முக்கிய உள்ளடக்கத்திற்கு செல்லவும்

Phishing தாக்குதல்களிலிருந்து உங்களைப் பாதுகாத்துக் கொள்வது எப்படி

Phishing என்பது கணக்குகள் திருடப்படுவதற்கான #1 வழியாக இன்னும் உள்ளது. நவீன phishing எப்படி செயல்படுகிறது, கவனிக்க வேண்டிய எச்சரிக்கை அறிகுறிகள், மற்றும் உண்மையில் தாக்குதல்களை நிறுத்தும் நடைமுறை பாதுகாப்பு முறைகளை அறிந்து கொள்ளுங்கள்.

2026-04-14

TL;DR

  • Phishing என்பது கணக்கு கைப்பற்றல்களுக்கான #1 காரணம் — தாக்குபவர்கள் போலி தளத்தில் உள்நுழைவு விவரங்களை வழங்க உங்களை ஏமாற்றுகின்றனர்.
  • நவீن phishing கருவிகள் உள்நுழைவு பக்கங்களை pixel-perfect ஆக நகலெடுத்து உங்கள் 2FA குறியீடுகளை நிகழ்நேரத்தில் proxy செய்கின்றன.
  • Hardware security keys (YubiKey, FIDO2) என்பது வடிவமைப்பிலேயே phishing-proof ஆன ஒரே பாதுகாப்பு முறையாகும்.
  • Password managers தவறான domain இல் autofill செய்ய மறுப்பதன் மூலம் உங்களைப் பாதுகாக்கின்றன.
  • உள்நுழைவு விவரங்களைத் தட்டச்சு செய்வதற்கு முன் சரியான domain ஐ சரிபார்க்கவும், மற்றும் ஒருபோதும் email இலுள்ள link மூலம் உள்நுழைய வேண்டாம்.

Phishing என்றால் என்ன?

Phishing என்பது ஒரு social engineering தாக்குதலாகும், இதில் ஒரு தாக்குபவர் முறையான வலைத்தளத்தின் நம்பகமான நகலை — பெரும்பாலும் pixel-perfect ஆக — உருவாக்கி, பாதிக்கப்பட்டவரை அங்கே உள்நுழைவு விவரங்களை உள்ளிட ஏமாற்றுகிறார். பாதிக்கப்பட்டவர் form ஐ submit செய்த உடனே, தாக்குபவர் username, password, மற்றும் எந்தவொரு இரண்டாம் காரணியையும் கைப்பற்றி, பின்னர் அவற்றை சில நொடிகளுக்குள் உண்மையான கணக்கை கைப்பற்ற பயன்படுத்துகிறார்.

இந்த வார்த்தை பாதிக்கப்பட்டவர்களை bait (பொதுவாக ஒரு email) மூலம் "fishing" செய்வதற்கான metaphor இலிருந்து வருகிறது. தாக்குபவர்கள் பெரும்பாலும் phone எண்களைப் (SMS phishing, அல்லது "smishing") மற்றும் professional-looking infrastructure ஐ பயன்படுத்துவதை வலியுறுத்த spelling மாற்றப்பட்டது.

Phishing இன்னும் #1 அச்சுறுத்தலாக ஏன் இருக்கிறது

இன்று பெரும்பாலான பெரிய அளவிலான கணக்கு breaches hacking, கடவுச்சொல்லை cracking, அல்லது encryption ஐ bypass செய்வதை உள்ளடக்குவதில்லை. அவை ஒரு மனிதன் போலி தளத்தில் கடவுச்சொல்லைத் தட்டச்சு செய்வதை உள்ளடக்குகின்றன. Phishing:

  • மலிவானது — ஒரு VPS மற்றும் spoofed domain இன் செலவில் தாக்குபவர் மில்லியன் கணக்கான emails அனுப்ப முடியும்
  • வடிகட்ட கடினம் — நவீன kits domains ஐ rotate செய்கின்றன, legitimate hosting ஐப் பயன்படுத்துகின்றன, மற்றும் நிகழ்நேரத்தில் filters க்கு adapt ஆகின்றன
  • பயனுள்ளதாக — security-aware பயனர்களும் நன்கு வடிவமைக்கப்பட்ட targeted attempts க்கு (spear phishing) ஆளாகின்றனர்
  • அளவிடக்கூடியது — ஒரு வெற்றிகரமான phish பெரும்பாலும் password reuse மூலம் டஜன் கணக்கான இணைக்கப்பட்ட சேவைகளுக்கான அணுகலை வழங்குகிறது

2024 Verizon Data Breach Investigations Report அனைத்து breaches இலும் 36% க்கும் மேற்பட்டவற்றில் phishing ஆரம்ப அணுகல் vector ஆக இருந்தது என்று கண்டறிந்தது — வேறு எந்த ஒற்றை காரணத்தையும் விட அதிகம்.

