TOC NEWS
सिक्यॉरिटी एक्सपर्ट्स ने एक ऐसे फिशिंग स्कैम का पता लगाया है, जिसकी मदद से हैकर्स ने बहुत से Gmail यूजर्स के यूजरनेम और पासवर्ड पता कर लिए हैं। जिस तरीके को हैकर इस्तेमाल कर रहे हैं, वह इतना इफेक्टिव है कि अनुभवी टेक्निकल यूजर्स भी गलती कर रहे हैं। फिशिंग वह तरीका है, जिसमें हैकर्स किसी असली वेबसाइट की हू-ब-हू नकल तैयार कर देते हैं। यूजर्स असली और नकली का फर्क नहीं कर पाते और अपना यूजरनेम और पासवर्ड नकली वेबपेज में एंटर कर देते हैं। ऐसा करते ही यूजरनेम और पासवर्ड का ऐक्सेस हैकर्स को मिल जाता है और वे असली अकाउंट को हैक कर लेते हैं।
ब्लॉग वेबसाइट WordPress के लिए सिक्यॉरिटी टूल बनाने वाली टीम WordFence के रिसर्चर्स ने एक ब्लॉग पोस्ट के जरिए चेताया है कि इस फिशिंग स्कैम के जरिए बहुत सारे यूजर्स का जीमेल पासवर्ड हासिल करके उनका डेटा चुराया जा रहा है। ब्लॉग में लिखा गया है कि इस स्कैम को इस तरह से डिजाइन किया गया है कि अनुभवी टेक्निकल यूजर्स भी फंस जा हे हैं।
क्या है हैकिंग का तरीका?
हैकर्स ट्रस्टेड कॉन्टैक्स के तौर पर टारगेट यूजर को ईमेल भेजते हैं। इस ईमेल के साथ एक अटैचमेंट लगा होता है, जो आमतौर पर पीडीएफ फाइल के तौर पर दिखता है। देखने में यह ईमेल एक सामान्य ईमेल की तरह दिखता है ।मगर इसके साथ आया अटैचमेंट दरअसल एक एम्बेडेड इमेज है, जिसे ऐसे तैयार किया गया है कि पीडीएफ फाइल की तरह नजर आए।
इस इमेज पर क्लिक करने पर वैसे तो इमेज प्रिव्यू खुलना चाहिए, मगर गूगल का लॉगइन पेज खुल जाता है। दरअसल हैकर्स ने इस इमेज को फेक गूगल लॉगइन पेज से लिंक किया हुआ है। ऐसे में यूजर को लगता है कि उसका अकाउंट साइन आउट हो गया। यहीं से असली खेल शुरू हो जाता है।
इस साइन-इन पेज पर सब कुछ सामान्य लगता है। गूगल का लोगो, यूजरनेम और पासवर्ड की फील्ड्स, टैग लाइन और अन्य इंडिकेशन भी ऐसे नजर आते हैं, मानो यह गूगल का असली लॉगइन पेज है। ब्राउजर की अड्रेस बार पर जो अड्रेस आता है, बस वही संदिग्ध होता है।
मगर सभी यूजर्स कुछ भी लॉगइन करने से पहले अड्रेस बार पर यह नहीं देखते कि क्या URL वहां आ रहा है। कोई एक नजर में देखे तो उसे बीच में “https://accounts.google.com,” भी लिखा नजर आता है, जो एकदम गूगल का असली यूआरएल नजर आता है। मगर इससे ठीक पहले “data:text/html” लिखा रहता है, जिसे लोग अक्सर नजरअंदाज कर देते हैं।
दरअसल टेक्स्ट बार पर दिखने वाला यह अड्रेस किसी वेबसाइट का यूआरएल नहीं, बल्कि Data URL है। URL दिखाता है कि वेबपेज इंटरनेट पर किस लोकेशन पर मौजूद है, मगर Data URL में एक फाइल एंबेड की गई होती है। अगर अड्रेस बार को जूमआउट करें तो यहां पर एक स्क्रिप्ट नजर आती है, जो फाइल को जीमेल के लॉगइन पेज की तरह दिखने के लिए तैयार की गई है।
जैसे ही यूजर इस पेज पर दिख रही फील्ड्स में अपना यूजरनेम और पासवर्ड डालता है, वह सीधे हैकर्स के पास पहुंच जाता है। इसके बाद हैकर्स तुरंत यूजर के अकाउंट से लॉगइन करते हैं और गूगल अकाउंट से जुड़ी बहुत सी सर्विसेज का भी ऐक्सेस हासिल कर लेते हैं। यही नहीं, अगले चरण में वे उस यूजर की ईमेल आईडी से उसके अन्य कॉन्टैक्ट्स को मेल भेजकर जाल में फंसाने की कोशिश करते हैं।
कैसे बचें?
अगर आप गूगल क्रोम इस्तेमाल करते हैं तो अड्रेस बार को चेक कर सकते हैं। इसमें ग्रीन कलर का लॉक नजर आता है तो इसका मतलब है कि साइट सिक्यॉर है। इसलिए पर्सनल डीटेल्स एंटर करने से पहले इस ग्रीन लॉक को चेक कर लिया करें।
मगर ध्यान रहे कि स्कैमर अब HTTPS-प्रॉटेक्टेड फिशिंग साइट्स बनाने लगे हैं और उनमें भी ऐसा ग्रीन लॉक नजर आता है। इसलिए यूआरएल को चेक करना भी न भूलें। मामला सिक्यॉरिटी का है, इसलिए कुछ सेकंड एक्स्ट्रा टाइम आप लगा सकते हैं।
इसके अलावा आपको हमेशा टू-स्टेप वेरिफिकेशन अपनानी चाहिए। इससे आप अपने अकाउंट को और सिक्यॉर बना सकते हैं और कोई हैक नहीं कर सकता। 2-स्टेप वेरिफिकेशन में आप यह सेटिंग कर सकते हैं कि पासवर्ड डालने के साथ-साथ आपके स्मार्टफोन पर एक वन टाइम पासवर्ड (OTP) आए और उसे एंटर करने के बाद ही लॉगइन हो।
No comments:
Post a Comment