ప్రధాన కంటెంట్‌కు వెళ్లండి

Phishing దాడుల నుండి మిమ్మల్ని ఎలా రక్షించుకోవాలి

Phishing ఇప్పటికీ ఖాతాలు దొంగిలించబడే #1 మార్గంగా ఉంది. ఆధునిక phishing ఎలా పనిచేస్తుందో, చూడవలసిన హెచ్చరిక సంకేతాలు, మరియు వాస్తవికంగా దాడులను ఆపే ప్రాయోగిక రక్షణలను తెలుసుకోండి.

2026-04-14

TL;DR

  • Phishing ఖాతా స్వాధీనానికి #1 కారణం — దాడిచేసేవారు మిమ్మల్ని నకిలీ సైట్‌లో ప్రమాణాలను ఇవ్వమని మోసం చేస్తారు.
  • ఆధునిక phishing కిట్స్ లాగిన్ పేజీలను పిక్సెల్-పర్ఫెక్ట్‌గా క్లోన్ చేసి మీ 2FA కోడ్‌లను రియల్ టైమ్‌లో ప్రాక్సీ చేస్తాయి.
  • హార్డ్‌వేర్ సెక్యూరిటీ కీలు (YubiKey, FIDO2) డిజైన్ ద్వారానే phishing-ప్రూఫ్ అయిన ఏకైక రక్షణ.
  • పాస్‌వర్డ్ మేనేజర్లు తప్పు డొమైన్‌లో ఆటోఫిల్ చేయడానికి నిరాకరించడం ద్వారా మిమ్మల్ని రక్షిస్తాయి.
  • ప్రమాణాలను టైప్ చేయడానికి ముందు సరైన డొమైన్ను తనిఖీ చేయండి, మరియు ఎప్పుడూ ఇమెయిల్‌లోని లింక్ నుండి లాగిన్ చేయవద్దు.

Phishing అంటే ఏమిటి?

Phishing అనేది ఒక సామాజిక ఇంజనీరింగ్ దాడ, ఇక్కడ దాడిచేసేవారు చట్టబద్ధమైన వెబ్‌సైట్ యొక్క నమ్మదగిన కాపీని సృష్టిస్తారు — తరచుగా పిక్సెల్-పర్ఫెక్ట్ — మరియు బాధితుడిని అక్కడ ప్రమాణాలను ఎంటర్ చేయమని మోసం చేస్తారు. బాధితుడు ఫారమ్‌ను సబ్‌మిట్ చేసిన క్షణంలో, దాడిచేసేవారు యూజర్‌నేమ్, పాస్‌వర్డ్, మరియు ఏదైనా రెండవ కారకాన్ని సంగ్రహిస్తారు, తరువాత వాటిని సెకన్డుల్లోనే నిజమైన ఖాతాను స్వాధీనం చేసుకోవడానికి ఉపయోగిస్తారు.

ఈ పదం ఎర (సాధారణంగా ఇమెయిల్) తో బాధితుల కోసం "ఫిషింగ్" చేయడం అనే రూపకం నుండి వచ్చింది. దాడిచేసేవారు తరచుగా ఫోన్ నంబర్లను (SMS phishing, లేదా "smishing") మరియు వృత్తిపరమైన-కనిపించే మౌలిక సదుపాయాలను ఉపయోగిస్తారని నొక్కి చెప్పడానికి స్పెల్లింగ్ మార్చబడింది.

Phishing ఇప్పటికీ #1 ముప్పు ఎందుకు

నేడు చాలా పెద్ద-స్థాయి ఖాతా ఉల్లంఘనలు హ్యాకింగ్, పాస్‌వర్డ్‌లను క్రాక్ చేయడం, లేదా ఎన్‌క్రిప్షన్‌ను దాటవేయడంతో సంబంధం లేదు. అవి మానవుడు నకిలీ సైట్‌లో పాస్‌వర్డ్ టైప్ చేయడంతో సంబంధం కలిగి ఉంటాయి. Phishing:

