हैकर्स ने एक नया फ़िशिंग हमला शुरू किया है जो तकनीक-प्रेमी उपयोगकर्ताओं को भी बरगला रहा है। यहां आपको खुद को बचाने के लिए जानने की जरूरत है।
यह हमला इस तरह काम करता है: हैकर्स जिन्होंने किसी के ईमेल अकाउंट को हैक किया है, वे अटैचमेंट वाले पत्राचार के लिए उसमें मौजूद ईमेल को देखते हैं। फिर वे समझौता किए गए खाते से ईमेल भेजते हैं - खाते के मालिक का प्रतिरूपण करते हुए - प्रत्येक ईमेल के साथ पूर्व पत्राचार की समानता का लाभ उठाते हुए, ताकि नए संदेश वैध और परिचित लग सकें। उदाहरण के लिए, फ़िशिंग ईमेल एक विषय पंक्ति का उपयोग कर सकते हैं जिसका उपयोग अतीत में किया गया था।
हैकर्स प्रत्येक फ़िशिंग ईमेल में अतीत में उपयोग किए गए अनुलग्नक की एक छवि एम्बेड करते हैं, लेकिन छवि को अनुलग्नक को खोलने के लिए कॉन्फ़िगर नहीं करते हैं, बल्कि, एक फ़िशिंग पृष्ठ जो Google लॉगिन की तरह दिखता है। चूंकि उपयोगकर्ता जीमेल अटैचमेंट खोल रहा है, नकली जीमेल लॉगिन पेज की प्रस्तुति खतरनाक नहीं लगती है - खासकर जब अटैचमेंट खोलने वाले व्यक्ति को लगता है कि वह 'सुरक्षित और परिचित' पत्राचार देख रहा है। बेशक, एक बार जब नया शिकार नकली Google लॉगिन पृष्ठ में क्रेडेंशियल दर्ज करता है तो अपराधी अपने शिकार के खाते तक पहुंचने के लिए उनका उपयोग करते हैं। हमले की तीव्रता लगभग एक साल से बढ़ने की संभावना है।
आप कैसे सुरक्षित रह सकते हैं?
Gmail घोटाले के बारे में सूचना सुरक्षा उद्योग के अन्य लोगों का क्या कहना है?
जॉन गन, वीपी ऑफ कम्युनिकेशंस, वास्को डेटा सिक्योरिटी
'जैसे-जैसे हमले के तरीके और अधिक परिष्कृत होते जाते हैं - जैसा कि यह हमला दर्शाता है - बचाव को गति रखनी चाहिए या पीड़ितों की संख्या बढ़ती रहेगी। पासवर्ड 30 साल पुरानी तकनीक हैं और वे बिना किसी वास्तविक सुरक्षा के केवल सुरक्षा की झूठी भावना प्रदान करते हैं। 2017 वह वर्ष होना चाहिए जब उद्योग पासवर्ड को बहु-कारक प्रमाणीकरण के साथ बदल दे।'
क्रिश्चियन लीज़, CISO, InfoArmor
'जब उपयोगकर्ता खातों से समझौता करने के लिए उपलब्ध कभी न खत्म होने वाले अभियानों की बात आती है तो धमकी देने वाले अभिनेताओं के पास उनके पक्ष में अत्यधिक रचनात्मकता और समय होता है। सुरक्षा के कई स्तरों को लागू करना - ठीक उसी तरह जैसे आज के उद्यम संगठन आमतौर पर उपयोग करते हैं - हासिल करना मुश्किल नहीं है। इसकी आवश्यकता है: 1) आधुनिक पहचान की चोरी निगरानी कार्यक्रमों का उपयोग करना जो उपयोगकर्ताओं को भंग किए गए क्रेडेंशियल्स की निगरानी करने में सक्षम बनाता है जो संभावित रूप से समझौता किए गए खाते में खतरे वाले अभिनेताओं को पारित करने की पेशकश करते हैं, जिससे वे जल्दी से क्रेडेंशियल्स बदल सकते हैं; और 2) समझौता किए गए खाते में खतरे वाले अभिनेता की पहुंच को रोकने के लिए दो-कारक प्रमाणीकरण को सक्षम करना। यह कदम अतिरिक्त रूप से असुरक्षित पीड़ितों की सुरक्षा करता है जो समझौता किए गए खाते से उत्पन्न हो सकते हैं।'
