সাইবারক্রাইম আন্ডারগ্রাউন্ডে AI: hype আর দক্ষতার মিলন

আজ AI আর সাইবারক্রাইম নিয়ে কথা হলে অনেক কিছু সায়েন্স ফিকশনের মতো শোনায়: autonomous malware, digital superhackers, বা এমন models যা রাতে নিজে নিজে কোম্পানির network ভেঙে দেয়। আমার মনে হয় এই গল্পটা খুব সুবিধাজনক। এটি জোরে শোনা যায়, সহজে বিক্রি হয়, কিন্তু আসল সমস্যাকে আড়াল করে।

AI-র বিপদ এই নয় যে প্রতিটি অপরাধী গ্রুপ হঠাৎ নিজস্ব genius পেয়ে গেছে। বিপদ হলো অনেক boring কাজ সস্তা, দ্রুত এবং scalable হয়ে যাচ্ছে: translation, rewriting, victims sort করা, phishing বেশি credible করা, code explain করা, errors debug করা, data leaks analyze করা, social engineering scripts বদলানো, tools package করা এবং claims-কে professional দেখানো।

আন্ডারগ্রাউন্ড খুব কমই খাঁটি সত্য বিক্রি করে

এই বিষয়টি সন্দেহ দিয়ে শুরু করতে হয়। Criminal forums, Telegram groups এবং cybercrime-as-a-service offers-এ অনেক দাবি থাকে। কেউ real tools বিক্রি করে। আবার কেউ renamed open-source tools, public models-এর simple wrappers, stolen accounts, jailbreak prompts, useless panels বা অন্য fraudsters-এর বিরুদ্ধে fraud বিক্রি করে।

“AI hacking tool” বলা হলেই তা technical ভাবে impressive নয়। USENIX-এর Malla services, অর্থাৎ “Malicious LLM-integrated applications”, নিয়ে study 212টি real services পরীক্ষা করে 8টি backend LLMs এবং 182টি jailbreak prompts পেয়েছে। Market real, কিন্তু অনেক offer secret supermodels নয়; বরং wrappers, jailbreaks এবং public বা open models-এর misuse।

Google Threat Intelligence Xanthorox নিয়ে একই pattern দেখায়: underground-এ এটিকে নিজস্ব offensive model বলা হয়েছিল, কিন্তু Google অনুযায়ী এটি jailbroken commercial APIs এবং open-source components-এর উপর নির্ভর করত। Packaging underground lab-এর মতো শোনালেও ভেতরের technology প্রায়ই সাধারণ।

তাই দুই extreme ভুল: সবকিছু hype, বা AI পুরো cybercrime takeover করবে। ভালো view হলো sober: AI magic নয়, কিন্তু existing workflows-এ fit করে। যে tool সময় বাঁচায়, language barriers কমায় বা বেশি variants বানায়, সেটি আকর্ষণীয় হয়।

আজ যা plausible

OpenAI, Google Threat Intelligence এবং Europol-এর public reports একই ছবি দেয়: attackers generative AI ব্যবহার করে যেখানে এটি work দ্রুত করে এবং quality বাড়ায়। এটি skill-এর complete replacement নয়, amplifier।

মূল areas হলো phishing এবং social engineering, fraud এবং identity abuse, stolen data processing, technical help, packaging এবং sales। Text natural এবং local হয়। Profiles, invoices, support requests এবং investment stories credible হয়। Logs, dumps, mailbox, CRM exports, screenshots এবং chats দ্রুত sort করা যায়। Models code explain, scripts adapt, errors interpret এবং exploit ideas structure করতে পারে। মাঝারি tool-ও AI দিয়ে better documented, promoted এবং supported হতে পারে।

সবচেয়ে শক্ত evidence fraud-এ

Claim যত technical হয়, public evidence তত পাতলা হয়। Fraud এবং social engineering আলাদা। FBI IC3 Report 2025 “AI Related” descriptor ব্যবহার করে এবং 22,364 complaints ও 893,346,472 US dollars reported losses উল্লেখ করে। এটি perfect forensic measurement নয়, কিন্তু strong signal।

AI-related investment scams-এ 632 million dollars-এর বেশি losses, BEC cases-এ 30 million-এর বেশি এবং employment scams-এ প্রায় 13 million losses দেখা যায়। এটি thesis-এর সঙ্গে মেলে: সবচেয়ে বড় documented damage autonomous malware থেকে নয়, বরং better deception, better scale এবং more believable identities থেকে আসে।

আমি যা বিশ্বাস করি না

আমি মনে করি না criminal groups ব্যাপকভাবে autonomous AI agents ব্যবহার করছে, যা realistic targets বেছে নেয়, systems compromise করে, lateral move করে, data exfiltrate করে এবং human guidance ছাড়া extortion শেষ করে।

Experiments এবং proof of concept থাকবে। কিন্তু strong reports subtasks দেখায়: research, translation, code help, campaign preparation, variants, social engineering এবং data analysis। UK NCSC-ও 2027 পর্যন্ত fully automated advanced end-to-end attacks-কে unlikely মনে করে। বেশি realistic হলো human-machine teaming।

