फिशिङ के हो?
फिशिङ एक सामाजिक इन्जिनियरिङ आक्रमण हो जहाँ आक्रमणकारीले वैध वेबसाइटको विश्वसनीय प्रतिलिपि बनाउँछ — प्रायः पिक्सेल-पर्फेक्ट — र पीडितलाई त्यहाँ प्रमाणहरू प्रविष्ट गर्न धोका दिन्छ। पीडितले फारम सबमिट गर्ने बित्तिकै, आक्रमणकारीले प्रयोगकर्ता नाम, पासवर्ड, र कुनै पनि दोस्रो कारक कब्जा गर्छ, त्यसपछि सेकेन्डभित्रै वास्तविक खाता कब्जा गर्नको लागि तिनीहरूको प्रयोग गर्छ।
यो शब्द पीडितहरूको लागि चारो (सामान्यतया इमेल) संग "माछा मार्ने" रूपकबाट आएको हो। हिज्जे परिवर्तन भयो किनभने आक्रमणकारीहरूले प्रायः फोन नम्बरहरू (SMS फिशिङ, वा "smishing") र पेशेवर देखिने पूर्वाधार प्रयोग गर्छन् भन्ने जोड दिन।
फिशिङ अझै पनि नम्बर 1 खतरा किन हो
आजका धेरैजसो ठूला-स्तरका खाता उल्लङ्घनहरूमा ह्याकिङ, पासवर्ड क्र्याकिङ, वा एन्क्रिप्शन बाइपास समावेश हुँदैन। तिनीहरूमा मानिसले नक्कली साइटमा पासवर्ड टाइप गर्नु समावेश हुन्छ। फिशिङ:
- सस्तो — आक्रमणकारीले VPS र स्पूफ गरिएको डोमेनको लागतमा लाखौं इमेलहरू पठाउन सक्छ
- फिल्टर गर्न कठिन — आधुनिक किटहरूले डोमेनहरू घुमाउँछन्, वैध होस्टिङ प्रयोग गर्छन्, र वास्तविक समयमा फिल्टरहरूमा अनुकूलन हुन्छन्
- प्रभावकारी — सुरक्षा-जागरूक प्रयोगकर्ताहरू पनि राम्रोसँग बनाइएको लक्षित प्रयासहरू (स्पियर फिशिङ) मा फस्छन्
- स्केलेबल — एकल सफल फिशले प्रायः पासवर्ड पुन: प्रयोगको माध्यमबाट दर्जनौं जडित सेवाहरूमा पहुँच प्रदान गर्छ
२०२४ Verizon डेटा ब्रीच अनुसन्धान रिपोर्टले फेला पार्यो कि फिशिङ सबै उल्लङ्घनहरूको ३६% भन्दा बढीमा प्रारम्भिक पहुँच भेक्टर थियो — कुनै अन्य एकल कारण भन्दा बढी।
आधुनिक फिशिङ कसरी काम गर्छ
फिशिङ २००० को दशकको "नाइजेरियन राजकुमार" इमेलहरू भन्दा धेरै विकसित भएको छ। आधुनिक फिशिङ आक्रमणमा सामान्यतया समावेश हुन्छ:
१. विश्वसनीय प्रलोभन
सामान्यतया इमेल, पाठ, वा च्याट सन्देश जसले तत्कालता ("तपाईंको खाता निलम्बित हुनेछ"), अधिकार ("Microsoft सुरक्षा टोली"), वा जिज्ञासा ("कसैले तपाईंलाई फोटोमा ट्याग गर्यो") सिर्जना गर्छ। स्पियर-फिशिङले LinkedIn, ब्रीच डम्प, वा अघिल्लो पत्राचारबाट तानिएका व्यक्तिगत विवरणहरूसँग यसलाई अगाडि बढाउँछ।
२. पिक्सेल-पर्फेक्ट नक्कली साइट
आक्रमणकारीहरूले लक्ष्य साइटको HTML, CSS, र JavaScript क्लोन गर्ने अफ-द-शेल्फ फिशिङ किटहरू प्रयोग गर्छन्। धेरै किटहरू सेवाको रूपमा बेचिन्छन् (फिशिङ-एज-ए-सर्भिस), काम गर्ने ड्यासबोर्ड र ग्राहक सहायताको साथ।