Balazs Scheidler, सह-संस्थापक और CTO, Balabit
'फ़िशिंग तकनीकों में सुधार हो रहा है और वे इतने विस्तृत हो सकते हैं कि वे तकनीक-प्रेमी लोगों जैसे कि विशेषाधिकार प्राप्त उपयोगकर्ताओं को भी धोखा दे सकते हैं, जिनके पास संवेदनशील कॉर्पोरेट संपत्ति तक पहुंच है। क्या इस तरह के खाते से छेड़छाड़ की जानी चाहिए, हमलावरों को बहुत नुकसान हो सकता है। स्पष्ट रूप से, किसी खाते के लिए क्रेडेंशियल धारण करना यह सुनिश्चित करने के लिए पर्याप्त नहीं हो सकता है कि लॉग-इन उपयोगकर्ता वास्तव में वैध उपयोगकर्ता है। वास्तविक उपयोगकर्ता का व्यवहार एक ऐसी चीज़ है जो सुरक्षा पेशेवरों को एक घुसपैठिए और एक वैध उपयोगकर्ता के आधार रेखा के बीच व्यवहारिक अंतरों को स्वचालित रूप से खोजकर दुरुपयोग किए गए खातों को खोजने में मदद करता है। व्यवहार विश्लेषण उन मामलों की ठीक से पहचान कर सकता है जहां दुर्भावनापूर्ण अभिनेता चुराए गए क्रेडेंशियल्स का उपयोग करते हैं, और परिणामी डेटा उल्लंघनों को रोक सकते हैं।'
बर्ट रैनकिन, सीएमओ, लास्टलाइन
'दुर्भाग्य से, लगातार विकसित हो रहे और फ़िशिंग हमलों में सुधार अब हम सभी के लिए ऑनलाइन जीवन का एक तरीका है। उन उद्यम आईटी प्रशासकों के लिए संगठन की सुरक्षा के मिशन के साथ, कर्मचारियों को शिक्षित करना पर्याप्त नहीं है। पूरे संगठन को अपरिवर्तनीय क्षति पहुँचाने के लिए कभी-कभी दुर्भावनापूर्ण ईमेल पर केवल एक आकस्मिक, अच्छी तरह से क्लिक करने की आवश्यकता हो सकती है। फ़िशिंग हमले कैसे काम करते हैं और एक संदिग्ध ईमेल की पहचान कैसे करें, इसके बारे में कर्मचारी शिक्षा और जागरूकता के अलावा, यह एक अनिवार्य है कि आईटी ऐसे फ़िल्टरिंग तंत्र को जगह दे जो प्रौद्योगिकी का उपयोग करें - लोगों को नहीं - ऐसे दुर्भावनापूर्ण ईमेल को पहले छाँटने, परीक्षण करने और समाप्त करने के लिए। उनके पास कर्मचारियों की आंखों की जांच करने का भी मौका है।'
विंस गिल की ऊंचाई और वजन
जेफ हिल, उत्पाद प्रबंधन के निदेशक, प्रचलित
'आज की परेशान करने वाली वास्तविकता यह है कि एक सुविचारित फ़िशिंग हमले के लिए कोई प्रभावी बचाव नहीं है। ईमेल संचार पर निर्भरता, इसकी विशाल मात्रा, और जीवन की उन्मत्त गति साइबर हमलावरों के शोषण के लिए एक शानदार उपजाऊ वातावरण बनाने के लिए गठबंधन करती है। चुनौती यह है कि अनिवार्य रूप से सफल फ़िशिंग हमले के तुरंत बाद घुसपैठ का पता लगाया जाए, इसे बंद किया जाए, और खराब अभिनेताओं के लिए नेटवर्क तक पहुंच प्राप्त करने पर भी अंतरिम में संवेदनशील जानकारी तक पहुंचना बहुत मुश्किल बना दिया जाए।
