सरल शब्दों में फिशिंग क्या है?

फिशिंग तब होता है जब एक हमलावर एक नकली वेबसाइट बनाता है जो असली साइट (आपका बैंक, ईमेल, वर्कप्लेस लॉगिन) के बिल्कुल समान दिखती है और आपको वहां अपना पासवर्ड टाइप करने के लिए धोखा देता है। जैसे ही आप सबमिट करते हैं, वे आपके क्रेडेंशियल कैप्चर करते हैं और असली साइट पर उनका उपयोग करते हैं।

क्या 2FA फिशिंग को रोक सकता है?

ऐप-आधारित 2FA (TOTP) और SMS कोड आधुनिक फिशिंग को नहीं रोकते। हमलावर रीयल-टाइम प्रॉक्सी का उपयोग करते हैं जो आपके कोड को सेकंडों में असली साइट पर भेज देते हैं। केवल FIDO2/WebAuthn हार्डवेयर की और पासकी फिशिंग-प्रूफ हैं, क्योंकि वे असली डोमेन से क्रिप्टोग्राफिक रूप से बाइंड होती हैं।

मैं फिशिंग ईमेल को कैसे पहचान सकता हूं?

क्लिक करने से पहले लिंक पर होवर करें और वास्तविक गंतव्य चेक करें। तात्कालिकता ("आपका अकाउंट 24 घंटे में बंद हो जाएगा"), सामान्य अभिवादन ("प्रिय ग्राहक"), और डोमेन की गलत स्पेलिंग (paypaI.com में कैपिटल i, छोटा L नहीं) पर ध्यान दें। संदेह होने पर लिंक पर क्लिक करने के बजाय साइट पर मैन्युअली नेविगेट करें।

अगर मुझे लगता है कि मैं फिशिंग अटैक में फंस गया हूं तो मुझे क्या करना चाहिए?

तुरंत एक अलग डिवाइस से प्रभावित अकाउंट का पासवर्ड बदलें। अकाउंट सेटिंग्स में सभी सक्रिय सेशन रद्द करें। यदि आपने नहीं किया है तो 2FA इनेबल या फिर से इनेबल करें। अकाउंट में अनधिकृत गतिविधि चेक करें। यदि यह एक वित्तीय अकाउंट है, तो संस्था को सीधे कॉल करें।

क्या पासवर्ड मैनेजर फिशिंग के खिलाफ उपयोग करना सुरक्षित है?

हां, और ये आपकी सबसे अच्छी सुरक्षाओं में से एक हैं। पासवर्ड मैनेजर सटीक डोमेन के आधार पर ऑटोफिल करते हैं। यदि आप paypal.com के बजाय paypaI.com पर पहुंचते हैं, तो आपका मैनेजर ऑटोफिल नहीं करेगा — यह एक बड़ा रेड फ्लैग है कि कुछ गलत है।

फिशिंग अटैक से खुद को कैसे बचाएं

फिशिंग क्या है?

फिशिंग एक सामाजिक इंजीनियरिंग हमला है जहां एक हमलावर एक वैध वेबसाइट की विश्वसनीय कॉपी बनाता है — अक्सर बिल्कुल सही — और पीड़ित को वहां क्रेडेंशियल दर्ज करने के लिए धोखा देता है। जैसे ही पीड़ित फॉर्म सबमिट करता है, हमलावर उपयोगकर्ता नाम, पासवर्ड, और किसी भी दूसरे कारक को कैप्चर करता है, फिर सेकंडों में असली अकाउंट को हथियाने के लिए उनका उपयोग करता है।

यह शब्द शिकार के लिए चारा (आमतौर पर ईमेल) के साथ "मछली पकड़ने" के रूपक से आया है। स्पेलिंग बदलकर इस बात पर जोर दिया गया कि हमलावर अक्सर फ़ोन नंबर (SMS फिशिंग, या "smishing") और पेशेवर दिखने वाले इंफ्रास्ट्रक्चर का उपयोग करते हैं।

फिशिंग अभी भी #1 खतरा क्यों है

आज अधिकांश बड़े पैमाने पर अकाउंट ब्रीच में हैकिंग, पासवर्ड क्रैकिंग, या एन्क्रिप्शन को बायपास करना शामिल नहीं है। इनमें एक इंसान का नकली साइट पर पासवर्ड टाइप करना शामिल है। फिशिंग है:

