Phishing म्हणजे काय?
Phishing हा एक social engineering हल्ला आहे जेथे हल्लेखोर वैध वेबसाइटची खात्रीलायक प्रत तयार करतो — अनेकदा pixel-perfect — आणि पीडितेला तिथे प्रमाणपत्रे एंटर करण्यास फसवतो. पीडितेने फॉर्म submit करताच, हल्लेखोर username, पासवर्ड, आणि कोणताही दुसरा factor capture करतो, नंतर सेकंदातच खऱ्या खात्याचा ताबा घेण्यासाठी त्यांचा वापर करतो.
हा शब्द आमिषाने (सहसा ईमेल) पीडितांना "मासेमारी" करण्याच्या रूपकातून आला आहे. हल्लेखोर अनेकदा phone नंबर (SMS phishing, किंवा "smishing") आणि व्यावसायिक दिसणारे infrastructure वापरतात यावर भर देण्यासाठी spelling बदलली.
Phishing अजूनही #1 धोका का आहे
आजकाल बहुतेक मोठ्या प्रमाणातील खाते उल्लंघनांमध्ये hacking, पासवर्ड cracking, किंवा encryption bypass करणे यांचा समावेश होत नाही. त्यामध्ये एक माणूस बनावट साइटमध्ये पासवर्ड टाइप करणे समाविष्ट आहे. Phishing आहे:
- स्वस्त — हल्लेखोर VPS आणि spoofed डोमेनच्या किंमतीत लाखो ईमेल पाठवू शकतो
- फिल्टर करणे कठीण — आधुनिक kits डोमेन rotate करतात, वैध hosting वापरतात, आणि रीअल टाइममध्ये filters ला adapt होतात
- प्रभावी — सुरक्षा-जागरूक वापरकर्ते देखील चांगल्या प्रकारे तयार केलेल्या लक्ष्यित प्रयत्नांमध्ये (spear phishing) अडकतात
- स्केलेबल — एकच यशस्वी phish अनेकदा पासवर्ड पुन्हा वापराने डझनभर जोडलेल्या सेवांमध्ये प्रवेश देते
2024 Verizon Data Breach Investigations Report ने असे आढळले की सर्व उल्लंघनांपैकी 36% पेक्षा जास्त मध्ये phishing हा प्रारंभिक प्रवेश vector होता — इतर कोणत्याही एकल कारणापेक्षा अधिक.
आधुनिक phishing कसे कार्य करते
Phishing 2000 च्या दशकातील "Nigerian prince" ईमेलपासून खूप विकसित झाले आहे. आधुनिक phishing हल्ल्यामध्ये सामान्यत: समाविष्ट आहे:
1. खात्रीशीर आमिष
सामान्यत: ईमेल, मजकूर, किंवा चॅट संदेश जो तातडी ("तुमचे खाते निलंबित केले जाईल"), अधिकार ("Microsoft सुरक्षा संघ"), किंवा कुतूहल ("कोणीतरी तुम्हाला फोटोत टॅग केले") निर्माण करतो. Spear-phishing LinkedIn, breach dumps, किंवा पूर्वीच्या पत्रव्यवहारातून काढलेल्या वैयक्तिक तपशीलांसह यास पुढे नेते.
2. Pixel-perfect बनावट साइट
हल्लेखोर phishing kits off-the-shelf वापरतात जे लक्ष्यित साइटचे HTML, CSS, आणि JavaScript clone करतात. अनेक kits सेवा म्हणून विकल्या जातात (phishing-as-a-service), कार्यक्षम dashboards आणि ग्राहक सहाय्तासह.
3. 2FA साठी रीअल-टाइम proxy
धोकादायक भाग: आधुनिक kits फक्त तुमचा पासवर्ड capture करत नाहीत. ते man-in-the-middle proxy म्हणून कार्य करतात जे तुम्ही टाइप करता ते सर्वकाही — तुमचा TOTP कोड समावेशाने — सेकंदातच खऱ्या साइटवर forward करतात, बहुतेक 2FA bypass करून. या तंत्राला adversary-in-the-middle (AiTM) म्हणतात आणि ते Evilginx2 आणि Modlishka सारख्या tools मध्ये वापरले जाते.
4. Session token चोरी
तुम्ही proxy द्वारे authenticate केल्यानंतर, हल्लेखोर तुमची session cookie capture करतो आणि तुम्ही पासवर्ड बदलल्यानंतरही लॉग इन राहण्यासाठी त्याचा वापर करू शकतो. म्हणूनच phishing response मध्ये फक्त पासवर्ड rotation नव्हे तर सक्रिय sessions रद्द करणे समाविष्ट असते.
Phishing खरोखर काय थांबवते
हार्डवेअर सुरक्षा चाव्या (FIDO2 / WebAuthn)
हा संरक्षणाचा एकमेव वर्ग आहे जो डिझाइनने phishing-proof आहे. जेव्हा तुम्ही FIDO2 चावीने लॉग इन करता, तेव्हा तुमची चावी authentication विनंती करणाऱ्या साइटचे अचूक डोमेन cryptographically verify करते. बनावट साइट — कितीही दृश्यमान परफेक्ट असली तरी — वेगळे डोमेन आहे, म्हणून चावी प्रतिसाद देण्यास नकार देते. Cryptographic handshake फक्त पूर्ण होत नाही.
