AI Phishing in 2026: ऐसे हमलों की पहचान कैसे करें जो असल लोगों की तरह लगते हैं

1. पुराने नियम खत्म हो गए हैं

पहले फ़िशिंग ईमेल की पहचान करने का एक विश्वसनीय तरीका था। खराब व्याकरण। एक नाइजीरियन राजकुमार आपका बैंक खाता मांगता हुआ। "प्रिय मूल्यवान ग्राहक।" गलत वर्तनी वाले डोमेन से तात्कालिक अनुरोध। आप इसे आधा सेकंड में स्किम कर सकते थे और डिलीट कर देते थे।

उस तरह का फ़िशिंग अब मर चुका है।

2026 में, वह ईमेल जो आपसे वायर ट्रांसफर की मंजूरी मांगता था, AI द्वारा लिखा गया था — आपके CFO की वास्तविक लेखन शैली का उपयोग करते हुए, जो सालों के LinkedIn पोस्ट, कंपनी न्यूज़लेटर्स और Slack स्क्रीनशॉट्स से स्क्रेप की गई थी। आपके "बैंक" का वॉइस मेसेज पॉडकास्ट के तीन सेकंड के ऑडियो से क्लोन किया गया था। आपके "CEO" और दो "एक्जीक्यूटिव्स" के साथ वीडियो कॉल एक लाइव डीपफेक थी जो सस्ता हार्डवेयर पर चल रही थी। और जिस फ़िशिंग पेज पर आप पहुँचे थे, वह एक रियल-टाइम प्रॉक्सी था जिसने आपका पासवर्ड, आपका MFA कोड और आपका सेशन कुकी — सब एक साथ — रिकॉर्ड कर लिया था — इससे पहले कि आपने टाइप करना भी खत्म किया था।

पुरानी चेकलिस्ट को अपडेट करने की आवश्यकता नहीं है। उसे पूरी तरह से बदलने की आवश्यकता है।

यह मार्गदर्शिका बताती है कि अब AI फ़िशिंग कैसे काम करता है, 2026 में वास्तविक चेतावनी संकेत कैसे दिखते हैं, और — सबसे महत्वपूर्ण — आप इसके बारे में वास्तव में क्या कर सकते हैं।

2. आँकड़ों द्वारा: स्थिति कितनी खराब है

तेज़ी चौंकाने वाली है। दिसंबर 2025 में, Hoxhunt का खतरा पहचान नेटवर्क ने रिकॉर्ड किया 14× उछाल AI-जनित फ़िशिंग ईमेल में पिछले महीने की तुलना में — एक अकेला छुट्टियों का spike जिसने AI-सहायता प्राप्त फ़िशिंग को इनबॉक्स में पहुँचने वाले सभी फ़िशिंग का 5% से कम से बढ़ाकर 56% से अधिक कर दिया। वह अनुपात शुरुआत 2026 में लगभग 40% पर स्थिर हुआ, लेकिन रुझान स्पष्ट है। इस बीच, adversary-in-the-middle (AiTM) हमले जो मल्टी-फ़ैक्टर ऑथेंटिकेशन को बाइपास करते हैं 2024 में बढ़े, और डीपफेक वीडियो स्कैम 2025 में बढ़े। 146% 2024 में, और डीपफेक वीडियो घोटाले 2025 में। 700% 2025 में।

90% से अधिक साइबर हमले अभी भी फ़िशिंग से शुरू होते हैं। एक औसत कर्मचारी एक फ़िशिंग लिंक पर क्लिक करने में 21 सेकंड। और फ़िशिंग सबसे महंगा प्रारम्भिक हमला वेक्टर बना हुआ है, जिसके कारण संगठनों पर औसतन $4.88 मिलियन प्रति उल्लंघन खर्च आता है।

3. AI फ़िशिंग वास्तव में कैसे काम करती है

हमले को समझना रक्षा की पहली कुंजी है। अब कई six पृथक श्रेणियाँ हैं जो अलग-अलग कमजोरियों को निशाना बनाती हैं।

3.1 AI-जनित स्पीयर फ़िशिंग ईमेल

पुराना फ़िशिंग संख्या का खेल था — लाखों सामान्य ईमेल भेजो और उम्मीद करो कि कोई क्लिक करेगा। AI फ़िशिंग अब सर्जिकल है।

हमलावर एक LLM को— कभी-कभी एक वैध मॉडल, कभी-कभी WormGPT या FraudGPT जैसे अपराधी-केंद्रित उपकरण — आपके लक्ष्य का सार्वजनिक डेटा देते हैं: LinkedIn प्रोफ़ाइल, सोशल मीडिया इतिहास, कंपनी प्रेस रिलीज़, नौकरी लिस्टिंग, GitHub कमिट। मॉडल एक व्यक्तिगत ईमेल बनाता है जो एक वास्तविक प्रोजेक्ट का संदर्भ देता है, कथित प्रेषक की लेखन शैली से मेल खाता है, सही आंतरिक शब्दावली का उपयोग करता है, और कोई व्याकरणिक त्रुटि या अजीब अभिव्यक्ति नहीं होती।

