Phishing સરળ શબ્દોમાં શું છે?

Phishing એ છે જ્યારે હુમલાખોર એક નકલી વેબસાઇટ બનાવે છે જે વાસ્તવિક એક જેવી જ દેખાય છે (તમારી બેંક, ઇમેઇલ, કાર્યક્ષેત્ર લોગિન) અને તમને ત્યાં તમારો પાસવર્ડ ટાઇપ કરવા માટે ફસાવે છે. તમે સબમિટ કર્યાની ક્ષણે, તેઓ તમારા ઓળખપત્રો કેપ્ચર કરે છે અને તેનો ઉપયોગ વાસ્તવિક સાઇટ પર કરે છે.

શું 2FA phishing અટકાવી શકે છે?

App-based 2FA (TOTP) અને SMS કોડ આધુનિક phishing અટકાવતા નથી. હુમલાખોરો વાસ્તવિક સમયના પ્રોક્સીઝનો ઉપયોગ કરે છે જે તમારો કોડ સેકન્ડોમાં વાસ્તવિક સાઇટ પર ફોરવર્ડ કરે છે. માત્ર FIDO2/WebAuthn hardware કીઓ અને passkeys phishing-proof છે, કારણ કે તેઓ વાસ્તવિક domain સાથે cryptographically bind થાય છે.

હું phishing ઇમેઇલને કેવી રીતે ઓળખી શકું?

ક્લિક કરતા પહેલા લિંક્સ પર hover કરો અને વાસ્તવિક ગંતવ્ય તપાસો. તાકીદ ("તમારું એકાઉન્ટ 24 કલાકમાં બંધ થઈ જશે"), સામાન્ય શુભેચ્છાઓ ("પ્રિય ગ્રાહક"), અને થોડી domain ની ખોટી જોડણી (paypaI.com કેપિટલ i સાથે, નાનું L નહીં) પર ધ્યાન આપો. શંકા હોય તો, લિંક ક્લિક કરવાને બદલે manual સાઇટ પર જાઓ.

જો મને લાગે કે હું phishing હુમલાનો શિકાર બન્યો છું તો મારે શું કરવું જોઈએ?

અલગ ઉપકરણથી તરત જ અસરગ્રસ્ત એકાઉન્ટનો પાસવર્ડ બદલો. એકાઉન્ટ સેટિંગ્સમાં બધા સક્રિય સેશન્સ રદ કરો. જો તમે કર્યું નથી હોય તો 2FA સક્ષમ કરો અથવા ફરીથી સક્ષમ કરો. એકાઉન્ટમાં અનધિકૃત પ્રવૃત્તિ માટે તપાસ કરો. જો તે નાણાકીય એકાઉન્ટ છે, તો સંસ્થાને સીધો કૉલ કરો.

શું password managers phishing સામે સુરક્ષિત છે?

હા, અને તે તમારા શ્રેષ્ઠ સંરક્ષણોમાંથી એક છે. Password managers ચોક્કસ domain આધારે autofill કરે છે. જો તમે paypal.com ને બદલે paypaI.com પર આવો છો, તો તમારો manager autofill નહીં કરે — તે એક મોટો લાલ ચેતવણી સંકેત છે કે કંઈક ખોટું છે.

Phishing હુમલાઓથી પોતાને કેવી રીતે સુરક્ષિત રાખવા

Phishing શું છે?

Phishing એ એક સામાજિક એન્જિનિયરિંગ હુમલો છે જ્યાં હુમલાખોર કાયદેસર વેબસાઇટની વિશ્વસનીય નકલ બનાવે છે — ઘણીવાર pixel-perfect — અને પીડિતને ત્યાં ઓળખપત્રો દાખલ કરવા માટે ફસાવે છે. પીડિત ફોર્મ સબમિટ કર્યાની ક્ષણે, હુમલાખોર username, password, અને કોઈ પણ બીજા પરિબળને કેપ્ચર કરે છે, પછી તેનો ઉપયોગ સેકન્ડોમાં વાસ્તવિક એકાઉન્ટ કબજે કરવા માટે કરે છે.

