Phishing ਕੀ ਹੈ?
Phishing ਇੱਕ ਸਮਾਜਿਕ ਇੰਜੀਨੀਅਰਿੰਗ ਹਮਲਾ ਹੈ ਜਿੱਥੇ ਕੋਈ ਹਮਲਾਵਰ ਇੱਕ ਕਾਨੂੰਨੀ ਵੈੱਬਸਾਈਟ ਦੀ ਭਰੋਸੇਯੋਗ ਨਕਲ ਬਣਾਉਂਦਾ ਹੈ — ਅਕਸਰ ਪਿਕਸਲ-ਸੰਪੂਰਣ — ਅਤੇ ਪੀੜਤ ਨੂੰ ਉੱਥੇ ਲਾਗਇਨ ਜਾਣਕਾਰੀ ਦਾਖਲ ਕਰਨ ਲਈ ਧੋਖਾ ਦਿੰਦਾ ਹੈ। ਜਿਵੇਂ ਹੀ ਪੀੜਤ ਫਾਰਮ ਸਬਮਿਟ ਕਰਦਾ ਹੈ, ਹਮਲਾਵਰ ਯੂਜ਼ਰਨੇਮ, ਪਾਸਵਰਡ, ਅਤੇ ਕੋਈ ਵੀ ਦੂਜਾ ਫੈਕਟਰ ਕੈਪਚਰ ਕਰ ਲੈਂਦਾ ਹੈ, ਫਿਰ ਇਨ੍ਹਾਂ ਦੀ ਵਰਤੋਂ ਕਰਕੇ ਸਕਿੰਡਾਂ ਵਿੱਚ ਅਸਲ ਖਾਤੇ 'ਤੇ ਕਬਜ਼ਾ ਕਰ ਲੈਂਦਾ ਹੈ।
ਇਹ ਸ਼ਬਦ "fishing" ਦੇ ਰੂਪਕ ਤੋਂ ਆਉਂਦਾ ਹੈ ਜਿੱਥੇ ਬਾਈਟ (ਆਮ ਤੌਰ 'ਤੇ ਈਮੇਲ) ਨਾਲ ਪੀੜਤਾਂ ਲਈ "ਮਛੀ ਫੜਨਾ"। ਸਪੈਲਿੰਗ ਇਸ ਗੱਲ 'ਤੇ ਜ਼ੋਰ ਦੇਣ ਲਈ ਬਦਲੀ ਗਈ ਕਿ ਹਮਲਾਵਰ ਅਕਸਰ phone numbers (SMS phishing, ਜਾਂ "smishing") ਅਤੇ ਪੇਸ਼ੇਵਰ ਦਿੱਖ ਵਾਲੇ infrastructure ਦੀ ਵਰਤੋਂ ਕਰਦੇ ਹਨ।
ਫਿਸ਼ਿੰਗ ਅਜੇ ਵੀ #1 ਖਤਰਾ ਕਿਉਂ ਹੈ
ਅੱਜ ਜ਼ਿਆਦਾਤਰ ਵੱਡੇ ਪੈਮਾਨੇ ਦੀਆਂ ਖਾਤਾ ਸੰਘਰਸ਼ ਵਿੱਚ hacking, ਪਾਸਵਰਡ ਕ੍ਰੈਕਿੰਗ, ਜਾਂ encryption ਨੂੰ ਬਾਈਪਾਸ ਕਰਨਾ ਸ਼ਾਮਲ ਨਹੀਂ ਹੈ। ਇਨ੍ਹਾਂ ਵਿੱਚ ਇੱਕ ਇਨਸਾਨ ਨਕਲੀ ਸਾਈਟ ਵਿੱਚ ਪਾਸਵਰਡ ਟਾਈਪ ਕਰਨਾ ਸ਼ਾਮਲ ਹੈ। Phishing ਹੈ:
- ਸਸਤੀ — ਕੋਈ ਹਮਲਾਵਰ VPS ਅਤੇ spoofed ਡੋਮੇਨ ਦੀ ਕੀਮਤ ਨਾਲ ਲੱਖਾਂ ਈਮੇਲ ਭੇਜ ਸਕਦਾ ਹੈ
- ਫਿਲਟਰ ਕਰਨਾ ਔਖਾ — ਆਧੁਨਿਕ ਕਿੱਟਸ ਡੋਮੇਨਾਂ ਨੂੰ ਰੋਟੇਟ ਕਰਦੇ ਹਨ, ਕਾਨੂੰਨੀ ਹੋਸਟਿੰਗ ਵਰਤਦੇ ਹਨ, ਅਤੇ ਰੀਅਲ ਟਾਈਮ ਵਿੱਚ ਫਿਲਟਰਾਂ ਨਾਲ ਢਲਦੇ ਹਨ