நவீன phishing எப்படி செயல்படுகிறது

Phishing 2000களின் "Nigerian prince" emails ஐ விட மிக தொலைவில் வளர்ந்துள்ளது. ஒரு நவீன phishing தாக்குதல் பொதுவாக பின்வருவனவற்றை உள்ளடக்குகிறது:

1. ஒரு நம்பகமான lure

பொதுவாக ஒரு email, text, அல்லது chat message அவசரத்தை ("உங்கள் கணக்கு இடைநிறுத்தப்படும்"), அதிகாரத்தை ("Microsoft security team"), அல்லது ஆர்வத்தை ("யாரோ உங்களை ஒரு புகைப்படத்தில் tag செய்துள்ளனர்") உருவாக்குகிறது. Spear-phishing இதை LinkedIn, breach dumps, அல்லது முந்தைய கடிதப் பரிமாற்றத்திலிருந்து எடுக்கப்பட்ட தனிப்பட்ட விவரங்களுடன் மேலும் எடுத்துச் செல்கிறது.

2. ஒரு pixel-perfect போலி தளம்

தாக்குபவர்கள் இலக்கு தளத்தின் HTML, CSS, மற்றும் JavaScript ஐ clone செய்யும் off-the-shelf phishing kits ஐப் பயன்படுத்துகின்றனர். பல kits service ஆக விற்கப்படுகின்றன (phishing-as-a-service), செயல்படும் dashboards மற்றும் customer support உடன்.

3. 2FA க்கான நிகழ்நேர proxy

ஆபத்தான பகுதி: நவீன kits உங்கள் கடவுச்சொல்லை மட்டும் கைப்பற்றுவதில்லை. அவை ஒரு man-in-the-middle proxy ஆக செயல்படுகின்றன, இது நீங்கள் தட்டச்சு செய்யும் அனைத்தையும் — உங்கள் TOTP code உட்பட — சில நொடிகளுக்குள் உண்மையான தளத்திற்கு அனுப்பி, பெரும்பாலான 2FA ஐ bypass செய்கிறது. இந்த நுட்பம் adversary-in-the-middle (AiTM) என்று அழைக்கப்படுகிறது மற்றும் Evilginx2 மற்றும் Modlishka போன்ற கருவிகளில் பயன்படுத்தப்படுகிறது.

4. Session token திருட்டு

நீங்கள் proxy மூலம் authenticate செய்த பிறகு, தாக்குபவர் உங்கள் session cookie ஐ கைப்பற்றி நீங்கள் கடவுச்சொல்லை மாற்றிய பிறகும் logged in ஆக இருக்க அதைப் பயன்படுத்த முடியும். இதனால்தான் phishing response எப்போதும் கடவுச்சொல் rotation மட்டுமல்லாமல் active sessions ஐ revoking உள்ளடக்குகிறது.

உண்மையில் phishing ஐ நிறுத்துவது என்ன

Hardware security keys (FIDO2 / WebAuthn)

இது வடிவமைப்பிலேயே phishing-proof ஆன ஒரே பாதுகாப்பு வகையாகும். நீங்கள் FIDO2 key மூலம் உள்நுழைகும்போது, உங்கள் key authentication கோரும் தளத்தின் சரியான domain ஐ cryptographically சரிபார்க்கிறது. ஒரு போலி தளம் — எவ்வளவு visually சரியானதாக இருந்தாலும் — வேறுபட்ட domain உடையது, எனவே key பதிலளிக்க மறுக்கிறது. Cryptographic handshake வெறுமனே முடிவடையாது.

Google 2017 இல் அனைத்து 85,000+ ஊழியர்களுக்கும் YubiKeys ஐ கட்டாயமாக்கியது மற்றும் அதன் பின்னர் ஆண்டுகளில் நிறுவன கணக்குகளில் பூஜ்ஜிய வெற்றிகரமான phishing தாக்குதல்கள் என்று அறிவித்தது.

