Phishing ಎಂದರೇನು?
Phishing ಒಂದು ಸಾಮಾಜಿಕ ಎಂಜಿನಿಯರಿಂಗ್ ದಾಳಿಯಾಗಿದ್ದು, ಅದರಲ್ಲಿ ಆಕ್ರಮಣಕಾರನು ನ್ಯಾಯಸಮ್ಮತ ವೆಬ್ಸೈಟ್ನ ಮನವರಿಕೆಯಾಗುವ ಪ್ರತಿಯನ್ನು ರಚಿಸುತ್ತಾನೆ — ಸಾಮಾನ್ಯವಾಗಿ pixel-perfect — ಮತ್ತು ಬಲಿಪಶುವನ್ನು ಅಲ್ಲಿ ರುಜುವಾತುಗಳನ್ನು ನಮೂದಿಸಲು ಮೋಸಗೊಳಿಸುತ್ತಾನೆ. ಬಲಿಪಶು ಫಾರ್ಮ್ ಸಲ್ಲಿಸಿದ ಕ್ಷಣ, ಆಕ್ರಮಣಕಾರನು ಬಳಕೆದಾರಹೆಸರು, ಪಾಸ್ವರ್ಡ್ ಮತ್ತು ಯಾವುದೇ ಎರಡನೇ ಅಂಶವನ್ನು ಸೆರೆಹಿಡಿಯುತ್ತಾನೆ, ನಂತರ ಅವುಗಳನ್ನು ಸೆಕೆಂಡುಗಳಲ್ಲಿ ನಿಜವಾದ ಖಾತೆಯನ್ನು ಸ್ವಾಧೀನಪಡಿಸಿಕೊಳ್ಳಲು ಬಳಸುತ್ತಾನೆ.
ಈ ಪದವು ಬಾಲದೊಂದಿಗೆ (ಸಾಮಾನ್ಯವಾಗಿ email) ಬಲಿಪಶುಗಳಿಗೆ "fishing" ಮಾಡುವ ರೂಪಕದಿಂದ ಬಂದಿದೆ. ಆಕ್ರಮಣಕಾರರು ಸಾಮಾನ್ಯವಾಗಿ phone ಸಂಖ್ಯೆಗಳನ್ನು (SMS phishing, ಅಥವಾ "smishing") ಮತ್ತು ವೃತ್ತಿಪರ-ಕಾಣುವ ಮೂಲಸೌಕರ್ಯವನ್ನು ಬಳಸುತ್ತಾರೆ ಎಂದು ಒತ್ತಿಹೇಳಲು spelling ಬದಲಾಯಿಸಿದೆ.
Phishing ಇನ್ನೂ ಏಕೆ #1 ಅಪಾಯವಾಗಿದೆ
ಇಂದಿನ ಹೆಚ್ಚಿನ ದೊಡ್ಡ-ಪ್ರಮಾಣದ ಖಾತೆ ಉಲ್ಲಂಘನೆಗಳು hacking, ಪಾಸ್ವರ್ಡ್ಗಳನ್ನು cracking ಮಾಡುವುದು, ಅಥವಾ encryption ಅನ್ನು ಬೈಪಾಸ್ ಮಾಡುವುದನ್ನು ಒಳಗೊಂಡಿರುವುದಿಲ್ಲ. ಅವು ನಕಲಿ ಸೈಟ್ಗೆ ಪಾಸ್ವರ್ಡ್ ಟೈಪ್ ಮಾಡುವ ಮಾನವನನ್ನು ಒಳಗೊಂಡಿವೆ. Phishing:
- ಅಗ್ಗವಾಗಿದೆ — ಆಕ್ರಮಣಕಾರನು VPS ಮತ್ತು spoofed domain ನ ಬೆಲೆಗೆ ಲಕ್ಷಾಂತರ email ಗಳನ್ನು ಕಳುಹಿಸಬಹುದು
- ಫಿಲ್ಟರ್ ಮಾಡಲು ಕಷ್ಟ — ಆಧುನಿಕ kits domains ಅನ್ನು ತಿರುಗಿಸುತ್ತವೆ, ನ್ಯಾಯಸಮ್ಮತ hosting ಬಳಸುತ್ತವೆ, ಮತ್ತು ನೈಜ-ಸಮಯದಲ್ಲಿ ಫಿಲ್ಟರ್ಗಳಿಗೆ ಹೊಂದಿಕೊಳ್ಳುತ್ತವೆ