IBM के शोध ने पाया कि AI पाँच मिनट में एक विश्वसनीय स्पीयर फ़िशिंग ईमेल उत्पन्न कर सकता है। एक कुशल मानव हमलावर को सोलह घंटे लगते हैं। यह 200× दक्षता लाभ है — जिसका अर्थ है कि जो हमले पहले केवल उच्च-मूल्य लक्ष्यों के खिलाफ आर्थिक थे, अब किसी पर भी लाभदायक हो सकते हैं।

2026 को अलग बनाता है: 200× के अलावा, 92% बहुरूप फ़िशिंग हमलों का अब एक बड़ा हिस्सा AI का उपयोग करता है जो एक ही अभियान के लिए सैकड़ों सन्दर्भानुसार अलग संदेश संस्करण बनाता है। प्रत्येक ईमेल शब्दों, संरचना, और स्वरूप में थोड़ा अलग होता है — इसलिए पारंपरिक पैटर्न-मैचिंग फ़िल्टर उन्हें एक साथ समूह नहीं कर पाते। शोधकर्ता भविष्यवाणी करते हैं कि यह दृष्टिकोण 2027 तक अभियान-आधारित पहचान को लगभग असंभव बना देगा।

वास्तविक दुनिया का उदाहरण: 800 लेखा फर्मों को लक्षित एक अभियान ने AI का उपयोग करके प्रत्येक फर्म के विशिष्ट राज्य पंजीकरण विवरण और हालिया दाखिलों का संदर्भ दिया। क्लिक दर: 27% — फ़िशिंग के लिए औसत की तुलना में लगभग चार गुना।

3.2 डीपफेक वॉइस कॉल्स (Vishing)

वॉयस क्लोनिंग उस सीमा को पार कर चुकी है जिसे शोधकर्ता "अप्रत्यक्ष-अभेद्य थ्रेसहोल्ड" कहते हैं। 2025 के अंत तक, मानव श्रोता अब उच्च-गुणवत्ता क्लोन की गई आवाज़ों को वास्तविक आवाज़ों से विश्वसनीय रूप से अलग नहीं कर सकते। तकनीक को एक विश्वसनीय क्लोन बनाने के लिए केवल 3 सेकंड ऑडियो की आवश्यकता हो सकती है — प्राकृतिक स्वरों, लय, विराम, श्वास, और भावनात्मक अभिव्यक्ति सहित।

हमलावर उस ऑडियो को कैसे लेते हैं: एक एकल स्पैम कॉल जहाँ उन्हें आपसे “yes” या “hello” कहने को कहा जाता है। एक पॉडकास्ट एपिसोड। एक कॉर्पोरेट अर्निंग कॉल। एक वॉइसमेल ग्रीटिंग। एक YouTube वीडियो।

उससे, वे ऐसी कॉल बनाते हैं जो बिल्कुल आपके बैंक, आपके बॉस, या आपके बच्चे जैसी लगती है। कुछ बड़े रिटेलर्स अब रिपोर्ट करते हैं कि उन्हें प्रतिदिन 1,000 से अधिक AI-जनित स्कैम कॉल प्राप्त होते हैं।

हमले के पैटर्न:

• "ग्रैंडपेरेंट स्कैम": एक घबराया हुआ कॉल एक आवाज़ से जो बिल्कुल आपके पोते/पोती जैसी लगती है, कहती है कि वह मुसीबत में है और तुरंत पैसे चाहिए। सिंथेटिक आवाज़ें अब रोना, भय और तात्कालिकता को भयावह सटीकता के साथ व्यक्त करती हैं। ये पारिवारिक सदस्य लक्ष्य कर हमले 2025 में 45% बढ़े।
• "CEO फ्रॉड" कॉल: आपके CFO की क्लोन की गई आवाज़ फ़ाइनेंस टीम को दिन के अंत से पहले तत्काल वायर ट्रांसफर का अनुरोध करती है। गोपनीय। किसी और को शामिल न करें। CEO फ्रॉड अब अनुमानित 400 कंपनियों को प्रतिदिन निशाना बनाता है।
• "बैंक सुरक्षा" कॉल: "आपके बैंक के फ्रॉड विभाग" की एक अधिकारपूर्ण आवाज़ बताती है कि आपका खाता समझौता हो गया है और आपको अपने फंड्स को एक "सुरक्षित खाते" में स्थानांतरित करने के लिए मार्गदर्शन देती है।

80% से अधिक वॉइस फ़िशिंग हमलों में, हमलावर स्पूफ़्ड कॉलर ID का उपयोग करते हैं ताकि कॉल किसी वैध नंबर से आने का प्रतीत हो। Vishing अब फ़िशिंग-संबंधित घटना प्रतिक्रिया मामलों का 60% से अधिक हिस्सा है।

3.3 डीपफेक वीडियो कॉल्स

यहाँ यह सबसे चिंताजनक — और सबसे महंगा — हो जाता है।

Arup मामला (2024): UK इंजीनियरिंग कंपनी Arup में एक कर्मचारी एक सामान्य वीडियो कॉन्फ्रेंस में शामिल हुआ जिसे कंपनी के CFO और कई सीनियर एक्जीक्यूटिव्स के रूप में दिखाया गया था। सभी सही दिख रहे थे। सभी सही सुनाई दे रहे थे। उसने 15 लेनदेन कुल $25.6 मिलियन हॉन्ग कॉन्ग बैंक खातों में अधिकृत किए। कॉल पर हर व्यक्ति एक डीपफेक था।

