آسان الفاظ میں فشنگ کیا ہے؟

فشنگ وہ ہے جب حملہ آور ایک جعلی ویب سائٹ بناتا ہے جو اصلی سائٹ سے بالکل مشابہ لگتی ہے (آپ کا بینک، ای میل، دفتری لاگ ان) اور آپ کو وہاں اپنا پاس ورڈ ٹائپ کرنے کے لیے دھوکا دیتا ہے۔ جیسے ہی آپ سبمٹ کرتے ہیں، وہ آپ کی اسناد حاصل کر لیتا ہے اور انہیں اصلی سائٹ پر استعمال کرتا ہے۔

کیا 2FA فشنگ کو روک سکتا ہے؟

ایپ پر مبنی 2FA (TOTP) اور SMS کوڈز جدید فشنگ کو نہیں روکتے۔ حملہ آور ریئل ٹائم پراکسیز استعمال کرتے ہیں جو آپ کے کوڈ کو سیکنڈوں میں اصلی سائٹ پر منتقل کر دیتے ہیں۔ صرف FIDO2/WebAuthn ہارڈویئر کیز اور پاس کیز فشنگ سے محفوظ ہیں، کیونکہ وہ اصلی ڈومین سے خفیہ نگاری کے ذریعے جڑے ہوتے ہیں۔

میں فشنگ ای میل کو کیسے پہچان سکتا ہوں؟

کلک کرنے سے پہلے لنکس پر ہوور کریں اور اصل منزل چیک کریں۔ جلدی ("آپ کا اکاؤنٹ 24 گھنٹوں میں بند ہو جائے گا")، عمومی سلام ("عزیز کسٹمر")، اور ڈومین کی معمولی غلط ہجے (paypaI.com جس میں بڑا i ہے، چھوٹا L نہیں) پر نظر رکھیں۔ شک کی صورت میں، لنک پر کلک کرنے کی بجائے سائٹ پر خود سے جائیں۔

اگر مجھے لگتا ہے کہ میں فشنگ حملے کا شکار ہو گیا ہوں تو کیا کروں؟

فوری طور پر متاثرہ اکاؤنٹ کا پاس ورڈ کسی مختلف ڈیوائس سے تبدیل کریں۔ اکاؤنٹ کی ترتیبات میں تمام فعال سیشنز منسوخ کریں۔ اگر آپ نے 2FA فعال نہیں کیا تو اسے فعال یا دوبارہ فعال کریں۔ اکاؤنٹ میں غیر مجاز سرگرمی کی جانچ کریں۔ اگر یہ مالی اکاؤنٹ ہے تو ادارے کو براہ راست کال کریں۔

کیا پاس ورڈ مینیجرز فشنگ کے خلاف استعمال کرنا محفوظ ہے؟

جی ہاں، اور یہ آپ کے بہترین دفاع میں سے ایک ہیں۔ پاس ورڈ مینیجرز صحیح ڈومین کی بنیاد پر خودکار بھرتے ہیں۔ اگر آپ paypal.com کی بجائے paypaI.com پر پہنچیں تو آپ کا مینیجر خودکار نہیں بھرے گا — یہ ایک بڑا خطرناک اشارہ ہے کہ کچھ غلط ہے۔

فشنگ حملوں سے اپنے آپ کو کیسے محفوظ رکھیں

فشنگ کیا ہے؟

فشنگ ایک سماجی انجینئرنگ حملہ ہے جہاں حملہ آور ایک جائز ویب سائٹ کی قائل کرنے والی نقل بناتا ہے — اکثر مکمل طور پر — اور شکار کو وہاں اسناد داخل کرنے کے لیے دھوکا دیتا ہے۔ جیسے ہی شکار فارم سبمٹ کرتا ہے، حملہ آور صارف نام، پاس ورڈ، اور کوئی بھی دوسرا عنصر حاصل کر لیتا ہے، پھر انہیں سیکنڈوں میں اصلی اکاؤنٹ پر قبضے کے لیے استعمال کرتا ہے۔

یہ لفظ شکار کے لیے بارہ (عام طور پر ای میل) کے ساتھ "مچھلی پکڑنے" کے استعارے سے آتا ہے۔ ہجے اس لیے بدل گئی کہ حملہ آور اکثر فون نمبرز (SMS فشنگ، یا "smishing") اور پیشہ ورانہ نظر آنے والی انفراسٹرکچر استعمال کرتے ہیں۔

فشنگ آج بھی نمبر 1 خطرہ کیوں ہے

آج کل زیادہ تر بڑے پیمانے کے اکاؤنٹ بریچز میں ہیکنگ، پاس ورڈز کریک کرنا، یا انکرپشن کو بائی پاس کرنا شامل نہیں ہوتا۔ ان میں انسان کا جعلی سائٹ پر پاس ورڈ ٹائپ کرنا شامل ہوتا ہے۔ فشنگ یہ ہے:

