आधुनिक फ़िशिंग कैसे काम करती है?

फ़िशिंग एक लंबे समय से चली आ रही सोशल इंजीनियरिंग तकनीक है जिसका उपयोग साइबर अपराधियों द्वारा वित्तीय लाभ के लिए लोगों को संवेदनशील जानकारी (जैसे, क्रेडिट कार्ड विवरण, लॉगिन क्रेडेंशियल, फोन नंबर, पते, आदि) देने के लिए किया जाता है। पीड़ित को यह भी पता नहीं है कि उनकी जानकारी से समझौता किया गया है, बशर्ते कि कोई सहमति या अनुमोदन प्रदान नहीं किया गया हो। एंटी-फ़िशिंग वर्किंग ग्रुप (APWG) की रिपोर्ट के अनुसार, 2022 की चौथी तिमाही में, दुनिया भर में फ़िशिंग हमलों की संख्या ने 4.7 मिलियन से अधिक हमलों का रिकॉर्ड बनाया। इसका मतलब है कि 2019 के बाद से प्रति वर्ष 150% से अधिक की वृद्धि दर हुई है, जिसमें वित्तीय क्षेत्र सबसे अधिक लक्षित है।

हमलावर इन इलेक्ट्रॉनिक माध्यमों का उपयोग प्रेरक पाठ और छवियों को वितरित करने के लिए करते हैं ताकि पीड़ितों को संचार की वैधता के बारे में आश्वस्त करके उनका विश्वास अर्जित किया जा सके। इस प्रकार का घोटाला कई रूपों में आता है, जिनमें टेलीफोन फ़िशिंग, स्मिशिंग (एसएमएस फ़िशिंग), फ़िशिंग ईमेल और फ़िशिंग वेबसाइट शामिल हैं।

संभावित पीड़ितों से संपर्क करने का एक सामान्य तरीका ईमेल के माध्यम से वैध दिखने वाले फ़िशिंग लिंक (यूआरएल) भेजना है जो दुर्भावनापूर्ण वेबसाइटों तक ले जाते हैं। यहां तक कि फेसबुक, व्हाट्सएप और इंस्टाग्राम जैसी सोशल नेटवर्किंग साइटों और ऐप्स पर भेजे गए संदेशों में फ़िशिंग लिंक भी हो सकते हैं, साथ ही उन पर क्लिक करने का कारण भी हो सकता है - जबकि यह दावा किया जाता है कि यह उपयोगकर्ता को उनके द्वारा पहचाने जाने वाले किसी चीज़ के आधिकारिक पेज पर रीडायरेक्ट कर देगा। इसके अलावा, खोज इंजन परिणामों के हिस्से के रूप में सौम्य लिंक के बीच दुर्भावनापूर्ण लिंक ढूंढना भी आम है।

यह ध्यान रखना महत्वपूर्ण है कि दुर्भावनापूर्ण लिंक उस वास्तविक यूआरएल के समान हो सकते हैं जिसे हमलावर प्रतिरूपित करने का प्रयास कर रहे हैं। उन फ़िशिंग यूआरएल का एक सामान्य उदाहरण www.faceb00k.com जैसा कुछ होगा - वास्तविक www.facebook.com का छद्म संस्करण। यूआरएल के बीच बहुत समान उपस्थिति एक और सुरक्षा अंतर लाती है जिसका फायदा हमलावर उठा सकते हैं क्योंकि जब उपयोगकर्ता अपने इंटरनेट ब्राउज़र में यूआरएल पता दर्ज करते हैं तो वे अक्षरों को गलत टाइप कर सकते हैं। ये लगभग समान URL किसी फ़िशिंग वेबसाइट द्वारा लिए जा सकते हैं। जंगली में, हम फ़िशिंग यूआरएल के उदाहरण पा सकते हैं जो वास्तविक से पूरी तरह से अलग दिखते हैं, और वे Google यूआरएल शॉर्टनर द्वारा उत्पन्न किए गए जैसे बहुत लंबे यूआरएल का छोटा संस्करण प्रतीत होते हैं।

फ़िशिंग वेबसाइटों को पहचानना कठिन हो सकता है। पीड़ितों को निजी जानकारी देने के लिए बरगलाने की आशा में, कई साइटें बिल्कुल वैसी ही दिखती हैं जैसी वे नकल कर रहे हैं। कुछ मामलों में, नकली वेबसाइटें हमलावरों द्वारा खराब तरीके से बनाई जाती हैं, और यह स्पष्ट है कि पृष्ठ विकृत दिखता है। जैसे कि मूल का खराब तरीके से प्रस्तुत किया गया संस्करण या पृष्ठ पर अप्रत्याशित तत्व हैं (पृष्ठ पाद लेख, मेनू या पैनल)। कुछ पाठ्य तत्व भी हो सकते हैं जिनमें बेमेल टाइपोग्राफी और/या भाषा शामिल है।

फिर भी, चूंकि किसी भी वेबपेज का अधिकांश स्रोत कोड एक इंटरनेट ब्राउज़र के माध्यम से पहुंच योग्य है, इसलिए फ़िशिंग वेबपेज बनाना काफी आसान है जो वैध वेबपेजों के समान दिखते हैं, जो एक दृश्य मूल्यांकन या "उपयोगकर्ता अंतर्ज्ञान" के माध्यम से एक दुर्भावनापूर्ण पृष्ठ की पहचान करता है। सटीकता से करना बहुत चुनौतीपूर्ण है।