- ਪ੍ਰਭਾਵਸ਼ਾਲੀ — ਸੁਰੱਖਿਆ-ਜਾਗਰੂਕ ਉਪਭੋਗਤਾ ਵੀ ਚੰਗੀ ਤਰ੍ਹਾਂ ਤਿਆਰ ਕੀਤੇ targeted ਯਤਨਾਂ (spear phishing) ਦਾ ਸ਼ਿਕਾਰ ਹੋ ਜਾਂਦੇ ਹਨ
- ਸਕੇਲੇਬਲ — ਇੱਕ ਸਫਲ phish ਅਕਸਰ ਪਾਸਵਰਡ ਦੁਹਰਾਉਣ ਦੁਆਰਾ ਦਰਜਨਾਂ ਜੁੜੀਆਂ ਸੇਵਾਵਾਂ ਤੱਕ ਪਹੁੰਚ ਪ੍ਰਦਾਨ ਕਰਦਾ ਹੈ
2024 Verizon Data Breach Investigations Report ਨੇ ਪਾਇਆ ਕਿ phishing ਸਾਰੇ breaches ਵਿੱਚੋਂ 36% ਤੋਂ ਵੱਧ ਵਿੱਚ ਸ਼ੁਰੂਆਤੀ ਪਹੁੰਚ ਵੈਕਟਰ ਸੀ — ਕਿਸੇ ਵੀ ਹੋਰ ਇੱਕਲੇ ਕਾਰਨ ਨਾਲੋਂ ਜ਼ਿਆਦਾ।
ਆਧੁਨਿਕ phishing ਕਿਵੇਂ ਕੰਮ ਕਰਦੀ ਹੈ
Phishing 2000 ਦੇ ਦਹਾਕੇ ਦੇ "Nigerian prince" ਈਮੇਲਾਂ ਤੋਂ ਬਹੁਤ ਅੱਗੇ ਵਿਕਸਿਤ ਹੋ ਗਈ ਹੈ। ਇੱਕ ਆਧੁਨਿਕ phishing ਹਮਲਾ ਆਮ ਤੌਰ 'ਤੇ ਸ਼ਾਮਲ ਕਰਦਾ ਹੈ:
1. ਇੱਕ ਭਰੋਸੇਯੋਗ ਲਾਲਚ
ਆਮ ਤੌਰ 'ਤੇ ਇੱਕ ਈਮੇਲ, ਟੈਕਸਟ, ਜਾਂ ਚੈਟ ਸੰਦੇਸ਼ ਜੋ ਜਲਦਬਾਜ਼ੀ ("ਤੁਹਾਡਾ ਖਾਤਾ ਮੁਅੱਤਲ ਕਰ ਦਿੱਤਾ ਜਾਵੇਗਾ"), ਅਧਿਕਾਰ ("Microsoft security team"), ਜਾਂ ਉਤਸੁਕਤਾ ("ਕਿਸੇ ਨੇ ਤੁਹਾਨੂੰ ਇੱਕ ਫੋਟੋ ਵਿੱਚ ਟੈਗ ਕੀਤਾ") ਪੈਦਾ ਕਰਦਾ ਹੈ। Spear-phishing ਇਸਨੂੰ LinkedIn, breach dumps, ਜਾਂ ਪਹਿਲਾਂ ਦੇ ਪੱਤਰ ਵਿਹਾਰ ਤੋਂ ਮਿਲੇ ਨਿੱਜੀ ਵੇਰਵਿਆਂ ਨਾਲ ਅੱਗੇ ਲੈ ਜਾਂਦੀ ਹੈ।
2. ਇੱਕ ਪਿਕਸਲ-ਸੰਪੂਰਣ ਨਕਲੀ ਸਾਈਟ