- ಪರಿಣಾಮಕಾರಿ — ಸೆಕ್ಯುರಿಟಿ-ಜಾಗೃತ ಬಳಕೆದಾರರು ಕೂಡ ಚೆನ್ನಾಗಿ-ರಚಿತ ಗುರಿಯಿತ್ತ ಪ್ರಯತ್ನಗಳಿಗೆ (spear phishing) ಬಲಿಯಾಗುತ್ತಾರೆ
- ಸ್ಕೇಲೇಬಲ್ — ಒಂದೇ ಯಶಸ್ವಿ phish ಸಾಮಾನ್ಯವಾಗಿ ಪಾಸ್ವರ್ಡ್ ಮರುಬಳಕೆಯ ಮೂಲಕ ಡಜನ್ಗಟ್ಟಲೆ ಸಂಪರ್ಕಿತ ಸೇವೆಗಳಿಗೆ ಪ್ರವೇಶವನ್ನು ನೀಡುತ್ತದೆ
2024 Verizon Data Breach Investigations Report ಎಲ್ಲಾ ಉಲ್ಲಂಘನೆಗಳಲ್ಲಿ 36% ಕ್ಕಿಂತ ಹೆಚ್ಚಿನಲ್ಲಿ phishing ಪ್ರಾರಂಭಿಕ ಪ್ರವೇಶ ವೆಕ್ಟರ್ ಆಗಿತ್ತು ಎಂದು ಕಂಡುಹಿಡಿದಿದೆ — ಯಾವುದೇ ಒಂದು ಇತರ ಕಾರಣಕ್ಕಿಂತ ಹೆಚ್ಚು.
ಆಧುನಿಕ phishing ಹೇಗೆ ಕೆಲಸ ಮಾಡುತ್ತದೆ
Phishing 2000 ದಶಕದ "Nigerian prince" email ಗಳನ್ನು ಮೀರಿ ಬಹಳ ವಿಕಸನಗೊಂಡಿದೆ. ಆಧುನಿಕ phishing ದಾಳಿಯು ಸಾಮಾನ್ಯವಾಗಿ ಒಳಗೊಂಡಿರುತ್ತದೆ:
1. ಮನವರಿಕೆಯಾಗುವ ಆಮಿಷ
ಸಾಮಾನ್ಯವಾಗಿ email, ಪಠ್ಯ, ಅಥವಾ ಚಾಟ್ ಸಂದೇಶವು ತುರ್ತಿನತೆಯನ್ನು ("ನಿಮ್ಮ ಖಾತೆ ಅಮಾನತುಗೊಳಿಸಲ್ಪಡುತ್ತದೆ"), ಅಧಿಕಾರವನ್ನು ("Microsoft ಸೆಕ್ಯುರಿಟಿ ತಂಡ"), ಅಥವಾ ಕುತೂಹಲವನ್ನು ("ಯಾರೋ ನಿಮ್ಮನ್ನು ಫೋಟೋದಲ್ಲಿ tag ಮಾಡಿದ್ದಾರೆ") ಸೃಷ್ಟಿಸುತ್ತದೆ. Spear-phishing ಇದನ್ನು LinkedIn, breach dumps, ಅಥವಾ ಹಿಂದಿನ ಪತ್ರವ್ಯವಹಾರದಿಂದ ಪಡೆದ ವೈಯಕ್ತಿಕ ವಿವರಗಳೊಂದಿಗೆ ಮತ್ತಷ್ಟು ತೆಗೆದುಕೊಳ್ಳುತ್ತದೆ.
2. Pixel-perfect ನಕಲಿ ಸೈಟ್
ಆಕ್ರಮಣಕಾರರು ಗುರಿ ಸೈಟ್ನ HTML, CSS, ಮತ್ತು JavaScript ಅನ್ನು ಕ್ಲೋನ್ ಮಾಡುವ off-the-shelf phishing kits ಅನ್ನು ಬಳಸುತ್ತಾರೆ. ಅನೇಕ kits ಅನ್ನು ಸೇವೆಯಾಗಿ ಮಾರಾಟ ಮಾಡಲಾಗುತ್ತದೆ (phishing-as-a-service), ಕೆಲಸ ಮಾಡುವ dashboards ಮತ್ತು ಗ್ರಾಹಕ ಬೆಂಬಲದೊಂದಿಗೆ.