Passkeys

Passkeys FIDO2 இன் consumer-friendly பரிணாம வளர்ச்சியாகும். அவை அதே domain-bound cryptography ஐப் பயன்படுத்துகின்றன மற்றும் iOS, Android, macOS, மற்றும் Windows இல் உள்ளமைக்கப்பட்டுள்ளன. நீங்கள் பயன்படுத்தும் தளம் passkeys ஐ ஆதரிக்கிறது என்றால், ஒன்றை enable செய்வது அந்த கணக்கை phishing-proof ஆக்குகிறது.

Password managers

Password manager உங்கள் இரண்டாம் பாதுகாப்பு வரிசையாகும் ஏனெனில் அது credentials சேமிக்கப்பட்ட சரியான domain இல் மட்டுமே autofill செய்கிறது. நீங்கள் paypal.com க்கு பதிலாக paypaI.com (capital I) இல் சென்றால், உங்கள் manager அமைதியாக form ஐ fill செய்ய மறுக்கிறது. அந்த மறுப்பு ஏதோ தவறு என்பதற்கான உரத்த எச்சரிக்கையாகும்.

Email மற்றும் DNS filtering

Email providers spoofed sender addresses ஐ கண்டறிய DMARC, SPF, மற்றும் DKIM ஐப் பயன்படுத்துகின்றனர். பெரும்பாலான நவீன providers வெளிப்படையான முயற்சிகளைப் பிடிக்கின்றனர், ஆனால் targeted attacks இன்னும் நழுவுகின்றன. உங்கள் mail client இல் "report phishing" buttons ஐ enable செய்யுங்கள், அதனால் நீங்கள் filters மேம்படுத்த உதவுகிறீர்கள்.

கவனிக்க வேண்டிய எச்சரிக்கை அறிகுறிகள்

உள்நுழைய, சரிபார்க்க, அல்லது அவசரமாக செயல்பட கேட்கும் message வரும்போது:

  • அவசரம் மற்றும் அச்சுறுத்தல்கள் — "24 மணி நேரத்தில் உங்கள் கணக்கு மூடப்படும்"
  • பொதுவான வாழ்த்துகள் — உங்கள் பெயருக்கு பதிலாக "அன்புள்ள வாடிக்கையாளர்"
  • Look-alike domainspaypaI.com, app1e.com, secure-microsoft-login.net
  • எதிர்பாராத attachments — குறிப்பாக .zip, .html, அல்லது .pdf files அவற்றைப் பார்க்க உள்நுழையச் சொல்லும்
  • Grammar அல்லது formatting பிழைகள் — பெரிய நிறுவனங்கள் தங்கள் emails ஐ proofread செய்கின்றன
  • Link mismatch — link மேல் hover செய்து destination text உடன் பொருந்துகிறதா என்று பாருங்கள்

ஏதாவது சரியில்லை என்று தோன்றினால், email ஐ மூடுங்கள். தளத்திற்கு manually செல்லுங்கள். உண்மையான பிரச்சினை இருந்தால், உங்கள் சாதாரண workflow மூலம் உள்நுழையும்போது அதைக் காண்பீர்கள்.

ஒன்றிற்கு ஆளாகிவிட்டால் என்ன செய்வது

விரைவாக செயல்படுங்கள் — வேகம் முக்கியம் ஏனெனில் தாக்குபவர்கள் நிமிடங்களுக்குள் credentials ஐ பயன்படுத்த ஆரம்பிக்கின்றனர்.

  1. கடவுச்சொல்லை உடனடியாக மாற்றுங்கள் வேறொரு device இல் (நீங்கள் laptop இல் ஏமாறினால், உதாரணமாக உங்கள் phone இல்)
  2. அனைத்து active sessions ஐ revoke செய்யுங்கள் கணக்கு அமைப்புகளில் — இது திருடப்பட்ட session tokens ஐ தற்போது பயன்படுத்தும் எவரையும் kick out செய்கிறது
  3. 2FA ஐ enable செய்யுங்கள் அது ஏற்கனவே on இல்லை என்றால், மற்றும் முடிந்தால் hardware key அல்லது passkey ஐ பயன்படுத்துங்கள்
  4. அனுமதியற்ற செயல்பாட்டிற்காக சரிபார்க்கவும் — அனுப்பப்பட்ட emails, சமீபத்திய logins, billing மாற்றங்கள், புதிய forwarding rules
  5. பாதிக்கப்பட்ட நிறுவனத்திற்கு அறிவிக்கவும் அது நிதி அல்லது work கணக்காக இருந்தால்
  6. அதே கடவுச்சொல்லைப் பயன்படுத்திய மற்ற கணக்குகளைச் சரிபார்க்கவும் — நீங்கள் கடவுச்சொற்களை மீண்டும் பயன்படுத்துவதில்லை என்று உறுதியாக இருந்தாலும், சரிபார்க்கவும்