सस्ता — एक हमलावर VPS और स्पूफड डोमेन की लागत से लाखों ईमेल भेज सकता है
फिल्टर करना कठिन — आधुनिक किट डोमेन रोटेट करते हैं, वैध होस्टिंग का उपयोग करते हैं, और रीयल टाइम में फिल्टर के अनुकूल होते हैं
प्रभावी — सुरक्षा-जागरूक उपयोगकर्ता भी अच्छी तरह से तैयार किए गए लक्षित प्रयासों (स्पीयर फिशिंग) में फंस जाते हैं
स्केलेबल — एक सफल फिश अक्सर पासवर्ड पुन: उपयोग के माध्यम से दर्जनों कनेक्टेड सेवाओं तक पहुंच देता है

2024 Verizon Data Breach Investigations Report में पाया गया कि सभी ब्रीच में 36% से अधिक में फिशिंग प्रारंभिक पहुंच वेक्टर था — किसी भी अन्य एकल कारण से अधिक।

आधुनिक फिशिंग कैसे काम करता है

फिशिंग 2000 के दशक के "नाइजीरियन राजकुमार" ईमेल से कहीं आगे विकसित हो गया है। एक आधुनिक फिशिंग अटैक में आम तौर पर शामिल है:

1. एक विश्वसनीय लालच

आमतौर पर एक ईमेल, टेक्स्ट, या चैट संदेश जो तात्कालिकता ("आपका अकाउंट निलंबित हो जाएगा"), अधिकार ("Microsoft सिक्योरिटी टीम"), या जिज्ञासा ("किसी ने आपको फोटो में टैग किया है") पैदा करता है। स्पीयर-फिशिंग इसे LinkedIn, ब्रीच डंप, या पूर्व पत्राचार से निकाले गए व्यक्तिगत विवरण के साथ और आगे ले जाता है।

2. एक बिल्कुल सही नकली साइट

हमलावर ऑफ-द-शेल्फ फिशिंग किट का उपयोग करते हैं जो लक्ष्य साइट के HTML, CSS, और JavaScript को क्लोन करते हैं। कई किट एक सेवा के रूप में बेचे जाते हैं (phishing-as-a-service), जिसमें काम करने वाले डैशबोर्ड और कस्टमर सपोर्ट होता है।

3. 2FA के लिए रीयल-टाइम प्रॉक्सी

खतरनाक हिस्सा: आधुनिक किट सिर्फ आपका पासवर्ड कैप्चर नहीं करते। वे man-in-the-middle प्रॉक्सी के रूप में काम करते हैं जो आपके द्वारा टाइप की गई हर चीज़ — आपके TOTP कोड सहित — को सेकंडों में असली साइट पर भेज देते हैं, अधिकांश 2FA को बायपास करते हैं। इस तकनीक को adversary-in-the-middle (AiTM) कहा जाता है और Evilginx2 और Modlishka जैसे टूल में उपयोग किया जाता है।

4. सेशन टोकन चोरी

एक बार जब आप प्रॉक्सी के माध्यम से authenticate करते हैं, तो हमलावर आपकी सेशन कुकी कैप्चर करता है और आपके पासवर्ड बदलने के बाद भी लॉग्ड इन रह सकता है। यही कारण है कि फिशिंग रिस्पॉन्स में हमेशा सक्रिय सेशन रद्द करना शामिल होता है, न कि केवल पासवर्ड रोटेशन।

फिशिंग को वास्तव में क्या रोकता है

हार्डवेयर सिक्योरिटी की (FIDO2 / WebAuthn)

यह सुरक्षा की एकमात्र श्रेणी है जो डिज़ाइन द्वारा फिशिंग-प्रूफ है। जब आप FIDO2 की के साथ लॉग इन करते हैं, तो आपकी की authentication का अनुरोध करने वाली साइट के सटीक डोमेन को क्रिप्टोग्राफिक रूप से सत्यापित करती है। एक नकली साइट — चाहे वह दृश्य रूप से कितनी भी परफेक्ट हो — का एक अलग डोमेन है, इसलिए की जवाब देने से इनकार कर देती है। क्रिप्टोग्राफिक हैंडशेक बस पूरा नहीं होता।

Google ने 2017 में अपने सभी 85,000+ कर्मचारियों के लिए YubiKeys अनिवार्य किए और तब से के वर्षों में कंपनी अकाउंट्स पर शून्य सफल फिशिंग अटैक की रिपोर्ट की।

पासकी

पासकी FIDO2 का उपभोक्ता-अनुकूल विकास हैं। वे समान डोमेन-बाउंड क्रिप्टोग्राफी का उपयोग करते हैं और iOS, Android, macOS, और Windows में बिल्ट-इन हैं। यदि आपके द्वारा उपयोग की जाने वाली साइट पासकी का समर्थन करती है, तो एक इनेबल करना उस अकाउंट को फिशिंग-प्रूफ बना देता है।

