा में बढ़ रहा है, जबकि एशियाई देशों में यह केवल दिशानिर्देशों तक सीमित है।

9. विशेषज्ञ टिप्पणी

• Samczsun (SEAL शोधकर्ता)"Zoom का रिमोट ऑपरेशन कार्यक्षमता बढ़ाने के लिए है, लेकिन “डिफ़ॉल्ट रूप से चालू” होने से हमले की सतह बढ़ जाती है"jp.cointelegraph.com

• Digital Arts कंपनी खतरा विश्लेषण विभाग (जापान)"रैंसमवेयर नुकसान का 34% प्रमाणिकता जानकारी के लीक के कारण होता है। यह मामला एक आदर्श उदाहरण है"cybersecurity-info.com

10. विशिष्ट उपाय चेकलिस्ट

11. भविष्य की दृष्टि

जैसे-जैसे आवाज डीपफेक की सटीकता बढ़ेगी, "आवाज सुनाई नहीं दे रही" का बहाना अनावश्यक हो जाएगा, और नुकसान की खोज की कठिनाई बढ़ जाएगी। जनरेटिव AI का लोकतंत्रीकरण सुविधा और खतरे दोनों को बढ़ाता है, और इंटरनेट साक्षरता शिक्षा के लिए अंतरराष्ट्रीय सहयोग की आवश्यकता है।

12. निष्कर्ष

“जिस व्यक्ति पर आप भरोसा करते हैं” की छवि वास्तव में AI द्वारा बनाई गई नकाब हो सकती है―। जब फिशिंग ईमेल को पहचानना आसान हो गया है, अगला लक्ष्य वीडियो कॉल है। प्रत्येक व्यक्ति को तकनीक और मानव मनोविज्ञान दोनों को समझना चाहिए, और क्लिक करने से पहले "क्या यह वास्तव में वही व्यक्ति है?" स्वयं से पूछना सबसे बड़ी सुरक्षा दीवार बन सकता है।