सिंगापुर, मार्च 2025: एक बहुराष्ट्रीय कंपनी के एक वित्त निदेशक ने एक Zoom कॉल जॉइन की जिसमे "CFO" और अन्य नेतृत्व थे। CFO ने यहां तक ​​कि वीडियो कॉल का सुझाव स्वयं दिया — यह जानते हुए कि वित्त कर्मचारियों को डीपफेक के बारे में चेतावनी दी गई थी, हमलावरों ने उस सत्यापन कदम का ही शस्त्रीकरण कर दिया जिसका उद्देश्य उन्हें रोकना था। निदेशक ने $499,000 का ट्रांसफ़र अधिकृत किया। स्क्रीन पर सभी एक्जीक्यूटिव AI-जनित थे।

यूरोपीय ऊर्जा समूह, प्रारम्भिक 2025: हमलावरों ने CFO के डीपफेक ऑडियो क्लोन का उपयोग करते हुए कॉल के दौरान लाइव निर्देश दिए ताकि एक तत्काल वायर ट्रांसफर जारी किया जा सके। आवाज़ ने विराम, टोन, और कैडेंस को बिल्कुल दोहराया। फंड्स — $25 मिलियन — घंटे भर के भीतर गायब हो गए।

ये हमले इसलिए काम करते हैं क्योंकि वीडियो कॉल सत्यापन की एक शक्तिशाली भावना पैदा करते हैं। किसी को देखना पढ़ने की तुलना में अधिक भरोसेमंद माना जाता है। हमलावरों ने यह सीखा है और अब वे स्वयं सत्यापन चरण को निशाना बनाते हैं। नए डीपफेक मॉडल समय-संगत निरंतरता बनाए रखते हैं — अब और झिलमिलाहट, विकृति, या अन्य uncanny-valley लक्षण नहीं रहते जिन पर पहले पहचान निर्भर करती थी।

3.4 बहु-चैनल समन्वित हमले

सबसे परिष्कृत अभियानों को एकल वेक्टर पर निर्भर नहीं करते। एक समन्वित हमला इस तरह दिख सकता है:

1. Email "CFO" से आता है जो एक वास्तविक विक्रेता और एक वास्तविक परियोजना का संदर्भ देता है, एक इनवॉइस मंजूरी का अनुरोध करता है
2. वॉइस संदेश उसी "CFO" से आता है — क्लोन की गई आवाज़ — तात्कालिकता को मजबूर करता हुआ
3. वीडियो कॉल सत्यापन के लिए पेश किया जाता है, जिसमें डीपफेक किए गए एक्जीक्यूटिव्स होते हैं
4. Pressure सामान्य अनुमोदन चैनलों को बाइपास करने के लिए लागू किया जाता है क्योंकि सौदा "समय-संवेदनशील" और "गोपनीय" है

प्रत्येक कदम पिछले को मजबूत करता है। चैनलों के संयोजन से एक ऐसी वास्तविकता का अहसास पैदा होता है जो अकेले किसी भी एक चैनल से नहीं बनती। क्रॉस-चैनल AI धोखाधड़ी (वॉइस, वीडियो, और टेक्स्ट को मिलाकर) का अनुमान है कि 2027 तक हमलों का 60% से अधिक हिस्सा होगा।

3.5 AI-संचालित फ़िशिंग वेबसाइट्स और AiTM

ईमेल और कॉल के अलावा, AI का उपयोग सैकड़ों फ़्रॉड्युलेंट वेबसाइट्स बनाने के लिए किया जाता है — क्लोन साइटें जो वास्तविक सेवाओं के बिल्कुल समान ब्रांडिंग, लेआउट, और UX को दोहराती हैं। इन साइटों में अब Microsoft 365, Google Workspace, और बैंकिंग पोर्टल्स के पिक्सेल-पर्फ़ेक्ट लॉगिन पेज; कार्यात्मक दिखने वाले डैशबोर्ड जो "सफल" क्रियाओं की पुष्टि करते हैं; और बहुरूपीय व्यवहार शामिल हैं जो साइट की सामग्री को विज़िटर के ब्राउज़र, स्थान, और रेफ़रल स्रोत के आधार पर अनुकूलित करते हैं।

लेकिन सबसे खतरनाक विकास है adversary-in-the-middle (AiTM) हमला।

स्थिर नकली पेज दिखाने के बजाय, फ़िशिंग साइट वास्तविक लॉगिन पेज का प्रॉक्सी करती है — आपके क्रेडेंशियल्स और MFA कोड को वैध सेवा तक रिले करते हुए, जबकि आपका सेशन कुकी कैप्चर कर लेती है। वह कुकी हमलावर को आपका पूरी तरह प्रमाणीकृत सेशन विरासत में लेने देती है, जिससे SMS कोड, ऑथेन्टिकेटर ऐप्स, और पुश नोटिफिकेशन्स बेकार हो जाते हैं।