முடிவுரை

Phishing தொழில்நுட்பத்தை bypass செய்து மனிதர்களை இலக்காகக் கொள்வதால் வெற்றி பெறுகிறது. சிறந்த பாதுகாப்பு முறைகள் மூன்று அடுக்குகளை கலக்கின்றன: password managers (தவறான domains இல் autofill செய்ய மறுக்கும்), phishing-resistant 2FA (உண்மையான domain உடன் பிணைக்கும் hardware keys அல்லது passkeys), மற்றும் ஆரோக்கியமான சந்தேகம (email link மூலம் ஒருபோதும் உள்நுழைய வேண்டாம்).

உங்களின் மிக முக்கியமான கணக்கு — உங்கள் email — இல் முதலில் மூன்றையும் enable செய்யுங்கள். அங்கிருந்து, உங்கள் டிஜிட்டல் வாழ்க்கையின் மீதமுள்ள பகுதி அர்த்தமுள்ள வகையில் பாதுகாப்பானதாகிறது.

Phishing இலிருந்து உங்களைப் பாதுகாத்துக் கொள்வது எப்படி

Phishing தாக்குதல்களுக்கு எதிராக உங்கள் கணக்குகளை வலுப்படுத்த ஒரு நடைமுறை, ஒழுங்கான checklist.

  1. ஒரு password manager ஐப் பயன்படுத்துங்கள்:ஒரு நம்பகமான password manager (1Password, Bitwarden, Proton Pass) ஐ நிறுவி அது credentials ஐ autofill செய்ய அனுமதிக்கவும். இது look-alike domains இல் autofill செய்ய மறுத்து, உங்களுக்கு உள்ளமைக்கப்பட்ட phishing detector ஐ வழங்குகிறது.
  2. Phishing-resistant 2FA ஐ enable செய்யுங்கள்:உங்களின் மிக முக்கியமான கணக்குகளில் FIDO2 hardware key (YubiKey, Google Titan) அல்லது passkey ஐ சேர்க்கவும் — முதலில் email, பின்னர் banking, cloud storage, மற்றும் password manager. இவை மட்டுமே நவீன phishing ஐ உண்மையில் நிறுத்தும் 2FA முறைகளாகும்.
  3. Email links மூலம் ஒருபோதும் உள்நுழைய வேண்டாம்:உள்நுழைவதற்கு கேட்கும் email வரும்போது, email ஐ மூடிவிட்டு bookmark மூலமாக அல்லது URL ஐ தட்டச்சு செய்து manually தளத்திற்குச் செல்லுங்கள். Email இலுள்ள link ஒரு சரியான clone ஆக இருக்கலாம்; உங்கள் browser இலுள்ள bookmark அப்படி இருக்காது.
  4. தட்டச்சு செய்வதற்கு முன் சரியான domain ஐ சரிபார்க்கவும்:எந்த கடவுச்சொல்லையும் உள்ளிடுவதற்கு முன், address bar இலுள்ள முழு URL ஐப் பாருங்கள். https, சரியான spelling, மற்றும் paypal.com.secure-login.net போன்ற கூடுதல் subdomains இல்லாதது ஆகியவற்றைப் பாருங்கள்.
  5. Report செய்து முன்னேறுங்கள்:Phishing முயற்சியை உங்கள் email provider க்கு report செய்யுங்கள் (பெரும்பாலானவற்றில் "Report phishing" button உண்டு). பின்னர் உங்கள் நாளைத் தொடருங்கள் — நீங்கள் ஏமாறினால் மட்டுமே phishing ஆபத்தானது, மற்றும் விழிப்புணர்வே போராட்டத்தின் பெரும்பகுதியாகும்.

Frequently Asked Questions

Related Articles

What Is 2fa

Privacy Checklist

Encrypted Email