3. 2FA ಗಾಗಿ ನೈಜ-ಸಮಯ proxy
ಅಪಾಯಕಾರಿ ಭಾಗ: ಆಧುನಿಕ kits ಕೇವಲ ನಿಮ್ಮ ಪಾಸ್ವರ್ಡ್ ಅನ್ನು ಸೆರೆಹಿಡಿಯುವುದಿಲ್ಲ. ಅವು man-in-the-middle proxy ಆಗಿ ಕಾರ್ಯನಿರ್ವಹಿಸುತ್ತವೆ ಅದು ನಿಮ್ಮ TOTP ಕೋಡ್ ಸೇರಿದಂತೆ ನೀವು ಟೈಪ್ ಮಾಡುವ ಎಲ್ಲವನ್ನೂ ಸೆಕೆಂಡುಗಳಲ್ಲಿ ನಿಜವಾದ ಸೈಟ್ಗೆ ಫಾರ್ವರ್ಡ್ ಮಾಡುತ್ತವೆ, ಹೆಚ್ಚಿನ 2FA ಅನ್ನು ಬೈಪಾಸ್ ಮಾಡುತ್ತವೆ. ಈ ತಂತ್ರವನ್ನು adversary-in-the-middle (AiTM) ಎಂದು ಕರೆಯಲಾಗುತ್ತದೆ ಮತ್ತು Evilginx2 ಮತ್ತು Modlishka ಯಂತಹ ಸಾಧನಗಳಲ್ಲಿ ಬಳಸಲಾಗುತ್ತದೆ.
4. ಸೆಷನ್ token ಕಳ್ಳತನ
ಒಮ್ಮೆ ನೀವು proxy ಮೂಲಕ authenticate ಮಾಡಿದರೆ, ಆಕ್ರಮಣಕಾರನು ನಿಮ್ಮ ಸೆಷನ್ cookie ಅನ್ನು ಸೆರೆಹಿಡಿಯುತ್ತಾನೆ ಮತ್ತು ನೀವು ನಿಮ್ಮ ಪಾಸ್ವರ್ಡ್ ಬದಲಾಯಿಸಿದ ನಂತರವೂ ಲಾಗಿನ್ ಆಗಿರಲು ಅದನ್ನು ಬಳಸಬಹುದು. ಇದಕ್ಕೆ phishing ಪ್ರತಿಕ್ರಿಯೆಯು ಕೇವಲ ಪಾಸ್ವರ್ಡ್ ತಿರುಗಿಸುವುದಲ್ಲದೆ ಸಕ್ರಿಯ ಸೆಷನ್ಗಳನ್ನು ರದ್ದುಗೊಳಿಸುವುದನ್ನೂ ಒಳಗೊಂಡಿರುತ್ತದೆ.
ನಿಜವಾಗಿಯೂ phishing ಅನ್ನು ನಿಲ್ಲಿಸುವುದು ಏನು
ಹಾರ್ಡ್ವೇರ್ ಸೆಕ್ಯುರಿಟಿ ಕೀಗಳು (FIDO2 / WebAuthn)
ಇದು ವಿನ್ಯಾಸದಿಂದಲೇ phishing-proof ಆದ ರಕ್ಷಣೆಯ ಏಕೈಕ ವರ್ಗವಾಗಿದೆ. ನೀವು FIDO2 ಕೀಯೊಂದಿಗೆ ಲಾಗಿನ್ ಮಾಡಿದಾಗ, ನಿಮ್ಮ ಕೀ authentication ಕೇಳುವ ಸೈಟ್ನ ನಿಖರ domain ಅನ್ನು cryptographically ಪರಿಶೀಲಿಸುತ್ತದೆ. ನಕಲಿ ಸೈಟ್ — ದೃಷ್ಟಿಗೋಚರವಾಗಿ ಎಷ್ಟು ಪರಿಪೂರ್ಣವಾಗಿದ್ದರೂ — ಬೇರೆ domain ಹೊಂದಿದೆ, ಆದ್ದರಿಂದ ಕೀ ಪ್ರತಿಕ್ರಿಯಿಸಲು ನಿರಾಕರಿಸುತ್ತದೆ. Cryptographic handshake ಸರಳವಾಗಿ ಪೂರ್ಣಗೊಳ್ಳುವುದಿಲ್ಲ.