  • చవకైనది — దాడిచేసేవారు VPS మరియు స్పూఫ్డ్ డొమైన్ ఖర్చుకు లక్షలాది ఇమెయిల్‌లను పంపగలరు
  • ఫిల్టర్ చేయడం కష్టం — ఆధునిక కిట్స్ డొమైన్‌లను మార్చుతాయి, చట్టబద్ధమైన హోస్టింగ్‌ను ఉపయోగిస్తాయి, మరియు రియల్ టైమ్‌లో ఫిల్టర్‌లకు అనుకూలతను చూపుతాయి
  • ప్రభావవంతమైనది — సెక్యూరిటీ-అవేర్ యూజర్లు కూడా బాగా రూపొందించిన టార్గెట్ చేసిన ప్రయత్నాలకు (స్పియర్ phishing) బలవుతారు
  • స్కేలబుల్ — ఒకే విజయవంతమైన phish తరచుగా పాస్‌వర్డ్ పునర్వినియోగం ద్వారా డజన్ల కొద్దీ అనుసంధానిత సేవలకు యాక్సెస్‌ను అందిస్తుంది

2024 Verizon Data Breach Investigations Report ప్రకారం అన్ని ఉల్లంఘనలలో 36% కంటే ఎక్కువలో phishing ప్రారంభ యాక్సెస్ వెక్టర్ అని కనుగొన్నది — ఏదైనా ఇతర ఒకే కారణం కంటే ఎక్కువ.

ఆధునిక phishing ఎలా పనిచేస్తుంది

Phishing 2000లలోని "నైజీరియన్ యువరాజు" ఇమెయిల్‌ల కంటే చాలా దూరం అభివృద్ధి చెందింది. ఆధునిక phishing దాడ సాధారణంగా ఇవి కలిగి ఉంటుంది:

1. నమ్మదగిన ఎర

సాధారణంగా అత్యవసరతను ("మీ ఖాతా నిలిపివేయబడుతుంది"), అధికారాన్ని ("Microsoft సెక్యూరిటీ టీమ్"), లేదా ఉత్సుకతను ("ఎవరో మిమ్మల్ని ఫోటోలో ట్యాగ్ చేశారు") సృష్టించే ఇమెయిల్, టెక్స్ట్, లేదా చాట్ మెసేజ్. స్పియర్-phishing LinkedIn, ఉల్లంఘన డంప్‌లు, లేదా మునుపటి కరస్పాండెన్స్ నుండి వ్యక్తిగత వివరాలతో దీనిని మరింత ముందుకు తీసుకువెళుతుంది.

2. పిక్సెల్-పర్ఫెక్ట్ నకిలీ సైట్

దాడిచేసేవారు టార్గెట్ సైట్ యొక్క HTML, CSS, మరియు JavaScript ను క్లోన్ చేసే ఆఫ్-ది-షెల్ఫ్ phishing కిట్స్ ను ఉపయోగిస్తారు. అనేక కిట్స్ సేవగా విక్రయించబడతాయి (phishing-as-a-service), పనిచేసే డ్యాష్‌బోర్డ్‌లు మరియు కస్టమర్ సపోర్ట్‌తో.

3. 2FA కోసం రియల్-టైమ్ ప్రాక్సీ

ప్రమాదకరమైన భాగం: ఆధునిక కిట్స్ మీ పాస్‌వర్డ్‌ను సంగ్రహించడమే కాదు. అవి మీరు టైప్ చేసే ప్రతిదాన్ని — మీ TOTP కోడ్‌తో సహా — సెకన్డుల్లోనే నిజమైన సైట్‌కు ఫార్వార్డ్ చేసే మ్యాన్-ఇన్-ది-మిడిల్ ప్రాక్సీ గా పనిచేస్తాయి, చాలా 2FA ను దాటవేస్తాయి. ఈ పద్ధతిని adversary-in-the-middle (AiTM) అని పిలుస్తారు మరియు Evilginx2 మరియు Modlishka వంటి సాధనాలలో ఉపయోగించబడుతుంది.