ਹਮਲਾਵਰ off-the-shelf phishing kits ਵਰਤਦੇ ਹਨ ਜੋ ਨਿਸ਼ਾਨਾ ਸਾਈਟ ਦੇ HTML, CSS, ਅਤੇ JavaScript ਨੂੰ ਕਲੋਨ ਕਰਦੇ ਹਨ। ਬਹੁਤ ਸਾਰੇ ਕਿੱਟਸ service ਦੇ ਰੂਪ ਵਿੱਚ ਵੇਚੇ ਜਾਂਦੇ ਹਨ (phishing-as-a-service), ਕੰਮ ਕਰਨ ਵਾਲੇ ਡੈਸ਼ਬੋਰਡਾਂ ਅਤੇ ਗਾਹਕ ਸਹਾਇਤਾ ਨਾਲ।
3. 2FA ਲਈ ਇੱਕ ਰੀਅਲ-ਟਾਈਮ ਪ੍ਰੌਕਸੀ
ਖ਼ਤਰਨਾਕ ਹਿੱਸਾ: ਆਧੁਨਿਕ ਕਿੱਟਸ ਸਿਰਫ ਤੁਹਾਡਾ ਪਾਸਵਰਡ ਹੀ ਕੈਪਚਰ ਨਹੀਂ ਕਰਦੇ। ਇਹ man-in-the-middle proxy ਦਾ ਕੰਮ ਕਰਦੇ ਹਨ ਜੋ ਤੁਸੀਂ ਜੋ ਵੀ ਟਾਈਪ ਕਰਦੇ ਹੋ — ਤੁਹਾਡਾ TOTP ਕੋਡ ਸਮੇਤ — ਸਕਿੰਡਾਂ ਵਿੱਚ ਅਸਲ ਸਾਈਟ ਤੱਕ ਪਹੁੰਚਾ ਦਿੰਦੇ ਹਨ, ਜ਼ਿਆਦਾਤਰ 2FA ਨੂੰ ਬਾਈਪਾਸ ਕਰਦੇ ਹੋਏ। ਇਸ ਤਕਨੀਕ ਨੂੰ adversary-in-the-middle (AiTM) ਕਿਹਾ ਜਾਂਦਾ ਹੈ ਅਤੇ ਇਹ Evilginx2 ਅਤੇ Modlishka ਵਰਗੇ ਟੂਲਜ਼ ਵਿੱਚ ਵਰਤੀ ਜਾਂਦੀ ਹੈ।
4. Session token ਚੋਰੀ
ਇੱਕ ਵਾਰ ਜਦੋਂ ਤੁਸੀਂ proxy ਰਾਹੀਂ authenticate ਕਰਦੇ ਹੋ, ਹਮਲਾਵਰ ਤੁਹਾਡੇ session cookie ਨੂੰ ਕੈਪਚਰ ਕਰਦਾ ਹੈ ਅਤੇ ਇਸਨੂੰ ਪਾਸਵਰਡ ਬਦਲਣ ਤੋਂ ਬਾਅਦ ਵੀ ਲਾਗਡ ਇਨ ਰਹਿਣ ਲਈ ਵਰਤ ਸਕਦਾ ਹੈ। ਇਸੇ ਲਈ phishing ਜਵਾਬ ਵਿੱਚ ਹਮੇਸ਼ਾ ਸਰਗਰਮ sessions ਨੂੰ revoke ਕਰਨਾ ਸ਼ਾਮਲ ਹੈ, ਸਿਰਫ ਪਾਸਵਰਡ ਰੋਟੇਸ਼ਨ ਨਹੀਂ।
ਕੀ ਅਸਲ ਵਿੱਚ phishing ਰੋਕਦਾ ਹੈ
Hardware security keys (FIDO2 / WebAuthn)