Google 2017 ರಲ್ಲಿ ತನ್ನ ಎಲ್ಲಾ 85,000+ ಉದ್ಯೋಗಿಗಳಿಗೆ YubiKeys ಅನ್ನು ಕಡ್ಡಾಯಗೊಳಿಸಿತು ಮತ್ತು ನಂತರದ ವರ್ಷಗಳಲ್ಲಿ ಕಂಪನಿ ಖಾತೆಗಳಲ್ಲಿ ಯಾವುದೇ ಯಶಸ್ವಿ phishing ದಾಳಿಗಳಿಲ್ಲ ಎಂದು ವರದಿ ಮಾಡಿದೆ.
Passkeys
Passkeys FIDO2 ನ ಗ್ರಾಹಕ-ಸ್ನೇಹಿ ವಿಕಾಸವಾಗಿದೆ. ಅವು ಅದೇ domain-bound cryptography ಅನ್ನು ಬಳಸುತ್ತವೆ ಮತ್ತು iOS, Android, macOS, ಮತ್ತು Windows ನಲ್ಲಿ ಅಂತರ್ನಿರ್ಮಿತವಾಗಿವೆ. ನೀವು ಬಳಸುವ ಸೈಟ್ passkeys ಅನ್ನು ಬೆಂಬಲಿಸಿದರೆ, ಒಂದನ್ನು ಸಕ್ರಿಯಗೊಳಿಸುವುದು ಆ ಖಾತೆಯನ್ನು phishing-proof ಮಾಡುತ್ತದೆ.
ಪಾಸ್ವರ್ಡ್ ಮ್ಯಾನೇಜರ್ಗಳು
ಪಾಸ್ವರ್ಡ್ ಮ್ಯಾನೇಜರ್ ನಿಮ್ಮ ಎರಡನೇ ರಕ್ಷಣೆಯ ರೇಖೆಯಾಗಿದೆ ಏಕೆಂದರೆ ಅದು ಅವುಗಳನ್ನು ಉಳಿಸಿದ ನಿಖರ domain ನಲ್ಲಿ ಮಾತ್ರ ರುಜುವಾತುಗಳನ್ನು autofill ಮಾಡುತ್ತದೆ. ನೀವು paypal.com ಬದಲು paypaI.com (capital I) ಗೆ ಭೇಟಿ ನೀಡಿದರೆ, ನಿಮ್ಮ ಮ್ಯಾನೇಜರ್ ಮೌನವಾಗಿ ಫಾರ್ಮ್ ಭರ್ತಿ ಮಾಡಲು ನಿರಾಕರಿಸುತ್ತದೆ. ಆ ನಿರಾಕರಿಸುವಿಕೆ ಏನಾದರೂ ತಪ್ಪಾಗಿದೆ ಎಂಬ ಜೋರಾದ ಎಚ್ಚರಿಕೆಯಾಗಿದೆ.
Email ಮತ್ತು DNS ಫಿಲ್ಟರಿಂಗ್
Email ಪ್ರೊವೈಡರ್ಗಳು spoofed sender addresses ಅನ್ನು ಕಂಡುಹಿಡಿಯಲು DMARC, SPF, ಮತ್ತು DKIM ಬಳಸುತ್ತಾರೆ. ಹೆಚ್ಚಿನ ಆಧುನಿಕ ಪ್ರೊವೈಡರ್ಗಳು ಸ್ಪಷ್ಟ ಪ್ರಯತ್ನಗಳನ್ನು ಹಿಡಿಯುತ್ತಾರೆ, ಆದರೆ ಗುರಿಯಿತ್ತ ದಾಳಿಗಳು ಇನ್ನೂ ಜಾರಿಕೊಳ್ಳುತ್ತವೆ. ಫಿಲ್ಟರ್ಗಳು ಸುಧಾರಿಸಲು ನೀವು ಸಹಾಯ ಮಾಡುವಂತೆ ನಿಮ್ಮ ಮೇಲ್ ಕ್ಲೈಂಟ್ನಲ್ಲಿ "report phishing" ಬಟನ್ಗಳನ್ನು ಸಕ್ರಿಯಗೊಳಿಸಿ.