3.6 फ़िशिंग-ए-ए-सर्विस: औद्योगिक पैमाना

यही वह चीज़ है जिसने 2025–2026 में खेल बदल दिया। फ़िशिंग अब एक अकेला ऑपरेशन नहीं रहा — यह एक सब्सक्रिप्शन व्यवसाय बन गया है। सबसे बदनाम उदाहरण:Tycoon 2FA

, एक phishing-as-a-service प्लेटफ़ॉर्म जो MFA बाइपास में विशिष्ट था। लगभग $120 में, सब्सक्राइबर्स को एक टर्नकी टूलकिट मिलता था: स्पूफ़्ड लॉगिन पेज, रिवर्स प्रॉक्सी लेयर, अभियान प्रबंधन डैशबोर्ड, और रीयल-टाइम क्रेडेंशियल हार्वेस्टिंग — सभी Telegram चैनलों के माध्यम से वितरित। 62% वह Microsoft द्वारा अवरुद्ध किए गए कुल फ़िशिंग का लगभग कितना हिस्सा था।

अपने चरम पर, Tycoon 2FA के लगभग 2,000 अपराधी सब्सक्राइबर थे, 24,000 से अधिक डोमेन उपयोग किए गए थे, और यह प्रति माह दहोंटियों मिलियन फ़िशिंग ईमेल उत्पन्न करता था। मध्य 2025 तक, इसने लगभग

4. नए चेतावनी संकेत

पुराने लाल झंडे — खराब व्याकरण, सामान्य अभिवादन, संदिग्ध अटैचमेंट — अब विश्वसनीय नहीं रहे। AI उन्हें समाप्त कर देता है। इसके बजाय इस तरह की चीजों पर ध्यान दें।

इंटरनेट पर ईमेल्स के लिए

ईमेल्स के लिए असली इंसान छोटी गलतियाँ करते हैं। वे संक्षेपों का उपयोग करते हैं, वाक्य शुरू करते हैं "And" से, कभी-कभी गलत वर्तनी भी करते हैं। यदि आपका सहकर्मी जो आमतौर पर "hey can u check this" लिखता है अचानक पूर्ण विरामों के साथ औपचारिक ईमेल भेज रहा है, कुछ गलत है। परिपूर्णता अब आश्वासन नहीं बल्कि चेतावनी का संकेत है।

2. अनुपयुक्त विवरण। AI आपका सार्वजनिक डेटा स्क्रेप करके हमलों को व्यक्तिगत बनाता है। यदि कोई ईमेल ऐसी जानकारी का संदर्भ देता है जो कथित प्रेषक को यथार्थ रूप से पता नहीं होनी चाहिए — आपकी बेटी का स्कूल, कोई विशिष्ट प्रोजेक्ट कोडनेम, किसी सम्मेलन से हुई बातचीत — तो पूछें कि उन्होंने यह कैसे पाया। वास्तविक रिश्तों में यह सीमाएँ होती हैं कि एक-दूसरे के बारे में लोग क्या जानते हैं। AI उन सीमाओं को नहीं समझता।

3. तात्कालिकता + गोपनीयता संयोजन। "यह समय-संवेदनशील और गोपनीय है — कृपया किसी और को शामिल न करें।" यह संयोजन लगभग हमेशा मनिपुलेशन है। वैध तात्कालिक अनुरोध दुर्लभ ही होते हैं जो सामान्य अनुमोदन प्रक्रियाओं को बाइपास करने की मांग करें। चुप रहने का अनुरोध सत्यापन को रोक देता है।

4. अनुरोध जो सामान्य प्रक्रिया को बाइपास करता है। कोई भी वित्तीय, प्रमाण-पत्र या पहुँच अनुरोध जो स्पष्ट रूप से आपको सामान्य कदम छोड़ने के लिए कहता है, चाहे वह किसी भी तरह से प्रस्तुत किया गया हो, संदिग्ध माना जाना चाहिए।

5. छोटे अंतर के साथ प्रेषक डोमेन। AI-जनित ईमेल अक्सर ऐसे डोमेनों से आते हैं जो एक चरित्र अलग होते हैं: paypa1.com, microsoft-security.com, amazon-verify.net। किसी भी लिंक पर क्लिक करने से पहले होवर करें। वास्तविक प्रेषक ईमेल पता जांचें — डिस्प्ले नाम नहीं।

6. QR कोड और असामान्य अटैचमेंट। QR कोड फ़िशिंग ("quishing") 2023 और 2025 के बीच बढ़ी। हमलावर छवि-एन्कोडेड URL पढ़ न सकने वाले कई ईमेल सुरक्षा फ़िल्टरों का फायदा उठाकर QR कोड में दुर्भावनापूर्ण लिंक एम्बेड कर देते हैं। अजनबी प्रेषक से आने वाले अप्रत्याशित ईमेल में QR कोड, SVG फ़ाइल, या कैलेंडर इनवाइट पर संदेह करें। 400% 2023 और 2025 के बीच। हमलावर QR कोड में हानिकारक लिंक छिपा देते हैं क्योंकि कई email सुरक्षा फ़िल्टर image-encoded URLs को पढ़ने में असमर्थ होते हैं। अपरिचित प्रेषक से प्राप्त किसी भी अप्रत्याशित email जिसमें QR कोड, SVG फ़ाइल, या calendar निमंत्रण हो, उसके प्रति संदेह रखें।