३. 2FA को लागि वास्तविक-समय प्रोक्सी
खतरनाक भाग: आधुनिक किटहरूले तपाईंको पासवर्ड मात्र कब्जा गर्दैनन्। तिनीहरूले म्यान-इन-द-मिडल प्रोक्सी को रूपमा काम गर्छन् जसले तपाईंले टाइप गर्ने सबै कुरा — तपाईंको TOTP कोड सहित — सेकेन्डभित्रै वास्तविक साइटमा फर्वार्ड गर्छ, धेरैजसो 2FA बाइपास गर्दै। यो प्रविधिलाई विपक्षी-इन-द-मिडल (AiTM) भनिन्छ र Evilginx2 र Modlishka जस्ता उपकरणहरूमा प्रयोग गरिन्छ।
४. सेसन टोकन चोरी
तपाईंले प्रोक्सी मार्फत प्रमाणीकरण गरेपछि, आक्रमणकारीले तपाईंको सेसन कुकी कब्जा गर्छ र तपाईंले आफ्नो पासवर्ड परिवर्तन गरेपछि पनि लगइन रहन यसको प्रयोग गर्न सक्छ। यही कारणले फिशिङ प्रतिक्रियामा सधैं केवल पासवर्ड रोटेसन मात्र नभएर सक्रिय सेसनहरू रद्द गर्नु समावेश हुन्छ।
वास्तवमा फिशिङ के रोक्छ
हार्डवेयर सुरक्षा कुञ्जीहरू (FIDO2 / WebAuthn)
यो सुरक्षाको एकमात्र श्रेणी हो जुन डिजाइनले फिशिङ-प्रूफ छ। जब तपाईं FIDO2 कुञ्जीसँग लगइन गर्नुहुन्छ, तपाईंको कुञ्जीले प्रमाणीकरण अनुरोध गर्ने साइटको सही डोमेनलाई क्रिप्टोग्राफिक रूपमा प्रमाणित गर्छ। नक्कली साइट — दृष्टिगत रूपमा जतिसुकै पूर्ण भए पनि — फरक डोमेन हुन्छ, त्यसैले कुञ्जीले प्रतिक्रिया दिन इन्कार गर्छ। क्रिप्टोग्राफिक हेन्डशेक मात्र पूरा हुँदैन।
Google ले २०१७ मा सबै ८५,००० भन्दा बढी कर्मचारीहरूको लागि YubiKey अनिवार्य गर्यो र त्यसपछिका वर्षहरूमा कम्पनी खाताहरूमा शून्य सफल फिशिङ आक्रमणहरू रिपोर्ट गर्यो।
Passkey हरू
Passkey हरू FIDO2 को उपभोक्ता-मैत्री विकास हुन्। तिनीहरूले समान डोमेन-बाउन्ड क्रिप्टोग्राफी प्रयोग गर्छन् र iOS, Android, macOS, र Windows मा बनाइएका छन्। यदि तपाईंले प्रयोग गर्नुभएको साइटले passkey हरूलाई समर्थन गर्छ भने, एउटा सक्षम गर्नाले त्यो खातालाई फिशिङ-प्रूफ बनाउँछ।
पासवर्ड प्रबन्धकहरू
पासवर्ड प्रबन्धक तपाईंको दोस्रो रक्षा पङ्क्ति हो किनभने यसले केवल सही डोमेन मा मात्र प्रमाणहरू अटोफिल गर्छ जहाँ तिनीहरू सुरक्षित गरिएको थियो। यदि तपाईं paypal.com को सट्टा paypaI.com (ठूलो I) मा पुग्नुहुन्छ भने, तपाईंको प्रबन्धक चुपचाप फारम भर्न इन्कार गर्छ। त्यो इन्कारले केही गलत भएको चर्को चेतावनी हो।
इमेल र DNS फिल्टरिङ