سستا — حملہ آور VPS اور جعلی ڈومین کی لاگت میں لاکھوں ای میلز بھیج سکتا ہے
فلٹر کرنا مشکل — جدید کٹس ڈومینز کو گھماتے ہیں، جائز ہوسٹنگ استعمال کرتے ہیں، اور ریئل ٹائم میں فلٹرز کے مطابق ڈھالتے ہیں
مؤثر — یہاں تک کہ سیکیورٹی کے بارے میں آگاہ صارف بھی اچھی طرح سے تیار کیے گئے ہدف شدہ حملوں (spear phishing) کا شکار ہو جاتے ہیں
پیمانہ دار — ایک کامیاب فش اکثر پاس ورڈ کے دوبارہ استعمال کے ذریعے درجنوں منسلک خدمات تک رسائی فراہم کرتا ہے

2024 Verizon Data Breach Investigations Report میں پایا گیا کہ تمام بریچز میں سے 36% سے زیادہ میں فشنگ ابتدائی رسائی کا ذریعہ تھا — کسی بھی دوسری واحد وجہ سے زیادہ۔

جدید فشنگ کیسے کام کرتی ہے

فشنگ 2000 کی دہائی کے "نائجیرین شہزادے" ای میلز سے کہیں زیادہ ترقی کر چکی ہے۔ ایک جدید فشنگ حملے میں عام طور پر یہ شامل ہوتا ہے:

1. قائل کرنے والا چارہ

عام طور پر ای میل، ٹیکسٹ، یا چیٹ میسج جو جلدی ("آپ کا اکاؤنٹ معلق کر دیا جائے گا")، اختیار ("Microsoft سیکیورٹی ٹیم")، یا تجسس ("کسی نے آپ کو تصویر میں ٹیگ کیا ہے") پیدا کرتا ہے۔ Spear-phishing اسے LinkedIn، بریچ ڈمپس، یا پہلے کی خط و کتابت سے لیے گئے ذاتی تفصیلات کے ساتھ آگے لے جاتا ہے۔

2. مکمل طور پر جعلی سائٹ

حملہ آور off-the-shelf فشنگ کٹس استعمال کرتے ہیں جو ہدف کی سائٹ کے HTML، CSS، اور JavaScript کو نقل کرتے ہیں۔ بہت سے کٹس سروس کے طور پر بیچے جاتے ہیں (phishing-as-a-service)، جن کے پاس کام کرنے والے ڈیش بورڈز اور کسٹمر سپورٹ ہوتا ہے۔

3. 2FA کے لیے ریئل ٹائم پراکسی

خطرناک حصہ: جدید کٹس صرف آپ کا پاس ورڈ نہیں پکڑتے۔ وہ man-in-the-middle پراکسی کے طور پر کام کرتے ہیں جو آپ کے ٹائپ کردہ ہر چیز — آپ کا TOTP کوڈ سمیت — کو سیکنڈوں میں اصلی سائٹ پر منتقل کرتے ہیں، زیادہ تر 2FA کو بائی پاس کرتے ہیں۔ اس تکنیک کو adversary-in-the-middle (AiTM) کہتے ہیں اور یہ Evilginx2 اور Modlishka جیسے ٹولز میں استعمال ہوتی ہے۔

4. سیشن ٹوکن کی چوری

جب آپ پراکسی کے ذریعے authenticate کرتے ہیں تو حملہ آور آپ کا session cookie پکڑ لیتا ہے اور اسے پاس ورڈ تبدیل کرنے کے بعد بھی لاگ ان رہنے کے لیے استعمال کر سکتا ہے۔ یہی وجہ ہے کہ فشنگ کے جواب میں ہمیشہ فعال سیشنز کو منسوخ کرنا شامل ہوتا ہے، صرف پاس ورڈ کی تبدیلی نہیں۔

کیا چیز واقعی فشنگ کو روکتی ہے

ہارڈویئر سیکیورٹی کیز (FIDO2 / WebAuthn)

یہ دفاع کی واحد قسم ہے جو ڈیزائن کے اعتبار سے فشنگ سے محفوظ ہے۔ جب آپ FIDO2 کی کے ساتھ لاگ ان کرتے ہیں تو آپ کی کی authentication کی درخواست کرنے والی سائٹ کے صحیح ڈومین کو خفیہ نگاری کے ذریعے تصدیق کرتی ہے۔ جعلی سائٹ — چاہے وہ بصری طور پر کتنی بھی کامل ہو — کا ڈومین مختلف ہوتا ہے، لہذا کی جواب دینے سے انکار کر دیتی ہے۔ خفیہ نگاری کا handshake مکمل نہیں ہوتا۔

Google نے 2017 میں اپنے تمام 85,000+ ملازمین کے لیے YubiKeys لازمی قرار دیے اور اس کے بعد کے سالوں میں کمپنی اکاؤنٹس پر صفر کامیاب فشنگ حملوں کی اطلاع دی۔

Passkeys

Passkeys FIDO2 کی consumer-friendly ترقی ہیں۔ وہ وہی domain-bound cryptography استعمال کرتے ہیں اور iOS، Android، macOS، اور Windows میں بلٹ ان ہیں۔ اگر آپ کی استعمال کردہ سائٹ passkeys کو سپورٹ کرتی ہے تو ایک فعال کرنا اُس اکاؤنٹ کو فشنگ سے محفوظ بنا دیتا ہے۔