આ શબ્દ "fishing" for victims with bait (સામાન્ય રીતે ઇમેઇલ) ના રૂપકમાંથી આવે છે. હુમલાખોરો ઘણીવાર phone numbers (SMS phishing, અથવા "smishing") અને વ્યાવસાયિક દેખાતા infrastructure નો ઉપયોગ કરે છે તેના પર ભાર મૂકવા માટે જોડણી બદલાઈ ગઈ.

શા માટે phishing હજુ પણ #1 ખતરો છે

આજે મોટાભાગના વૃહદ પ્રમાણના એકાઉન્ટ breach માં hacking, password cracking, અથવા encryption bypass શામેલ નથી. તેમાં માનવીનો નકલી સાઇટમાં પાસવર્ડ ટાઇપ કરવો શામેલ છે. Phishing છે:

સ્વસ્તી — હુમલાખોર VPS અને spoofed domain ની કિંમતે લાખો ઇમેઇલ મોકલી શકે છે
ફિલ્ટર કરવું મુશ્કેલ — આધુનિક કિટ domains ફેરવે છે, કાયદેસર હોસ્ટિંગ ઉપયોગ કરે છે, અને વાસ્તવિક સમયમાં ફિલ્ટર્સને અનુકૂળ બને છે
અસરકારક — સુરક્ષા-જાગૃત વપરાશકર્તાઓ પણ સારી રીતે તૈયાર કરેલા લક્ષિત પ્રયાસો (spear phishing) માટે ફસાઈ જાય છે
માપી શકાય તેવું — એક સફળ phish ઘણીવાર password પુનઃઉપયોગ દ્વારા ડઝનેક જોડાયેલા સેવાઓની ઍક્સેસ આપે છે

2024 Verizon Data Breach Investigations Report એ જણાવ્યું કે 36% થી વધુ તમામ breach માં phishing પ્રારંભિક ઍક્સેસ વેક્ટર હતું — કોઈ પણ અન્ય એક કારણ કરતા વધુ.

આધુનિક phishing કેવી રીતે કામ કરે છે

Phishing 2000 ના દાયકાના "Nigerian prince" ઇમેઇલ્સથી ઘણું આગળ વિકસિત થયું છે. આધુનિક phishing હુમલામાં સામાન્ય રીતે સામેલ છે:

1. વિશ્વસનીય લાલચ

સામાન્ય રીતે ઇમેઇલ, ટેક્સ્ટ, અથવા ચેટ સંદેશ કે જે તાકીદ ("તમારું એકાઉન્ટ suspend થઈ જશે"), સત્તા ("Microsoft સુરક્ષા ટીમ"), અથવા જિજ્ઞાસા ("કોઈએ તમને ફોટોમાં ટેગ કર્યા છે") બનાવે છે. Spear-phishing આને LinkedIn, breach dumps, અથવા પહેલાના પત્રવ્યવહારથી લીધેલી વ્યક્તિગત વિગતો સાથે વધુ આગળ લઈ જાય છે.

2. Pixel-perfect નકલી સાઇટ

હુમલાખોરો phishing kits નો ઉપયોગ કરે છે જે લક્ષ્યાંકિત સાઇટના HTML, CSS, અને JavaScript ક્લોન કરે છે. ઘણી કિટ સેવા તરીકે વેચાય છે (phishing-as-a-service), કાર્યકારી dashboards અને ગ્રાહક સપોર્ટ સાથે.