फोन कॉल्स के लिए

1. अप्राकृतिक लय। वास्तविक भाषा गड़बड़ होती है। हम अनियमित रूप से साँस लेते हैं, अक्षरों पर लुढ़क जाते हैं, उत्तेजना में तेज़ बोलते हैं। AI आवाज़ों में अक्सर "मेट्रोनोम" गुण होता है — समान गति, अस्वाभाविक रूप से चिकनी संक्रमण। अपूर्णता की अनुपस्थिति सुनें।

2. आवाज़ जो बहुत साफ़ है। एक असली पारिवारिक सदस्य की परेशान कॉल में पृष्ठभूमि शोर होगा — ट्रैफ़िक, हवा, कमरे का प्रतिध्वनि। डीपफेक ऑडियो अक्सर संदिग्ध रूप से साफ़ होता है, या वाक्य के अंत में हल्का डिजिटल क्लिपिंग मिलता है।

3. त्वरित प्रतिक्रियाएँ। लाइव वॉइस फ़िशिंग कॉल के दौरान, हमलावर की AI प्रणाली को प्रतिक्रियाएँ जनरेट करने में एक अंश-सेकंड की आवश्यकता होती है। एक सूक्ष्म प्रोसेसिंग विलंब — या इसके विपरीत, बिना किसी प्राकृतिक विराम के संदिग्ध रूप से तुरन्त प्रतिक्रियाएँ — सिंथेटिक बातचीत का संकेत हो सकती हैं।

4. तुरंत कार्रवाई करने का दबाव। तत्कालता जो आपको सत्यापित करने के लिए रुकने से रोकती है, जानबूझकर किया गया मानसिक उपाय है। कोई वैध आपातकाल आपको अगले पाँच मिनट में वायर ट्रांसफ़र अधिकृत करने के लिए नहीं कहेगा।

वीडियो कॉल्स के लिए

1. होंठ-सिंक असंगतियाँ। सुधारों के बावजूद, डीपफेक वीडियो में अभी भी कभी-कभी होंठ की हरकत और ऑडियो के बीच सूक्ष्म मेल न खाने के लक्षण दिखते हैं, जो व्यंजनों पर सबसे अधिक दिखाई देते हैं — "p","b","m" जैसी ध्वनियों पर जहाँ होठ स्पष्ट रूप से बंद होते हैं।

2. अस्वाभाविक पलक झपकना और आँखों की गतिविधि। AI-जनित चेहरे ऐसे पैटर्न में झपकते हैं जिनमें मानव अनियमितता नहीं होती। सोचते समय या कमरे को स्कैन करते हुए आँखों की गतिविधि अक्सर अनुपस्थित या शैलीबद्ध होती है।

3. किनारे के कलात्मक दोष। बाल, बालियाँ, और चेहरे और पृष्ठभूमि के बीच की सीमा सूक्ष्म विरूपण दिखा सकती है — हल्की धुंधलापन, असंगत तीक्ष्णता। यदि कुछ थोड़ा असामान्य लगे तो 'uncanny valley' की भावना पर भरोसा करें।

4. प्रकाश-कонсिस्टेंसी की असंगति। यदि किसी के चेहरे पर प्रकाश उनके बताये गये पर्यावरण से मेल नहीं खाता, या कैमरा मूवमेंट के अनुसार बदलता नहीं है, तो यह तकनीकी संकेत है।

5. आप वास्तव में क्या कर सकते हैं

डिटेक्शन मुश्किल होता जा रहा है क्योंकि AI बेहतर हो रहा है। रक्षा को उन प्रक्रियाओं पर अधिक ध्यान केंद्रित करना होगा जो यह फर्क न करें कि आप नकली पहचान पाते हैं या नहीं।

व्यक्तियों के लिए

एक पारिवारिक कोड शब्द सेट करें। अपने निकटतम परिवार के ही द्वारा जाना जाने वाला शब्द या वाक्य चुनें। जो कोई भी कॉल करके यह दावा करे कि परिवार का सदस्य मुसीबत में है, उसे कार्य करने से पहले वह शब्द प्रदान करना होगा। यह एक कदम लगभग सभी ग्रैंडपेरेंट स्कैम्स को विफल कर देता है।

फोन काट दें और पहले से मौजूद नंबर पर वापस कॉल करें। यदि आपको किसी वित्तीय संस्थान, सरकारी एजेंसी, या किसी भी आधिकारिक दावे करने वाले का कॉल प्राप्त होता है — फोन काट दें। कॉलर द्वारा दिया गया नंबर न बुलाएँ। कार्ड के पीछे वाले नंबर, आधिकारिक वेबसाइट, या फ़ोन के सेव किए गए संपर्कों से नंबर लाकर वापस कॉल करें। वैध कॉल करने वाले समझेंगे।