پاس ورڈ مینیجرز

پاس ورڈ مینیجر آپ کا دوسرا دفاعی خط ہے کیونکہ یہ صرف صحیح ڈومین پر اسناد خودکار بھرتا ہے جہاں وہ محفوظ کیے گئے تھے۔ اگر آپ paypal.com کی بجائے paypaI.com (بڑا I) پر پہنچیں تو آپ کا مینیجر خاموشی سے فارم بھرنے سے انکار کر دیتا ہے۔ یہ انکار ایک بلند آواز میں انتباہ ہے کہ کچھ غلط ہے۔

ای میل اور DNS فلٹرنگ

ای میل فراہم کنندگان جعلی بھیجنے والے پتوں کا پتہ لگانے کے لیے DMARC، SPF، اور DKIM استعمال کرتے ہیں۔ زیادہ تر جدید فراہم کنندگان واضح کوششوں کو پکڑ لیتے ہیں، لیکن ہدف شدہ حملے پھر بھی نکل جاتے ہیں۔ اپنے میل کلائنٹ میں "فشنگ رپورٹ کریں" بٹن فعال کریں تاکہ آپ فلٹرز کو بہتر بنانے میں مدد کریں۔

نظر رکھنے کے لیے خطرناک نشانیاں

جب آپ کو لاگ ان کرنے، تصدیق کرنے، یا فوری کارروائی کرنے کو کہنے والا پیغام ملے:

جلدی اور دھمکیاں — "آپ کا اکاؤنٹ 24 گھنٹوں میں بند کر دیا جائے گا"
عمومی سلام — آپ کے نام کی بجائے "عزیز کسٹمر"
ملتے جلتے ڈومینز — paypaI.com، app1e.com، secure-microsoft-login.net
غیر متوقع اٹیچمنٹس — خاص طور پر .zip، .html، یا .pdf فائلز جو آپ سے انہیں دیکھنے کے لیے لاگ ان کرنے کو کہتی ہیں
گرامر یا فارمیٹنگ کی خرابیاں — بڑی کمپنیاں اپنی ای میلز کو پروف ریڈ کرتی ہیں
لنک میں عدم مطابقت — لنک پر ہوور کریں اور چیک کریں کہ منزل متن سے مطابقت رکھتی ہے

اگر کوئی چیز عجیب لگے تو ای میل بند کریں۔ سائٹ پر خود سے جائیں۔ اگر کوئی حقیقی مسئلہ ہے تو آپ اسے اپنے عام ورک فلو کے ذریعے لاگ ان کرنے پر دیکھیں گے۔

اگر آپ اس کا شکار ہو جائیں تو کیا کریں

جلدی کریں — رفتار اہم ہے کیونکہ حملہ آور منٹوں میں اسناد استعمال کرنا شروع کر دیتے ہیں۔

فوری طور پر پاس ورڈ تبدیل کریں کسی مختلف ڈیوائس پر (مثلاً آپ کا فون، اگر آپ لیپ ٹاپ پر شکار ہوئے)
تمام فعال سیشنز منسوخ کریں اکاؤنٹ کی ترتیبات میں — یہ چوری شدہ session tokens استعمال کرنے والے کو نکال دیتا ہے
2FA فعال کریں اگر پہلے سے نہیں تھا، اور ممکن ہو تو ہارڈویئر کی یا passkey استعمال کریں
غیر مجاز سرگرمی کی جانچ کریں — بھیجی گئی ای میلز، حالیہ لاگ انز، بلنگ تبدیلیاں، نئے forwarding rules
متاثرہ ادارے کو آگاہ کریں اگر یہ مالی یا دفتری اکاؤنٹ ہے
دوسرے اکاؤنٹس چیک کریں جو وہی پاس ورڈ استعمال کرتے تھے — یہاں تک کہ اگر آپ کو یقین ہے کہ آپ پاس ورڈ دوبارہ استعمال نہیں کرتے، پھر بھی چیک کریں

خلاصہ یہ ہے

فشنگ اس لیے پھلتا پھولتا ہے کہ یہ ٹیکنالوجی کو نظرانداز کرتا ہے اور انسانوں کو نشانہ بناتا ہے۔ بہترین دفاع تین تہوں کو ملاتا ہے: پاس ورڈ مینیجرز (غلط ڈومینز پر خودکار بھرنے سے انکار)، فشنگ سے مزاحم 2FA (ہارڈویئر کیز یا passkeys جو اصلی ڈومین سے جڑتے ہیں)، اور صحتمند شک (کبھی بھی ای میل لنک سے لاگ ان نہ کریں)۔

سب سے پہلے اپنے اہم ترین اکاؤنٹ — آپ کی ای میل — پر تینوں فعال کریں۔ وہاں سے، آپ کی باقی ڈیجیٹل زندگی معنی خیز طور پر زیادہ محفوظ ہو جاتی ہے۔