इमेल प्रदायकहरूले स्पूफ गरिएको प्रेषक ठेगानाहरू पत्ता लगाउन DMARC, SPF, र DKIM प्रयोग गर्छन्। धेरैजसो आधुनिक प्रदायकहरूले स्पष्ट प्रयासहरू समात्छन्, तर लक्षित आक्रमणहरू अझै पनि चिप्लिन्छन्। तपाईंको मेल क्लाइन्टमा "फिशिङ रिपोर्ट गर्नुहोस्" बटनहरू सक्षम गर्नुहोस् ताकि तपाईंले फिल्टरहरू सुधार गर्न मद्दत गर्नुहुन्छ।
हेर्नुपर्ने रातो झण्डाहरू
जब तपाईंलाई लगइन गर्न, प्रमाणीकरण गर्न, वा तत्कालै कार्य गर्न भन्ने सन्देश आउँछ:
- तत्कालता र धम्कीहरू — "तपाईंको खाता २४ घण्टामा बन्द हुनेछ"
- सामान्य अभिवादनहरू — तपाईंको नामको सट्टा "प्रिय ग्राहक"
- मिल्दो जुल्दो डोमेनहरू —
paypaI.com,app1e.com,secure-microsoft-login.net - अप्रत्याशित संलग्नकहरू — विशेष गरी
.zip,.html, वा.pdfफाइलहरू जसले तपाईंलाई हेर्नको लागि लगइन गर्न भन्छन् - व्याकरण वा ढाँचा त्रुटिहरू — ठूला कम्पनीहरूले आफ्ना इमेलहरू प्रूफरीड गर्छन्
- लिङ्क बेमेल — लिङ्कमा होभर गरेर गन्तव्यले पाठसँग मेल खान्छ कि भनेर जाँच गर्नुहोस्
यदि केही अजीब लाग्छ भने, इमेल बन्द गर्नुहोस्। म्यानुअल रूपमा साइटमा जानुहोस्। यदि वास्तविक समस्या छ भने, तपाईंले आफ्नो सामान्य वर्कफ्लो मार्फत लगइन गर्दा यो देख्नुहुनेछ।
यदि तपाईं फसेको भए के गर्ने
छिटो काम गर्नुहोस् — गति महत्वपूर्ण छ किनभने आक्रमणकारीहरूले मिनेटभित्रै प्रमाणहरू प्रयोग गर्न सुरु गर्छन्।
१. तुरुन्त पासवर्ड परिवर्तन गर्नुहोस् फरक डिभाइसमा (तपाईंको फोन, उदाहरणको लागि, यदि तपाईं ल्यापटपमा फसेको भए) २. सबै सक्रिय सेसनहरू रद्द गर्नुहोस् खाता सेटिङहरूमा — यसले चोरिएका सेसन टोकनहरू प्रयोग गरिरहेका जो कोहीलाई बाहिर निकाल्छ ३. 2FA सक्षम गर्नुहोस् यदि यो पहिले देखि अन भएको छैन भने, र सम्भव भएमा हार्डवेयर कुञ्जी वा passkey प्रयोग गर्नुहोस् ४. अनधिकृत गतिविधि जाँच गर्नुहोस् — पठाइएका इमेलहरू, भर्खरका लगइनहरू, बिलिङ परिवर्तनहरू, नयाँ फर्वार्डिङ नियमहरू ५. प्रभावित संस्थालाई सूचना दिनुहोस् यदि यो वित्तीय वा कार्य खाता हो ६. अन्य खाताहरू जाँच गर्नुहोस् जसले समान पासवर्ड प्रयोग गर्यो — तपाईं निश्चित हुनुहुन्छ कि तपाईं पासवर्ड पुन: प्रयोग गर्नुहुन्न भने पनि, जाँच गर्नुहोस्
मूल कुरा
फिशिङ फस्टाउँछ किनभने यसले प्रविधिलाई बाइपास गर्छ र मानिसहरूलाई लक्ष्य बनाउँछ। सबैभन्दा राम्रो सुरक्षाहरू तीन तहहरू मिसाउँछन्: पासवर्ड प्रबन्धकहरू (गलत डोमेनहरूमा अटोफिल गर्न इन्कार गर्छ), फिशिङ-प्रतिरोधी 2FA (हार्डवेयर कुञ्जीहरू वा passkey हरू ज