कभी भी संदेशों में लिंक पर क्लिक न करें — सीधे जाएँ। चाहे वह बैंक अलर्ट हो, Microsoft नोटिफिकेशन हो, या पार्सल डिलीवरी अपडेट हो: लिंक पर क्लिक न करें। एक नया ब्राउज़र टैब खोलें और वेबसाइट पता खुद टाइप करें। यदि आपके खाते में वास्तव में कोई समस्या है, तो आप सीधे लॉग इन करने पर उसे देखेंगे।

QR कोडों के प्रति संदेह रखें। अनप्रत्याशित ईमेल, टेक्स्ट संदेश, या सार्वजनिक पोस्टिंग से QR कोड स्कैन न करें बिना स्रोत की पुष्टि किए। हमलावर जानबूझकर QR कोड में दुर्भावनापूर्ण URLs एम्बेड करते हैं क्योंकि आपके ईमेल फ़िल्टर उन्हें पकड़ नहीं पाते।

हर जगह MFA सक्षम करें — पर इसकी सीमाएँ समझें। मल्टी-फ़ैक्टर ऑथेंटिकेशन स्वचालित क्रेडेंशियल-चोरी हमलों की अधिकांश अवरोध करता है, और यह आवश्यक बना रहता है। महत्वपूर्ण खातों के लिए ऑथेन्टिकेटर ऐप (संभव हो तो SMS के बजाय) का उपयोग करें। पर जान लें कि MFA अब पूर्ण सुरक्षा नहीं है — adversary-in-the-middle हमले सेशन टोकन को रीयल-टाइम में इंटरसेप्ट कर सकते हैं। हार्डवेयर सुरक्षा कीज़ (YubiKey, Titan) का उपयोग FIDO2 AiTM फ़िशिंग के खिलाफ पूरी तरह प्रतिरोधी करने वाला एकमात्र प्रमाणीकरण तरीका है, क्योंकि वे क्रिप्टोग्राफिक रूप से वास्तविक डोमेन से बंधे होते हैं और प्रॉक्सी साइट पर प्रमाणीकरण करने से इंकार करते हैं। हमारा देखें Complete 2FA Setup Guide and Passkeys Ultimate Guide.

अपना सार्वजनिक ऑडियो और वीडियो फुटप्रिंट घटाएँ। आपका जितना कम ऑडियो और वीडियो सार्वजनिक रूप से मौजूद होगा, आपको क्लोन करना उतना कठिन होगा। लंबे वीडियो इंटरव्यू, पॉडकास्ट उपस्थिति, और कंपनी ऑल-हैंड्स रिकॉर्डिंग वॉइस क्लोनिंग के प्राथमिक स्रोत हैं।

संगठनों के लिए

किसी भी वित्तीय अनुरोध के लिए आउट-ऑफ-बैंड सत्यापन। किसी भी वायर ट्रांसफर, क्रेडेंशियल परिवर्तन, या विक्रेता भुगतान को केवल एक ईमेल या कॉल के आधार पर अधिकृत नहीं किया जाना चाहिए, चाहे वह कितना भी विश्वसनीय क्यों न लगे। एक अलग सत्यापन — अनुरोधकर्ता को ज्ञात नंबर पर कॉल करना, दूसरा अनुमोदक लेना, IT हेल्पडेस्क से जाँच करना — अनिवार्य होना चाहिए।

कई-व्यक्ति अनुमोदन थ्रेशहोल्ड। किसी निर्धारित राशि से ऊपर की कोई भी लेनदेन स्वतंत्र रूप से दो लोगों से अनुमोदन की मांग करे। यह CEO फ्रॉड के खिलाफ सबसे प्रभावी एकल नियंत्रण है। यदि एक व्यक्ति पूरी तरह आश्वस्त हो भी जाए, तो दूसरा अनुमोदक हमले को तोड़ देता है।

"प्रश्न करने की अनुमति" संस्कृति बनाएं। कर्मचारियों को असाधारण अनुरोधों — यहां तक कि अधिकारियों से भी — की जाँच करने की स्वतंत्र संगठनात्मक अनुमति चाहिए, बिना यह महसूस किए कि वे विघ्न डाल रहे हैं। हमलावर सत्ता के प्रति झुकाव का फायदा उठाते हैं।

फ़िशिंग-प्रतिरोधी प्रमाणीकरण तैनात करें। Tycoon 2FA की गिरफ्तारी ने स्पष्ट कर दिया: पारंपरिक MFA को औद्योगिक पैमाने पर बाइपास किया जा सकता है। FIDO2 हार्डवेयर कीज़ AiTM हमलों के खिलाफ सबसे प्रभावी सुरक्षा हैं। वे नकली डोमेन वाले प्रॉक्सी साइट पर ऑथेन्टिकेट करना अस्वीकार करते हैं। इन्हें पहले व्यवस्थापकों, वित्त टीमों और अधिकारियों के लिए प्राथमिकता दें।

ईमेल प्रमाणीकरण: SPF, DKIM, DMARC। ये प्रोटोकॉल हमलावरों को आपके अपने डोमेन को स्पूफ़ करने से रोकते हैं — यदि ईमेल वास्तव में आपके सिस्टम से नहीं निकला तो उसे पास करना असंभव बना देते हैं। yourcompany.com से आया है वह प्रमाणिकता पास करे अगर वह वास्तव में आपके सिस्टम से उत्पन्न नहीं हुआ था।