4. సెషన్ టోకెన్ దొంగతనం

మీరు ప్రాక్సీ ద్వారా ప్రామాణీకరించిన తరువాత, దాడిచేసేవారు మీ సెషన్ కుకీ ను సంగ్రహిస్తారు మరియు మీరు పాస్‌వర్డ్‌ను మార్చిన తరువాత కూడా లాగిన్‌లో ఉండటానికి దాన్ని ఉపయోగించగలరు. అందుకే phishing ప్రతిస్పందనలో ఎల్లప్పుడూ చురుకైన సెషన్‌లను రద్దుచేయడం ఉంటుంది, కేవలం పాస్‌వర్డ్ రొటేషన్ కాదు.

వాస్తవికంగా phishing ను ఏమి ఆపుతుంది

హార్డ్‌వేర్ సెక్యూరిటీ కీలు (FIDO2 / WebAuthn)

ఇది డిజైన్ ద్వారానే phishing-ప్రూఫ్ అయిన రక్షణ యొక్క ఏకైక వర్గం. మీరు FIDO2 కీతో లాగిన్ చేసినప్పుడు, మీ కీ ప్రామాణీకరణను అభ్యర్థించే సైట్ యొక్క సరైన డొమైన్‌ను క్రిప్టోగ్రాఫిక్‌గా ధృవీకరిస్తుంది. నకిలీ సైట్ — దృశ్యపరంగా ఎంత పర్ఫెక్ట్ అయినా — వేరే డొమైన్ కలిగి ఉంటుంది, కాబట్టి కీ ప్రతిస్పందించడానికి నిరాకరిస్తుంది. క్రిప్టోగ్రాఫిక్ హ్యాండ్‌షేక్ కేవలం పూర్తి కాదు.

Google 2017లో తమ 85,000+ ఉద్యోగులందరికీ YubiKeys ను తప్పనిసరి చేసింది మరియు తరువాతి సంవత్సరాలలో కంపనీ ఖాతాలపై శూన్య విజయవంతమైన phishing దాడులు లేవని నివేదించింది.

పాస్‌కీలు

పాస్‌కీలు FIDO2 యొక్క కన్స్యూమర్-ఫ్రెండ్లీ పరిణామం. అవి అదే డొమైన్-బౌండ్ క్రిప్టోగ్రఫీని ఉపయోగిస్తాయి మరియు iOS, Android, macOS, మరియు Windows లలో నిర్మించబడ్డాయి. మీరు ఉపయోగించే సైట్ పాస్‌కీలను సపోర్ట్ చేస్తే, ఒకదాన్ని ఎనేబుల్ చేయడం ఆ ఖాతాను phishing-ప్రూఫ్ చేస్తుంది.

పాస్‌వర్డ్ మేనేజర్లు

పాస్‌వర్డ్ మేనేజర్ మీ రెండవ రక్షణ వరుస ఎందుకంటే అది ప్రమాణాలు సేవ్ చేయబడిన సరైన డొమైన్ లోనే ఆటోఫిల్ చేస్తుంది. మీరు paypal.com బదులుగా paypaI.com (క్యాపిటల్ I) కి చేరుకుంటే, మీ మేనేజర్ ఫారమ్‌ను భరించడానికి మౌనంగా నిరాకరిస్తుంది. ఆ నిరాకరణ ఏదో తప్పు అని చెప్పే పెద్ద హెచ్చరిక.

ఇమెయిల్ మరియు DNS ఫిల్టరింగ్

ఇమెయిల్ ప్రొవైడర్లు స్పూఫ్డ్ పంపినవారి చిరునామాలను గుర్తించడానికి DMARC, SPF, మరియు DKIM ను ఉపయోగిస్తారు. చాలా ఆధునిక ప్రొవైడర్లు స్పష్టమైన ప్రయత్నాలను పట్టుకుంటారు, కానీ టార్గెట్ చేసిన దాడులు ఇప్పటికీ జారిపోతాయి. మీ మెయిల్ క్లయింట్‌లో "phishing ను రిపోర్ట్ చేయండి" బటన్‌లను ఎనేబుల్ చేయండి, తద్వారా మీరు ఫిల్టర్లను మెరుగుపరచడంలో సహాయపడతారు.