ಗಮನಿಸಬೇಕಾದ ಎಚ್ಚರಿಕೆ ಚಿಹ್ನೆಗಳು
ಲಾಗಿನ್ ಮಾಡಲು, ಪರಿಶೀಲಿಸಲು, ಅಥವಾ ತುರ್ತಾಗಿ ಕಾರ್ಯ ಮಾಡಲು ಕೇಳುವ ಸಂದೇಶವನ್ನು ನೀವು ಸ್ವೀಕರಿಸಿದಾಗ:
- ತುರ್ತು ಮತ್ತು ಬೆದರಿಕೆಗಳು — "ನಿಮ್ಮ ಖಾತೆ 24 ಗಂಟೆಗಳಲ್ಲಿ ಮುಚ್ಚಲ್ಪಡುತ್ತದೆ"
- ಸಾಮಾನ್ಯ ಶುಭಾಶಯಗಳು — ನಿಮ್ಮ ಹೆಸರಿನ ಬದಲು "ಪ್ರಿಯ ಗ್ರಾಹಕರೇ"
- Look-alike domains —
paypaI.com,app1e.com,secure-microsoft-login.net - ಅನಿರೀಕ್ಷಿತ ಲಗತ್ತುಗಳು — ವಿಶೇಷವಾಗಿ
.zip,.html, ಅಥವಾ.pdfಫೈಲ್ಗಳು ನಿಮ್ಮನ್ನು ನೋಡಲು ಲಾಗಿನ್ ಮಾಡಲು ಕೇಳುತ್ತವೆ - ವ್ಯಾಕರಣ ಅಥವಾ ಸ್ವರೂಪ ದೋಷಗಳು — ದೊಡ್ಡ ಕಂಪನಿಗಳು ತಮ್ಮ email ಗಳನ್ನು ಪ್ರೂಫ್ರೀಡ್ ಮಾಡುತ್ತವೆ
- ಲಿಂಕ್ ಅಸಮರ್ಪಕತೆ — ಲಿಂಕ್ ಮೇಲೆ hover ಮಾಡಿ ಮತ್ತು ಗಮ್ಯಸ್ಥಾನವು ಪಠ್ಯಕ್ಕೆ ಹೊಂದಿಕೆಯಾಗುತ್ತದೆಯೇ ಎಂದು ಪರಿಶೀಲಿಸಿ
ಏನಾದರೂ ತಪ್ಪಾಗಿ ಅನಿಸಿದರೆ, email ಅನ್ನು ಮುಚ್ಚಿ. ಸೈಟ್ಗೆ ಹಸ್ತಚಾಲಿತವಾಗಿ ನ್ಯಾವಿಗೇಟ್ ಮಾಡಿ. ನಿಜವಾಗಿಯೂ ಸಮಸ್ಯೆ ಇದ್ದರೆ, ನಿಮ್ಮ ಸಾಮಾನ್ಯ ವರ್ಕ್ಫ್ಲೋ ಮೂಲಕ ಲಾಗಿನ್ ಮಾಡಿದಾಗ ನೀವು ಅದನ್ನು ನೋಡುತ್ತೀರಿ.
ಒಂದಕ್ಕೆ ಬಲಿಯಾದರೆ ಏನು ಮಾಡಬೇಕು
ತ್ವರಿತವಾಗಿ ಕಾರ್ಯ ಮಾಡಿ — ಆಕ್ರಮಣಕಾರರು ನಿಮಿಷಗಳಲ್ಲಿ ರುಜುವಾತುಗಳನ್ನು ಬಳಸಲು ಪ್ರಾರಂಭಿಸುವುದರಿಂದ ವೇಗ ಮುಖ್ಯವಾಗಿದೆ.