3. 2FA માટે વાસ્તવિક સમયનો પ્રોક્સી

ખતરનાક ભાગ: આધુનિક કિટ માત્ર તમારો પાસવર્ડ કેપ્ચર કરતી નથી. તેઓ man-in-the-middle proxy તરીકે કાર્ય કરે છે જે તમે ટાઇપ કરો છો તે બધું — તમારો TOTP કોડ સહિત — સેકન્ડોમાં વાસ્તવિક સાઇટ પર ફોરવર્ડ કરે છે, મોટાભાગના 2FA ને બાયપાસ કરે છે. આ તકનીકને adversary-in-the-middle (AiTM) કહેવામાં આવે છે અને તે Evilginx2 અને Modlishka જેવા ટૂલ્સમાં ઉપયોગ થાય છે.

4. Session token ચોરી

એકવાર તમે પ્રોક્સી દ્વારા authenticate કરો છો, હુમલાખોર તમારી session cookie કેપ્ચર કરે છે અને તમે પાસવર્ડ બદલ્યા પછી પણ લોગ ઇન રહેવા માટે તેનો ઉપયોગ કરી શકે છે. આ કારણે phishing પ્રતિભાવમાં માત્ર પાસવર્ડ રોટેશન નહીં, પરંતુ સક્રિય સેશન્સ રદ કરવા હંમેશા સામેલ છે.

શું ખરેખર phishing અટકાવે છે

Hardware સુરક્ષા કીઓ (FIDO2 / WebAuthn)

આ એકમાત્ર સંરક્ષણની કેટેગરી છે જે ડિઝાઇન દ્વારા phishing-proof છે. જ્યારે તમે FIDO2 key સાથે લોગ ઇન કરો છો, તમારી key authentication માંગતી સાઇટના ચોક્કસ domain ને cryptographically વેરિફાઇ કરે છે. નકલી સાઇટ — ભલે તે દેખાવમાં ક્યાં પણ સંપૂર્ણ હોય — અલગ domain ધરાવે છે, તેથી key જવાબ આપવાનો ઇનકાર કરે છે. Cryptographic handshake ખાલી પૂર્ણ થતું નથી.

Google એ 2017માં તેના બધા 85,000+ કર્મચારીઓ માટે YubiKeys ફરજિયાત કર્યા અને ત્યારબાદના વર્ષોમાં કંપનીના એકાઉન્ટ્સ પર શૂન્ય સફળ phishing હુમલાઓ ની જાણ કરી.

Passkeys

Passkeys એ FIDO2 નો ગ્રાહક-મૈત્રીપૂર્ણ વિકાસ છે. તેઓ સમાન domain-bound cryptography ઉપયોગ કરે છે અને iOS, Android, macOS, અને Windows માં built-in છે. જો તમે ઉપયોગ કરો છો તે સાઇટ passkeys સપોર્ટ કરે છે, તો એક સક્ષમ કરવાથી તે એકાઉન્ટ phishing-proof બને છે.

Password managers

Password manager તમારી બીજી સંરક્ષણ લાઇન છે કારણ કે તે માત્ર ચોક્કસ domain પર જ ઓળખપત્રો autofill કરે છે જ્યાં તેઓ સેવ કરવામાં આવ્યા હતા. જો તમે paypal.com ને બદલે paypaI.com (capital I) પર આવો છો, તો તમારો manager ચૂપચાપ ફોર્મ ભરવાનો ઇનકાર કરશે. તે ઇનકાર એક જોરદાર ચેતવણી છે કે કંઈક ખોટું છે.

Email અને DNS ફિલ્ટરિંગ

Email પ્રદાતાઓ spoofed sender addresses શોધવા માટે DMARC, SPF, અને DKIM નો ઉપયોગ કરે છે. મોટાભાગના આધુનિક પ્રદાતાઓ સ્પષ્ટ પ્રયાસો પકડે છે, પરંતુ લક્ષિત હુમલાઓ હજુ પણ સરકી જાય છે. તમારા mail client માં "report phishing" બટન સક્ષમ કરો જેથી તમે ફિલ્ટર્સ સુધારવામાં મદદ કરો.