చూడవలసిన హెచ్చరిక సంకేతాలు

మిమ్మల్ని లాగిన్ చేయమని, ధృవీకరించమని, లేదా తక్షణం చర్య తీసుకోమని అడిగే మెసేజ్ వచ్చినప్పుడు:

  • అత్యవసరత మరియు బెదిరింపులు — "మీ ఖాతా 24 గంటల్లో మూసివేయబడుతుంది"
  • సాధారణ గ్రీటింగ్‌లు — మీ పేరు బదులుగా "ప్రియమైన కస్టమర్"
  • చూపుట డొమైన్‌లుpaypaI.com, app1e.com, secure-microsoft-login.net
  • అనుకోని జోడింపులు — ప్రత్యేకంగా మిమ్మల్ని చూడానికి లాగిన్ చేయమని అడిగే .zip, .html, లేదా .pdf ఫైల్‌లు
  • వ్యాకరణ లేదా ఫార్మాటింగ్ లోపాలు — పెద్ద కంపెనీలు వారి ఇమెయిల్‌లను ప్రూఫ్ రీడ్ చేస్తాయి
  • లింక్ మిస్‌మ్యాచ్ — లింక్‌పై హోవర్ చేసి గమ్యం టెక్స్ట్‌కు సరిపోతుందో చెక్ చేయండి

ఏదైనా అనుమానం అనిపిస్తే, ఇమెయిల్‌ను మూసివేయండి. సైట్‌కు మాన్యువల్‌గా నావిగేట్ చేయండి. నిజమైన సమస్య ఉంటే, మీరు మీ సాధారణ వర్క్‌ఫ్లో ద్వారా లాగిన్ చేసినప్పుడు దాన్ని చూస్తారు.

దానికి బలైపోతే ఏమి చేయాలి

త్వరగా చర్య తీసుకోండి — దాడిచేసేవారు నిమిషాల్లోనే ప్రమాణాలను ఉపయోగించడం ప్రారంభిస్తారు కాబట్టి వేగం ముఖ్యం.

  1. వెంటనే పాస్‌వర్డ్‌ను మార్చండి వేరే పరికరంలో (ఉదాహరణకు, మీరు లాప్‌టాప్‌లో బలైపోతే మీ ఫోన్‌లో)
  2. అన్ని చురుకైన సెషన్‌లను రద్దుచేయండి ఖాతా సెట్టింగ్‌లలో — ఇది దొంగిలించబడిన సెషన్ టోకెన్‌లను ఉపయోగించే ఎవరినైనా బయటకు తరిమివేస్తుంది
  3. 2FA ని ఎనేబుల్ చేయండి అది ఇప్పటికే ఆన్‌లో లేకపోతే, మరియు వీలైతే హార్డ్‌వేర్ కీ లేదా పాస్‌కీని ఉపయోగించండి
  4. అనధికార కార్యాచరణ కోసం చెక్ చేయండి — పంపబడిన ఇమెయిల్‌లు, ఇటీవలి లాగిన్‌లు, బిల్లింగ్ మార్పులు, కొత్త ఫార్వార్డింగ్ రూల్స్
  5. ప్రభావిత సంస్థను తెలియజేయండి అది ఆర్థిక లేదా కార్యాలయ ఖాతా అయితే
  6. అదే పాస్‌వర్డ్‌ను ఉపయోగించిన ఇతర ఖాతాలను చెక్ చేయండి — మీరు పాస్‌వర్డ్‌లను పునర్వినియోగించరని ఖచ్చితంగా అనుకున్నా, చెక్ చేయండి

ముఖ్య విషయం

Phishing సాంకేతికతను దాటవేసి మానవులను లక్ష్యంగా చేసుకోవడంవల్ల వర్ధిల్లుతుంది. అత్యుత్తమ రక్షణలు మూడు లేయర్లను మిళితం చేస్తాయి: పాస్‌వర్డ్ మేనేజర్లు (తప్పు డొమైన్‌లలో ఆటోఫిల్ చేయడానికి నిరాకరిస్తాయి), phishing-నిరోధక 2FA (నిజమైన డొమైన్‌కు బైండ్ అయ్యే హార్డ్‌వేర్ కీలు లేదా పాస్‌కీలు), మరియు ఆరోగ్యకరమైన అనుమానం (ఇమెయిల్ లింక్ నుండి ఎప్పుడూ లాగిన్ చేయవద్దు).