Cybercrime dangerous হতে fully autonomous হওয়া দরকার নেই। একই groups যদি বেশি attempts করতে পারে, faster localize করতে পারে, faster learn করতে পারে এবং বেশি professional দেখাতে পারে, সেটাই যথেষ্ট।

প্রতারণার quality বাড়ছে

অনেক security concepts এখনও human recognition-এর উপর নির্ভর করে: employees suspicious emails report করবে, fake links চিনবে, strange language notice করবে এবং unusual requests question করবে। এটি গুরুত্বপূর্ণ, কিন্তু কঠিন হচ্ছে।

যদি attacker known supplier-এর style-এ invoice লিখতে পারে, real product environment অনুযায়ী support request বানাতে পারে, LinkedIn message machine translation-এর মতো না লাগে এবং scam দশ ভাষায় চালু করতে পারে, defense বদলাতে হবে।

Technical brakes দরকার:

• strong MFA, ideally phishing-resistant
• Conditional Access এবং device binding
• SPF, DKIM এবং DMARC সহ mail authentication
• OAuth app abuse detection
• new inbox rules এবং suspicious forwarding থেকে protection
• payment এবং approval processes email-এর বাইরে
• damage-এর পরে নয়, আগে logging

Cybercrime-as-a-Service বেশি professional হচ্ছে

Cybercrime আগে থেকেই role-ভিত্তিক: initial-access brokers, phishing kits, malware loaders, ransomware affiliate programs, data brokers, hosting, bulletproof infrastructure, money laundering networks, translators, call centers এবং support channels।

AI এই structure-এ fit করে। Provider documentation দ্রুত লেখে। Affiliate campaign adapt করে। Data broker leak ভালোভাবে describe করে। Scammer customer questions answer করে। Developer errors debug করে। কম experienced actor technical hurdles পেরোয়।

Microsoft AI-কে “tradecraft” বলে: text, code, media, data summarization, persona building, malware debugging এবং infrastructure scaffolding-এর accelerator। Google HONESTCUE-এর মতো experiments-ও দেখছে। এগুলো serious, কিন্তু workflow-এর blocks; mass autonomous attacks-এর proof নয়।

Defender বেশি noise দেখে

Admins, MSPs এবং security teams বেশি noise দেখবে: বেশি phishing variants, well-written fake support, cleaner scans, semi-automated recon, alleged exploits, plausible reports এবং AI নামের tools যার technical substance কম।

Central question “AI ব্যবহার হয়েছে কি?” নয়। ভালো প্রশ্ন হলো: real attacker path আছে কি? আমাদের environment-এ affected system আছে কি? Identity layer protected? External attack surface? Exploitation বা preparation-এর telemetry আছে? Impact proven নাকি শুধু claimed? Patch, configure, block, monitor নাকি শুধু document দরকার?

এটি আমার AI যুগের Patchday চিন্তার সঙ্গেও মেলে: signals বাড়ে, কিন্তু security panic দিয়ে নয়, better prioritization দিয়ে জেতে।

কম attack surface বেশি valuable

Attacks scale হলে boring reduction বেশি valuable হয়: কম public services, local tools, browser extensions, admin accounts, long-lived tokens, shadow IT, quick approvals এবং owner-less old test systems। এটি glamorous নয়, hygiene। কিন্তু deception ভালো এবং recon cheap হলে hygiene আরও গুরুত্বপূর্ণ।

এখন কী করা উচিত

Practical প্রশ্ন: important accounts phishing-resistant কি? Suspicious identity events যেমন new OAuth apps, unusual logins, new inbox rules, suspicious forwarding এবং mass failures দেখা যায় কি? Money, data এবং access-এর processes clear কি? Critical requests second channel দিয়ে verify হয় কি? Remote hiring এবং helpdesk যথেষ্ট strict কি? Patching risk-based কি? Unneeded tools কমছে কি?

আমার মূল্যায়ন

Cybercrime underground-এ AI কোনো দূরের ভবিষ্যৎ আলোচনা নয়। এটি ইতিমধ্যে কাজের অংশ। কিন্তু মূল point flashy শব্দ “AI” নয়, speed।

Cybercrime বেশি productive, linguistically better, automated এবং professionally packaged হচ্ছে। অনেক offers exaggerated, কিছু scams, কিছু technically banal। তবুও market shift হচ্ছে।

Real change intermediate steps-এ: text, code, data, support, variants, scale। Defenders-দের সেখানেই focus করা উচিত।

প্রতিটি organization-এর নিজস্ব AI-SOC দরকার নেই। কিন্তু প্রতিটির দরকার কম attack surface, ভালো identity security, cleaner processes, faster patch paths এবং যথেষ্ট telemetry।

AI cybercrime-কে automatically genius বানায় না। এটি mediocre cybercrime-কে বেশি productive করে। আর সেটাই যথেষ্ট serious।

পরের বার পর্যন্ত,
Joe