पासवर्ड मैनेजर

एक पासवर्ड मैनेजर आपकी सुरक्षा की दूसरी पंक्ति है क्योंकि यह केवल उसी सटीक डोमेन पर क्रेडेंशियल ऑटोफिल करता है जहां वे सेव किए गए थे। यदि आप paypal.com के बजाय paypaI.com (कैपिटल I) पर पहुंचते हैं, तो आपका मैनेजर चुपचाप फॉर्म भरने से इनकार कर देता है। वह इनकार एक तेज़ चेतावनी है कि कुछ गलत है।

ईमेल और DNS फिल्टरिंग

ईमेल प्रदाता स्पूफड भेजने वाले पते का पता लगाने के लिए DMARC, SPF, और DKIM का उपयोग करते हैं। अधिकांश आधुनिक प्रदाता स्पष्ट प्रयासों को पकड़ लेते हैं, लेकिन लक्षित हमले अभी भी फिसल जाते हैं। अपने मेल क्लाइंट में "report phishing" बटन इनेबल करें ताकि आप फिल्टर को बेहतर बनाने में मदद करें।

ध्यान देने योग्य चेतावनी संकेत

जब आपको लॉग इन करने, सत्यापित करने, या तुरंत कार्य करने के लिए कहने वाला संदेश मिले:

तात्कालिकता और धमकियां — "आपका अकाउंट 24 घंटे में बंद हो जाएगा"
सामान्य अभिवादन — आपके नाम के बजाय "प्रिय ग्राहक"
समान दिखने वाले डोमेन — paypaI.com, app1e.com, secure-microsoft-login.net
अप्रत्याशित अटैचमेंट — विशेष रूप से .zip, .html, या .pdf फाइलें जो आपको देखने के लिए लॉग इन करने के लिए कहती हैं
व्याकरण या फॉर्मेटिंग त्रुटियां — बड़ी कंपनियां अपने ईमेल की प्रूफरीडिंग करती हैं
लिंक मिसमैच — लिंक पर होवर करें और चेक करें कि क्या गंतव्य टेक्स्ट से मेल खाता है

यदि कुछ भी अजीब लगे, तो ईमेल बंद करें। साइट पर मैन्युअली नेविगेट करें। यदि कोई वास्तविक समस्या है, तो आप इसे अपने सामान्य वर्कफ़्लो के माध्यम से लॉग इन करने पर देखेंगे।

अगर आप इसमें फंस गए तो क्या करें

तुरंत कार्य करें — गति मायने रखती है क्योंकि हमलावर मिनटों में क्रेडेंशियल का उपयोग शुरू कर देते हैं।

तुरंत पासवर्ड बदलें एक अलग डिवाइस पर (उदाहरण के लिए आपका फोन, यदि आप लैपटॉप पर इसमें फंसे हैं)
सभी सक्रिय सेशन रद्द करें अकाउंट सेटिंग्स में — यह वर्तमान में चोरी हुए सेशन टोकन का उपयोग करने वाले किसी भी व्यक्ति को बाहर निकाल देता है
2FA इनेबल करें यदि यह पहले से चालू नहीं था, और यदि संभव हो तो हार्डवेयर की या पासकी का उपयोग करें
अनधिकृत गतिविधि चेक करें — भेजे गए ईमेल, हाल की लॉगिन, बिलिंग बदलाव, नए फॉरवर्डिंग नियम
प्रभावित संस्था को सूचित करें यदि यह वित्तीय या कार्य अकाउंट है
अन्य अकाउंट्स चेक करें जिन्होंने समान पासवर्ड का उपयोग किया — भले ही आप निश्चित हों कि आप पासवर्ड दोबारा उपयोग नहीं करते, चेक करें

निष्कर्ष

फिशिंग फलता-फूलता है क्योंकि यह तकनीक को बायपास करता है और मनुष्यों को लक्षित करता है। सबसे अच्छी सुरक्षा तीन परतों को मिलाती है: पासवर्ड मैनेजर (गलत डोमेन पर ऑटोफिल करने से इनकार), फिशिंग-प्रतिरोधी 2FA (हार्डवेयर की या पासकी जो असली डोमेन से बाइंड होती हैं), और स्वस्थ संदेह (कभी भी ईमेल लिंक से लॉग इन न करें)।

पहले अपने सबसे महत्वपूर्ण अकाउंट — आपके ईमेल — पर तीनों इनेबल करें। वहां से, आपकी बाकी डिजिटल जिंदगी अर्थपूर्ण रूप से सुरक्षित हो जाती है।