ਇਹ ਬਚਾਅ ਦੀ ਇਕੋ ਇੱਕ ਸ਼ਰੇਣੀ ਹੈ ਜੋ ਡਿਜ਼ਾਈਨ ਦੁਆਰਾ phishing-proof ਹੈ। ਜਦੋਂ ਤੁਸੀਂ FIDO2 key ਨਾਲ ਲਾਗਇਨ ਕਰਦੇ ਹੋ, ਤੁਹਾਡੀ key ਪ੍ਰਮਾਣਿਕਤਾ ਦੀ ਬੇਨਤੀ ਕਰਨ ਵਾਲੀ ਸਾਈਟ ਦੇ ਸਹੀ ਡੋਮੇਨ ਦੀ ਕ੍ਰਿਪਟੋਗ੍ਰਾਫਿਕ ਤੌਰ 'ਤੇ ਜਾਂਚ ਕਰਦੀ ਹੈ। ਇੱਕ ਨਕਲੀ ਸਾਈਟ — ਚਾਹੇ ਇਹ ਕਿੰਨੀ ਵੀ ਦ੍ਰਿਸ਼ਟੀਗਤ ਰੂਪ ਵਿੱਚ ਸੰਪੂਰਣ ਹੋਵੇ — ਇੱਕ ਵੱਖਰਾ ਡੋਮੇਨ ਹੈ, ਤਾਂ key ਜਵਾਬ ਦੇਣ ਤੋਂ ਇਨਕਾਰ ਕਰ ਦਿੰਦੀ ਹੈ। ਕ੍ਰਿਪਟੋਗ੍ਰਾਫਿਕ handshake ਸਿਰਫ਼ ਪੂਰਾ ਨਹੀਂ ਹੁੰਦਾ।
Google ਨੇ 2017 ਵਿੱਚ ਆਪਣੇ ਸਾਰੇ 85,000+ ਕਰਮਚਾਰੀਆਂ ਲਈ YubiKeys ਦੇ ਵਰਤੋਂ ਨੂੰ ਲਾਜ਼ਮੀ ਕੀਤਾ ਅਤੇ ਉਸ ਤੋਂ ਬਾਅਦ ਦੇ ਸਾਲਾਂ ਵਿੱਚ ਕੰਪਨੀ ਦੇ ਖਾਤਿਆਂ 'ਤੇ ਸਿਫ਼ਰ ਸਫਲ phishing ਹਮਲੇ ਦੀ ਰਿਪੋਰਟ ਦਿੱਤੀ।
Passkeys
Passkeys FIDO2 ਦਾ ਉਪਭੋਗਤਾ-ਅਨੁਕੂਲ ਵਿਕਾਸ ਹਨ। ਇਹ ਉਹੀ domain-bound cryptography ਵਰਤਦੇ ਹਨ ਅਤੇ iOS, Android, macOS, ਅਤੇ Windows ਵਿੱਚ ਬਣਾਏ ਗਏ ਹਨ। ਜੇ ਤੁਸੀਂ ਜੋ ਸਾਈਟ ਵਰਤਦੇ ਹੋ ਉਹ passkeys ਨੂੰ ਸਪੋਰਟ ਕਰਦੀ ਹੈ, ਤਾਂ ਇੱਕ ਨੂੰ ਚਾਲੂ ਕਰਨਾ ਉਸ ਖਾਤੇ ਨੂੰ phishing-proof ਬਣਾ ਦਿੰਦਾ ਹੈ।
Password managers
ਇੱਕ password manager ਤੁਹਾਡੀ ਬਚਾਅ ਦੀ ਦੂਜੀ ਲਾਈਨ ਹੈ ਕਿਉਂਕਿ ਇਹ ਸਿਰਫ ਸਹੀ ਡੋਮੇਨ 'ਤੇ autofill ਕਰਦਾ ਹੈ ਜਿੱਥੇ ਉਹ ਸੇਵ ਕੀਤੇ ਗਏ ਸਨ। ਜੇ ਤੁਸੀਂ paypal.com ਦੀ ਬਜਾਏ paypaI.com (capital I) 'ਤੇ ਪਹੁੰਚਦੇ ਹੋ, ਤਾਂ ਤੁਹਾਡਾ manager ਚੁੱਪਚਾਪ ਫਾਰਮ ਭਰਨ ਤੋਂ ਇਨਕਾਰ ਕਰ ਦੇਵੇਗਾ। ਉਹ ਇਨਕਾਰ ਇੱਕ ਉੱਚੀ ਚੇਤਾਵਨੀ ਹੈ ਕਿ ਕੁਝ ਗਲਤ ਹੈ।