- ತಕ್ಷಣವೇ ಪಾಸ್ವರ್ಡ್ ಬದಲಾಯಿಸಿ ಬೇರೆ ಸಾಧನದಲ್ಲಿ (ಉದಾಹರಣೆಗೆ, ನೀವು ಲ್ಯಾಪ್ಟಾಪ್ನಲ್ಲಿ ಬಲಿಯಾದರೆ ನಿಮ್ಮ ಫೋನ್)
- ಎಲ್ಲಾ ಸಕ್ರಿಯ ಸೆಷನ್ಗಳನ್ನು ರದ್ದುಗೊಳಿಸಿ ಖಾತೆ ಸೆಟ್ಟಿಂಗ್ಗಳಲ್ಲಿ — ಇದು ಕದ್ದ ಸೆಷನ್ token ಗಳನ್ನು ಪ್ರಸ್ತುತ ಬಳಸುತ್ತಿರುವ ಯಾರನ್ನಾದರೂ ಹೊರಹಾಕುತ್ತದೆ
- 2FA ಅನ್ನು ಸಕ್ರಿಯಗೊಳಿಸಿ ಅದು ಈಗಾಗಲೇ ಆನ್ ಆಗಿರದಿದ್ದರೆ, ಮತ್ತು ಸಾಧ್ಯವಾದರೆ ಹಾರ್ಡ್ವೇರ್ ಕೀ ಅಥವಾ passkey ಬಳಸಿ
- ಅನಧಿಕೃತ ಚಟುವಟಿಕೆಗಾಗಿ ಪರಿಶೀಲಿಸಿ — ಕಳುಹಿಸಿದ email ಗಳು, ಇತ್ತೀಚಿನ ಲಾಗಿನ್ಗಳು, ಬಿಲ್ಲಿಂಗ್ ಬದಲಾವಣೆಗಳು, ಹೊಸ ಫಾರ್ವರ್ಡಿಂಗ್ ನಿಯಮಗಳು
- ಪೀಡಿತ ಸಂಸ್ಥೆಗೆ ತಿಳಿಸಿ ಅದು ಹಣಕಾಸು ಅಥವಾ ಕೆಲಸದ ಖಾತೆಯಾದರೆ
- ಅದೇ ಪಾಸ್ವರ್ಡ್ ಬಳಸಿದ ಇತರ ಖಾತೆಗಳನ್ನು ಪರಿಶೀಲಿಸಿ — ನೀವು ಪಾಸ್ವರ್ಡ್ಗಳನ್ನು ಮರುಬಳಸುವುದಿಲ್ಲ ಎಂದು ಖಚಿತವಾಗಿದ್ದರೂ, ಪರಿಶೀಲಿಸಿ
ಮುಖ್ಯ ಮಾತು
Phishing ತಂತ್ರಜ್ಞಾನವನ್ನು ಬೈಪಾಸ್ ಮಾಡಿ ಮಾನವರನ್ನು ಗುರಿಯಾಗಿಸುವುದರಿಂದ ಅದು ಪ್ರವರ್ಧಮಾನಕ್ಕೆ ಬರುತ್ತದೆ. ಅತ್ಯುತ್ತಮ ರಕ್ಷಣೆಗಳು ಮೂರು ಪದರಗಳನ್ನು ಮಿಶ್ರಣ ಮಾಡುತ್ತವೆ: ಪಾಸ್ವರ್ಡ್ ಮ್ಯಾನೇಜರ್ಗಳು (ತಪ್ಪಾದ domains ನಲ್ಲಿ autofill ಮಾಡಲು ನಿರಾಕರಿಸುತ್ತವೆ), phishing-resistant 2FA (ನಿಜವಾದ domain ಗೆ ಬಂಧಿಸುವ ಹಾರ್ಡ್ವೇರ್ ಕೀಗಳು ಅಥವಾ passkeys), ಮತ್ತು ಆರೋಗ್ಯಕರ ಸಂಶಯ (email ಲಿಂಕ್ನಿಂದ ಎಂದಿಗೂ ಲಾಗಿನ್ ಮಾಡಬೇಡಿ).
ನಿಮ್ಮ ಅತ್ಯಂತ ಪ್ರಮುಖ ಖಾತೆಯಲ್ಲಿ — ನಿಮ್ಮ email ನಲ್ಲಿ — ಮೊದಲು ಮೂರನ್ನೂ ಸಕ್ರಿಯಗೊಳಿಸಿ. ಅಲ್ಲಿಂದ, ನಿಮ್ಮ ಡಿಜಿಟಲ್ ಜೀವನದ ಉಳಿದ ಭಾಗವು ಅರ್ಥಪೂರ್ಣವಾಗಿ ಸುರಕ್ಷಿತವಾಗುತ್ತದೆ.