మీ అత్యంత ముఖ్యమైన ఖాతా — మీ ఇమెయిల్ — లో మొదట ఈ మూడింటినీ ఎనేబుల్ చేయండి. అక్కడ నుండి, మీ డిజిటల్ జీవితంలోని మిగిలినవి అర్థవంతంగా సురక్షితం అవుతాయి.

Phishing నుండి మిమ్మల్ని ఎలా రక్షించుకోవాలి

Phishing దాడులకు వ్యతిరేకంగా మీ ఖాతాలను కఠినతరం చేయడానికి ప్రాయోగిక, క్రమబద్ధమైన చెక్‌లిస్ట్.

  1. పాస్‌వర్డ్ మేనేజర్‌ను ఉపయోగించండి:ప్రతిష్ఠాత్మక పాస్‌వర్డ్ మేనేజర్ (1Password, Bitwarden, Proton Pass) ని ఇన్‌స్టాల్ చేసి ప్రమాణాలను ఆటోఫిల్ చేయనివ్వండి. అది చూపుట డొమైన్‌లపై ఆటోఫిల్ చేయడానికి నిరాకరిస్తుంది, మీకు అంతర్నిర్మిత phishing డిటెక్టర్‌ను అందిస్తుంది.
  2. Phishing-నిరోధక 2FA ని ఎనేబుల్ చేయండి:మీ అత్యంత ముఖ్యమైన ఖాతాలకు FIDO2 హార్డ్‌వేర్ కీ (YubiKey, Google Titan) లేదా పాస్‌కీని జోడించండి — మొదట ఇమెయిల్, తరువాత బ్యాంకింగ్, క్లౌడ్ స్టోరేజ్, మరియు పాస్‌వర్డ్ మేనేజర్. ఇవి ఆధునిక phishing ను వాస్తవికంగా ఆపే ఏకైక 2FA పద్ధతులు.
  3. ఇమెయిల్ లింక్‌ల నుండి ఎప్పుడూ లాగిన్ చేయవద్దు:మిమ్మల్ని సైన్ ఇన్ చేయమని అడిగే ఇమెయిల్ వచ్చినప్పుడు, ఇమెయిల్‌ను మూసివేసి బుక్‌మార్క్ ద్వారా లేదా URL టైప్ చేయడం ద్వారా సైట్‌కు మాన్యువల్‌గా నావిగేట్ చేయండి. ఇమెయిల్‌లోని లింక్ పర్ఫెక్ట్ క్లోన్ కావచ్చు; మీ బ్రౌజర్‌లోని బుక్‌మార్క్ కాదు.
  4. టైప్ చేయడానికి ముందు సరైన డొమైన్‌ను తనిఖీ చేయండి:ఏదైనా పాస్‌వర్డ్ ఎంటర్ చేయడానికి ముందు, అడ్రెస్ బార్‌లోని పూర్తి URL ను చూడండి. https, సరైన స్పెల్లింగ్, మరియు paypal.com.secure-login.net వంటి అదనపు సబ్‌డొమైన్‌లు లేకుండా చూడండి.
  5. రిపోర్ట్ చేసి ముందుకు సాగండి:Phishing ప్రయత్నాన్ని మీ ఇమెయిల్ ప్రొవైడర్‌కు రిపోర్ట్ చేయండి (చాలా వారికి "Phishing ను రిపోర్ట్ చేయండి" బటన్ ఉంటుంది). తరువాత మీ రోజుతో కొనసాగండి — మీరు దానికి బలైపోతేనే phishing ప్రమాదకరం, మరియు అవగాహనే యుద్ధంలో ఎక్కువ భాగం.

Frequently Asked Questions

Related Articles

What Is 2fa

Privacy Checklist

Encrypted Email