જોવા માટેના લાલ ચેતવણી સંકેતો

જ્યારે તમને લોગ ઇન કરવા, વેરિફાઇ કરવા, અથવા તાકીદે કાર્ય કરવા કહેતો સંદેશ આવે:

તાકીદ અને ધમકીઓ — "તમારું એકાઉન્ટ 24 કલાકમાં બંધ થઈ જશે"
સામાન્ય શુભેચ્છાઓ — તમારા નામ ને બદલે "પ્રિય ગ્રાહક"
Look-alike domains — paypaI.com, app1e.com, secure-microsoft-login.net
અનપેક્ષિત attachments — ખાસ કરીને .zip, .html, અથવા .pdf ફાઇલો કે જે તમને જોવા માટે લોગ ઇન કરવા કહે છે
વ્યાકરણ અથવા ફોર્મેટિંગ ભૂલો — મોટી કંપનીઓ તેમના ઇમેઇલ્સ proofreader કરે છે
Link mismatch — લિંક પર hover કરો અને જુઓ કે ગંતવ્ય ટેક્સ્ટ સાથે મેળ ખાય છે કે નહીં

જો કંઈ પણ ખોટું લાગે, ઇમેઇલ બંધ કરો. manual સાઇટ પર જાઓ. જો કોઈ વાસ્તવિક સમસ્યા છે, તો તમે તમારા સામાન્ય workflow દ્વારા લોગ ઇન કરો ત્યારે તે જોશો.

જો તમે એકમાં ફસાઈ ગયા હો તો શું કરવું

ઝડપથી કાર્ય કરો — ઝડપ મહત્વપૂર્ણ છે કારણ કે હુમલાખોરો મિનિટોમાં ઓળખપત્રો ઉપયોગ કરવાનું શરૂ કરે છે.

તરત જ પાસવર્ડ બદલો અલગ ઉપકરણ પર (ઉદાહરણ તરીકે, તમારો ફોન, જો તમે લેપટોપ પર તેમાં ફસાઈ ગયા હો)
બધા સક્રિય સેશન્સ રદ કરો એકાઉન્ટ સેટિંગ્સમાં — આ ચોરાયેલા session tokens ઉપયોગ કરી રહેલા કોઈપણને બહાર કાઢે છે
2FA સક્ષમ કરો જો તે પહેલાથી ચાલુ નહોતું, અને શક્ય હોય તો hardware key અથવા passkey ઉપયોગ કરો
અનધિકૃત પ્રવૃત્તિ માટે તપાસ કરો — મોકલેલા ઇમેઇલ્સ, તાજેતરના લોગિન, billing ફેરફારો, નવા forwarding rules
અસરગ્રસ્ત સંસ્થાને જાણ કરો જો તે નાણાકીય અથવા કાર્ય એકાઉન્ટ છે
અન્ય એકાઉન્ટ્સ તપાસો કે જે સમાન પાસવર્ડ ઉપયોગ કરતા હતા — જો તમને ખાતરી હોય કે તમે પાસવર્ડ ફરીથી ઉપયોગ કરતા નથી, તો પણ તપાસ કરો

મુખ્ય વાત

Phishing ફળે છે કારણ કે તે ટેકનોલોજીને બાયપાસ કરે છે અને મનુષ્યોને લક્ષ્યાંક બનાવે છે. શ્રેષ્ઠ સંરક્ષણ ત્રણ સ્તરો મિલાવે છે: password managers (ખોટા domains પર autofill કરવાનો ઇનકાર), phishing-resistant 2FA (hardware keys અથવા passkeys કે જે વાસ્તવિક domain સાથે bind થાય છે), અને તંદુરસ્ત શંકા (ક્યારેય ઇમેઇલ લિંકથી લોગ ઇન કરશો નહીં).

તમારા સૌથી મહત્વપૂર્ણ એકાઉન્ટ — તમારી ઇમેઇલ — પર પહેલા ત્રણેય સક્ષમ કરો. ત્યાંથી, તમારી બાકીની ડિજિટલ જિંદગી અર્થપૂર્ણ રીતે વધુ સુરક્ષિત બને છે.