Google ने 2017 मध्ये सर्व 85,000+ कर्मचाऱ्यांसाठी YubiKeys अनिवार्य केली आणि त्यानंतरच्या वर्षांमध्ये कंपनी खात्यांवर शून्य यशस्वी phishing हल्ले झाल्याची नोंद केली.
Passkeys
Passkeys हे FIDO2 चे ग्राहक-अनुकूल विकास आहेत. ते समान domain-bound cryptography वापरतात आणि iOS, Android, macOS, आणि Windows मध्ये built-in आहेत. जर तुम्ही वापरत असलेली साइट passkeys ला समर्थन देत असेल, तर एक enable केल्यास ते खाते phishing-proof होते.
Password managers
Password manager हे तुमचे दुसरे संरक्षण आहे कारण ते फक्त अचूक डोमेन वर प्रमाणपत्रे autofill करते जेथे ते सेव्ह केले गेले होते. जर तुम्ही paypal.com ऐवजी paypaI.com (capital I) वर पोहोचलात, तर तुमचे manager मूकपणे फॉर्म fill करण्यास नकार देते. हा नकार एक मोठा इशारा आहे की काहीतरी चुकीचे आहे.
ईमेल आणि DNS फिल्टरिंग
ईमेल प्रदाते spoofed sender addresses ओळखण्यासाठी DMARC, SPF, आणि DKIM वापरतात. बहुतेक आधुनिक प्रदाते स्पष्ट प्रयत्न पकडतात, परंतु लक्ष्यित हल्ले अजूनही सुटतात. filters सुधारण्यास मदत करण्यासाठी तुमच्या mail client मध्ये "report phishing" बटणे enable करा.
पाहायच्या लाल ध्वजांची यादी
जेव्हा तुम्हाला लॉग इन करण्यास, verify करण्यास, किंवा तातडीने कृती करण्यास सांगणारा संदेश येतो:
- तातडी आणि धमक्या — "तुमचे खाते 24 तासात बंद होईल"
- सामान्य अभिवादन — तुमच्या नावाऐवजी "प्रिय ग्राहक"
- Look-alike डोमेन —
paypaI.com,app1e.com,secure-microsoft-login.net - अनपेक्षित attachments — विशेषत:
.zip,.html, किंवा.pdffiles जे तुम्हाला पाहण्यासाठी लॉग इन करण्यास सांगतात - व्याकरण किंवा formatting त्रुटी — मोठ्या कंपन्या त्यांचे ईमेल प्रूफरीड करतात
- लिंक मिसमॅच — लिंकवर hover करा आणि गंतव्य मजकूराशी जुळते का तपासा
जर काहीही चुकीचे वाटत असेल, तर ईमेल बंद करा. साइटवर मॅन्युअली जा. जर खरोखरच काही समस्या असेल, तर तुम्ही तुमच्या सामान्य workflow द्वारे लॉग इन केल्यावर ते दिसेल.
जर तुम्ही त्यात अडकलात तर काय करावे
त्वरित कृती करा — वेग महत्त्वाचा आहे कारण हल्लेखोर मिनिटांमध्ये प्रमाणपत्रे वापरणे सुरू करतात.
- तत्काळ पासवर्ड बदला वेगळ्या device वर (उदाहरणार्थ, तुमच्या फोनवर, जर तुम्ही laptop वर त्यात अडकलात)
- खाते सेटिंग्जमध्ये सर्व सक्रिय sessions रद्द करा — हे चोरलेल्या session tokens वापरणाऱ्या कोणालाही बाहेर काढते
- जर ते आधी चालू नव्हते तर 2FA enable करा, आणि शक्य असल्यास हार्डवेअर चावी किंवा passkey वापरा
- अनधिकृत क्रियाकलापांसाठी तपासा — पाठवलेले ईमेल, अलीकडील लॉगिन, billing बदल, नवीन forwarding नियम
- आर्थिक किंवा कार्य खाते असल्यास प्रभावित संस्थेला कळवा
- समान पासवर्ड वापरणारी इतर खाती तपासा — तुम्ही पासवर्ड पुन्हा वापरत नाही याची खात्री असली तरी, तपासा
मुख्य मुद्दा
Phishing पनपते कारण ते तंत्रज्ञान bypass करून मानवांना लक्ष्य करते. सर्वोत्तम संरक्षणे तीन स्तर मिसळतात: password managers (चुकीच्या डोमेनवर autofill करण्यास नकार देतात), phishing-resistant 2FA (हार्डवेअर चाव्या किंवा passkeys जे खऱ्या डोमेनशी bind होतात), आणि निरोगी संशय (कधीही ईमेल लिंकवरून लॉग इन करू नका).
सर्व तिन्ही तुमच्या सर्वात महत्त्वाच्या खात्यावर — तुमच्या ईमेलवर — प्रथम enable करा. तिथून, तुमचे बाकी डिजिटल जीवन अर्थपूर्ण रीतीने सुरक्षित होते.