ਈਮੇਲ ਅਤੇ DNS ਫਿਲਟਰਿੰਗ
ਈਮੇਲ ਪ੍ਰਦਾਤਾ spoofed ਭੇਜਣ ਵਾਲੇ ਪਤਿਆਂ ਨੂੰ ਪਛਾਣਨ ਲਈ DMARC, SPF, ਅਤੇ DKIM ਵਰਤਦੇ ਹਨ। ਜ਼ਿਆਦਾਤਰ ਆਧੁਨਿਕ ਪ੍ਰਦਾਤਾ ਸਪੱਸ਼ਟ ਯਤਨਾਂ ਨੂੰ ਫੜ ਲੈਂਦੇ ਹਨ, ਪਰ targeted ਹਮਲੇ ਅਜੇ ਵੀ ਫਿਸਲ ਜਾਂਦੇ ਹਨ। ਆਪਣੇ ਮੇਲ ਕਲਾਇੰਟ ਵਿੱਚ "report phishing" ਬਟਨ ਚਾਲੂ ਕਰੋ ਤਾਂ ਜੋ ਤੁਸੀਂ ਫਿਲਟਰਾਂ ਨੂੰ ਬਿਹਤਰ ਬਣਾਉਣ ਵਿੱਚ ਮਦਦ ਕਰ ਸਕੋ।
ਦੇਖਣ ਵਾਲੇ ਚੇਤਾਵਨੀ ਸੰਕੇਤ
ਜਦੋਂ ਤੁਹਾਨੂੰ ਲਾਗਇਨ ਕਰਨ, ਤਸਦੀਕ ਕਰਨ, ਜਾਂ ਜਲਦੀ ਕਾਰਵਾਈ ਕਰਨ ਲਈ ਕਹਿਣ ਵਾਲਾ ਸੰਦੇਸ਼ ਮਿਲੇ:
- ਜਲਦਬਾਜ਼ੀ ਅਤੇ ਧਮਕੀਆਂ — "ਤੁਹਾਡਾ ਖਾਤਾ 24 ਘੰਟਿਆਂ ਵਿੱਚ ਬੰਦ ਕਰ ਦਿੱਤਾ ਜਾਵੇਗਾ"
- ਆਮ ਸਲਾਮ — ਤੁਹਾਡੇ ਨਾਮ ਦੀ ਬਜਾਏ "ਪਿਆਰੇ ਗਾਹਕ"
- ਮਿਲਦੇ-ਜੁਲਦੇ ਡੋਮੇਨਾਂ —
paypaI.com,app1e.com,secure-microsoft-login.net - ਅਣਕਿਆਸੇ ਅਟੈਚਮੈਂਟਸ — ਖਾਸ ਕਰਕੇ
.zip,.html, ਜਾਂ.pdfਫਾਈਲਾਂ ਜੋ ਤੁਹਾਨੂੰ ਦੇਖਣ ਲਈ ਲਾਗਇਨ ਕਰਨ ਨੂੰ ਕਹਿੰਦੀਆਂ ਹਨ - ਵਿਆਕਰਣ ਜਾਂ ਫਾਰਮੈਟਿੰਗ ਗਲਤੀਆਂ — ਵੱਡੀਆਂ ਕੰਪਨੀਆਂ ਆਪਣੀਆਂ ਈਮੇਲਾਂ ਦੀ ਪਰੂਫਰੀਡਿੰਗ ਕਰਦੀਆਂ ਹਨ
- ਲਿੰਕ ਮਿਸਮੈਚ — ਲਿੰਕ 'ਤੇ hover ਕਰੋ ਅਤੇ ਦੇਖੋ ਕਿ ਮੰਜ਼ਿਲ ਟੈਕਸਟ ਨਾਲ ਮੇਲ ਖਾਂਦੀ ਹੈ ਜਾਂ ਨਹੀਂ