फिशिंग प्रशिक्षण को वर्तमान उदाहरणों के साथ अपडेट करें। अधिकांश सुरक्षा जागरूकता कार्यक्रम अभी भी 2020-युग के फ़िशिंग उदाहरणों का उपयोग करते हैं जिनमें स्पष्ट लाल झंडे होते हैं। अद्यतन, व्यवहार-आधारित प्रशिक्षण कार्यक्रम क्लिक दरों को 1.5% तक कम कर देते हैं। जो सालाना सामान्य प्रशिक्षण पर निर्भर करते हैं उन्हें नगण्य सुधार मिलता है। प्रशिक्षण को वास्तविक AI-जनित सिमुलेशन का उपयोग करना चाहिए, और यह निरंतर होना चाहिए।

चोरी किए गए सेशन टोकन और क्रेडेंशियल्स की निगरानी करें। पासवर्ड रीसेट के बाद भी, चोरी किए गए सेशन कुकीज़ तब तक शोषणयोग्य रहती हैं जब तक उन्हें स्पष्ट रूप से रद्द न कर दिया जाए। क्रिमिनल इकोसिस्टम में उजागर क्रेडेंशियल्स के लिए निरंतर निगरानी और असामान्य लॉगिन गतिविधि लागू करें।

6. डिटेक्शन टेक्नोलॉजी क्या कर सकती है और क्या नहीं कर सकती

कई उपकरण अब वास्तविक समय में AI-जनित सामग्री का पता लगाने का प्रयास करते हैं:

• McAfee Deepfake Detector: दावा करता है कि सिंथेटिक ऑडियो को 96% सटीकता से चिन्हित करता है, डिवाइस पर 3 सेकंड से कम समय में चलता है
• Hiya Deepfake Voice Detector: ब्राउज़र एक्सटेंशन और मोबाइल टूल जो आने वाली कॉल्स को "प्रामाणिकता स्कोर" देता है
• Pindrop Pulse: एंटरप्राइज़ कॉल सेंटर टूल जो व्यवसायिक लेनदेन से पहले सिंथेटिक आवाज़ों का पता लगाता है
• Content Provenance (C2PA): निर्माण के बिंदु पर मीडिया को क्रिप्टोग्राफिक रूप से साइन करने के लिए एक गठबंधन-पृष्ठभूमि मानक, टाम्पर-एविडेंट प्रॉवेनेन्स चेन स्थापित करता है

ये उपकरण मदद करते हैं, पर सावधानी के साथ उन पर निर्भर रहें। AI-आधारित डिटेक्शन उपकरण वास्तविक-विश्व स्थितियों में नियंत्रित लैब सेटिंग की तुलना में अपनी सटीकता का 50% हिस्सा खो देते हैं — बिल्कुल वही गैप जो शोध डेमो और वास्तविक हमले के बीच होता है। Gartner भविष्यवाणी करता है कि 2026 तक, 30% उद्यम अकेले पहचान-आधारित समाधान को असंगत पाएंगे।

मूल समस्या यह है कि डीपफेक जनरेशन और डीपफेक डिटेक्शन एक हथियार-दौड़ में हैं, और वर्तमान में जनरेशन आगे है। प्रक्रिया-आधारित रक्षा — सत्यापन प्रोटोकॉल, मल्टी-ऑप्रूवर आवश्यकताएँ, कोड शब्द, FIDO2 कीज़ — काम करती हैं चाहे डीपफेक कितनी भी अच्छी क्यों न हो जाए। तकनीकी डिटेक्शन उपकरण मददगार परत हैं पर प्राथमिक रक्षा नहीं।

रक्षा की महत्वपूर्ण रेखा मानव निर्णय से इन्फ्रास्ट्रक्चर-स्तरीय सुरक्षा की ओर सिमट रही है: स्रोत पर क्रिप्टोग्राफिक रूप से साइन किया गया मीडिया, फ़िशिंग-प्रतिरोधी ऑथेंटिकेशन, और क्रॉस-सेक्टर थ्रेट इंटेलिजेंस साझा करना। सिर्फ़ पिक्सल्स पर ज्य़ादा ध्यान देना अब पर्याप्त नहीं होगा।

7. मनोवैज्ञानिक तंत्र

इन हमलों के काम करने के कारणों को समझना आपको उनसे लड़ने में मदद करता है, यहां तक कि जब आप नकली की पहचान नहीं कर पाते।

AI फ़िशिंग विशेष रूप से तीन मनोवैज्ञानिक लीवर्स को लक्षित करती है:

Authority. आपके CEO, आपके बैंक, आपके बच्चे से आने वाला संदेश — कोई ऐसा व्यक्ति जिसके पास आपके व्यवहार पर वास्तविक शक्ति हो — अनुपालन की प्रवृत्तियों को ट्रिगर करता है जो आलोचनात्मक मूल्यांकन को बायपास कर देती हैं। 95% वॉइस फ़िशिंग हमलों में, हमलावर किसी अधिकार के चेहरे का नकल करता है।

Urgency. "अगले घंटे के भीतर।" "दिन के अंत से पहले।" "या आपका खाता स्थायी रूप से बंद कर दिया जाएगा।" तत्कालता उस रुकावट को रोक देती है जो सत्यापन के लिए आवश्यक है। एक औसत कर्मचारी एक फ़िशिंग लिंक पर क्लिक करने में 21 सेकंड — लगभग कोई खिड़की नहीं रहती तर्क करने की।

Secrecy. "इसे किसी और से चर्चा न करें।" यह हमेशा एक लाल झंडा होना चाहिए। गोपनीयता दूसरी राय को हटा देती है जो हमले को पकड़ सकती है।

जब तीनों एक साथ दिखाई देते हैं — अधिकार, तत्कालता, और गोपनीयता — तो इसे लगभग निश्चित हमले के रूप में मानें, चाहे स्रोत कितना भी विश्वसनीय लगे।

8. त्वरित संदर्भ: अभी क्या करें

अगले 5 मिनट में:

• आपातकालीन कॉल सत्यापन के लिए परिवार के लिए एक कोड शब्द सेट करें
• अपने ईमेल और बैंक खातों पर दो-कारक प्रमाणीकरण सक्षम करें

इस सप्ताह:

• अपने सबसे महत्वपूर्ण खातों के लिए एक FIDO2 हार्डवेयर सुरक्षा की (YubiKey, Google Titan) ऑर्डर करें
• अपनी सार्वजनिक रूप से उपलब्ध ऑडियो और वीडियो की जाँच करें
• जो प्रमुख खाते हार्डवेयर कीज़ का समर्थन नहीं करते, उन पर एक ऑथेन्टिकेटर ऐप सेट करें

अपने कार्यस्थल के लिए:

• इस मार्गदर्शिका को अपनी टीम के साथ साझा करें
• वित्तीय अनुरोधों के लिए आउट-ऑफ-बैंड सत्यापन को अनिवार्य कदम के रूप में स्थापित या मजबूत करें
• जांचें कि क्या आपका ईमेल DMARC प्रमाणीकरण का उपयोग करता है (आपकी IT टीम यह सत्यापित कर सकती है)
• FIDO2 हार्डवेयर कीज़ के लिए पायलट कार्यक्रम शुरू करें, वित्त और प्रशासनिक टीमों से शुरू करें

यदि आपको लगता है कि आपको लक्ष्य बनाया गया है:

• संभावित हमलावर के साथ सभी संचार तुरंत रोक दें
• यदि पैसे लगे हों तो अपने वित्तीय संस्थान से संपर्क करें
• FTC को रिपोर्ट करें ReportFraud.ftc.gov (US), या अपने राष्ट्रीय साइबरक्राइम रिपोर्टिंग प्राधिकरण को
• अपने IT या सुरक्षा टीम को सूचित करें ताकि आपके संगठन के अन्य लोगों को चेतावनी दी जा सके
• यदि आपने किसी संदिग्ध साइट पर क्रेडेंशियल्स डाले हैं, तो तुरंत अपना पासवर्ड बदलें और सभी सक्रिय सत्र रद्द करें

9. सच्चा निष्कर्ष

आप किसी उच्च-गुणवत्ता AI फ़िशिंग हमले की भरोसेमंद रूप से पहचान आँखों से नहीं कर पाएँगे। तकनीक बहुत अच्छी है और तेजी से बेहतर हो रही है। केवल 0.1% अधिकारियों में से कितने लोगों ने हालिया अध्ययन में दिखाए गए सभी डीपफेक्स की सही पहचान की। उच्च-गुणवत्ता क्लोन की गई आवाज़ों पर मानव सटीकता 30% से कम है। डीपफेक वीडियो में दृश्य संकेत हर मॉडल अपडेट के साथ खत्म हो रहे हैं।

आप जो कर सकते हैं वह पहचान को अप्रासंगिक बनाना है। जो हमले सफल होते हैं वे वे होते हैं जहाँ एक अकेला व्यक्ति, तत्क्षणता में, अकेले कार्रवाई करता है। जो हमले विफल होते हैं वे वे होते हैं जो दूसरे कदम — एक callback, दूसरा अनुमोदक, एक कोड शब्द, एक FIDO2 की जो गलत डोमेन पर प्रमाणीकरण करने से इनकार कर दे — से ठोकखाने खाते हुए टूट जाते हैं।

ऐसी प्रक्रियाएँ बनाएं जो मान कर चलें कि आपको मिला संवाद नकली हो सकता है। स्वतंत्र चैनलों के माध्यम से सत्यापित करें। जब जल्दी करने के लिए कहा जाए तो धीमा हो जाएँ। जब चुप रहने के लिए कहा जाए तो प्रश्न उठाएँ।

अपराधी AI का उपयोग कर रहे हैं। आपकी सबसे अच्छी रक्षा ठोस मानव व्यवहार है: संदेह, एक और आँख, और एक फोन कॉल जिसे आप खुद शुरू करते हैं।

संबंधित मार्गदर्शिकाएँ: Data Breach Response Guide · Password Security Best Practices · Complete 2FA Setup Guide · Best Password Managers 2026 · Has My Email Been Hacked? (Breach Checker)

❓ अक्सर पूछे जाने वाले प्रश्न