ਜੇ ਕੁਝ ਵੀ ਗਲਤ ਲੱਗੇ, ਈਮੇਲ ਬੰਦ ਕਰੋ। ਸਾਈਟ 'ਤੇ ਮੈਨੁਅਲ ਤਰੀਕੇ ਨਾਲ navigate ਕਰੋ। ਜੇ ਕੋਈ ਅਸਲ ਸਮੱਸਿਆ ਹੈ, ਤਾਂ ਤੁਸੀਂ ਇਸਨੂੰ ਆਪਣੇ ਆਮ workflow ਰਾਹੀਂ ਲਾਗਇਨ ਕਰਨ 'ਤੇ ਦੇਖੋਗੇ।
ਜੇ ਤੁਸੀਂ ਕਿਸੇ ਦਾ ਸ਼ਿਕਾਰ ਹੋ ਗਏ ਹੋ ਤਾਂ ਕੀ ਕਰਨਾ ਹੈ
ਜਲਦੀ ਕਾਰਵਾਈ ਕਰੋ — ਸਪੀਡ ਮਾਇਨੇ ਰੱਖਦੀ ਹੈ ਕਿਉਂਕਿ ਹਮਲਾਵਰ ਮਿੰਟਾਂ ਵਿੱਚ ਲਾਗਇਨ ਜਾਣਕਾਰੀ ਵਰਤਣਾ ਸ਼ੁਰੂ ਕਰ ਦਿੰਦੇ ਹਨ।
- ਤੁਰੰਤ ਪਾਸਵਰਡ ਬਦਲੋ ਇੱਕ ਵੱਖਰੇ ਡਿਵਾਈਸ 'ਤੇ (ਉਦਾਹਰਣ ਲਈ ਤੁਹਾਡੇ ਫੋਨ 'ਤੇ, ਜੇ ਤੁਸੀਂ ਲੈਪਟਾਪ 'ਤੇ ਇਸ ਵਿੱਚ ਫਸੇ ਸੀ)
- ਸਾਰੇ ਸਰਗਰਮ sessions ਨੂੰ revoke ਕਰੋ ਖਾਤਾ ਸੈਟਿੰਗਜ਼ ਵਿੱਚ — ਇਹ ਚੋਰੀ ਹੋਏ session tokens ਵਰਤ ਰਹੇ ਕਿਸੇ ਵੀ ਵਿਅਕਤੀ ਨੂੰ ਬਾਹਰ ਕਢ ਦਿੰਦਾ ਹੈ
- 2FA ਚਾਲੂ ਕਰੋ ਜੇ ਇਹ ਪਹਿਲਾਂ ਤੋਂ ਚਾਲੂ ਨਹੀਂ ਸੀ, ਅਤੇ ਸੰਭਵ ਹੋਵੇ ਤਾਂ hardware key ਜਾਂ passkey ਵਰਤੋ
- ਅਣਅਧਿਕਾਰਤ ਗਤੀਵਿਧੀ ਦੀ ਜਾਂਚ ਕਰੋ — ਭੇਜੀਆਂ ਈਮੇਲਾਂ, ਹਾਲ ਹੀ ਦੀਆਂ ਲਾਗਇਨਾਂ, billing ਬਦਲਾਅ, ਨਵੇਂ forwarding rules
- ਪ੍ਰਭਾਵਿਤ ਸੰਸਥਾ ਨੂੰ ਸੂਚਿਤ ਕਰੋ ਜੇ ਇਹ ਵਿੱਤੀ ਜਾਂ ਕੰਮ ਦਾ ਖਾਤਾ ਹੈ
- ਹੋਰ ਖਾਤਿਆਂ ਦੀ ਜਾਂਚ ਕਰੋ ਜੋ ਉਹੀ ਪਾਸਵਰਡ ਵਰਤਦੇ ਸਨ — ਭਾਵੇਂ ਤੁਹਾਨੂੰ ਯਕੀਨ ਹੋਵੇ ਕਿ ਤੁਸੀਂ ਪਾਸਵਰਡ ਦੁਹਰਾਉਂਦੇ ਨਹੀਂ, ਫਿਰ ਵੀ ਜਾਂਚ ਕਰੋ
ਮੁੱਖ ਗੱਲ
Phishing ਇਸ ਲਈ ਫੁੱਲਦੀ ਹੈ ਕਿਉਂਕਿ ਇਹ ਤਕਨਾਲੋਜੀ ਨੂੰ ਬਾਈਪਾਸ ਕਰਦੀ ਹੈ ਅਤੇ ਇਨਸਾਨਾਂ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾਉਂਦੀ ਹੈ। ਸਭ ਤੋਂ ਵਧ