फ़िशिंग ईमेल आमतौर पर स्पैम के रूप में वर्गीकृत करने में प्रगति के कारण कम सफल होते हैं। हालाँकि, कुछ फ़िशिंग ईमेल और लिंक अभी भी इनबॉक्स में आ जाते हैं। फिर भी, हमलावर दुर्भावनापूर्ण यूआरएल वितरित करने के तरीके में अधिक रचनात्मक होते जा रहे हैं। उदाहरण के लिए, स्कैमर्स उन्हें फोन कॉल के दौरान या बड़ी संख्या में एसएमएस संदेश भेजकर साझा कर सकते हैं - लोगों के विशिष्ट समूहों को प्रभावित करने की तरकीबें। यह लोकप्रिय यूट्यूबर्स के वीडियो में दुर्भावनापूर्ण यूआरएल पोस्ट करने से लेकर प्रमाणीकरण के लिए भ्रामक ऐप्स तक हो सकता है, जो उपयोगकर्ता को एक क्यूआर कोड दिखाता है जिसमें एक फ़िशिंग साइट होती है जिसमें एक क्रेडेंशियल चोरीकर्ता स्थापित होता है। नीचे आप हाल के फ़िशिंग अभियानों के दो उदाहरण पा सकते हैं।

फ़िशिंग हमले का एक प्रमुख तरीका बना हुआ है क्योंकि यह साइबर अपराधियों को बड़े पैमाने पर लोगों को निशाना बनाने की अनुमति देता है। आमतौर पर, वे उन प्रमुख कंपनियों के प्रतिनिधि होने के बहाने फ़िशिंग घोटाले फैलाते हैं जहां लक्षित लक्ष्यों के खाते होते हैं। बैंक, सरकारी संस्थान, ई-दुकानें, ई-मेल सेवा प्रदाता और दूरसंचार कंपनियां फ़िशिंग हमलों के लिए सबसे आकर्षक व्यवसाय हैं - उनके ग्राहकों की उच्च संख्या और इसमें शामिल संवेदनशील डेटा के कारण।

फ़िशिंग साइट कैसी दिखती है?

वैध साइटों के प्रति स्पष्ट असमानताओं के कारण कुछ आधुनिक फ़िशिंग वेबसाइटों को उजागर करना काफी आसान है। आजकल, साइबर अपराधी वेबसाइट निर्माण में विशेषज्ञ ज्ञान की आवश्यकता के बिना, कम समय में फ़िशिंग पेज बनाने के लिए टूलकिट का उपयोग करते हैं। नीचे आप ऐसे हमले का एक उदाहरण पा सकते हैं, जहां दृश्य अंतर से साइट के नकली होने का पता चलता है।

पिछले फेसबुक लॉगिन पेजों में, हम कुछ बदलाव देख सकते हैं जो हमें वेबसाइट की प्रामाणिकता पर संदेह करने के लिए प्रेरित करते हैं, जैसे बड़ा लोगो, टाइपोग्राफिक अंतर, पाद लेख की अनुपस्थिति, थोड़े अलग हरे रंग में "नया खाता बनाएं" बटन स्वर, और दूसरों के बीच में।

फिर भी, बेहद भ्रामक फ़िशिंग साइटें हैं। उन मामलों में, हमलावर उन्हें वास्तविक चीज़ जैसा दिखाने के लिए बहुत प्रयास करते हैं। नीचे दिए गए उदाहरणों में, आप देख सकते हैं कि एक फ़िशिंग साइट अपने प्रामाणिक समकक्ष की तुलना में कितनी समान दिखती है।

ऊपर दिखाए गए लॉगिन पृष्ठों में, हम छोटे विवरण देख सकते हैं जो फ़िशिंग साइट को वास्तविक लॉगिन पृष्ठ से अलग करते हैं। फ़िशिंग संस्करण मूल संस्करण का लगभग डुप्लिकेट है, जहां परिवर्तन बहुत सूक्ष्म और अलग-अलग होते हैं, जानबूझकर पीड़ित द्वारा ध्यान नहीं दिया जाता है, यानी, पाद लेख में एक अलग संरेखण होता है, इसमें गायब तत्व होते हैं, या वे प्रदर्शित नहीं होते हैं सही ढंग से.

पिछले कुछ वर्षों में फ़िशिंग साइटें बहुत विकसित होकर नकली नकली बन गई हैं। कुछ लोग HTTPS का भी उपयोग करते हैं, जिससे उपयोगकर्ताओं को हरा ताला देखने पर सुरक्षा का गलत एहसास होता है।

फ़िशिंग वेबसाइट की छोटी-मोटी खामियाँ किसी वैध पृष्ठ के साथ रखे जाने पर स्पष्ट दिखाई दे सकती हैं, लेकिन अकेले इतनी ध्यान देने योग्य नहीं होती हैं। लेकिन इस बारे में सोचें कि पिछली बार आपने किसी ऐसी सेवा का लॉगिन पृष्ठ कब देखा था जिसका आप अक्सर उपयोग करते हैं। संभावना है, आपको सभी विवरणों को याद करने में कठिनाई होगी, जो कि फ़िशिंग स्कैमर्स अपने पेज डिज़ाइन करते समय उम्मीद कर रहे हैं।

फ़िशिंग के खतरे कैसे फैल रहे हैं?

ऐतिहासिक रूप से, फ़िशिंग वेबसाइटों को फैलाने का सबसे आम तरीका फ़िशिंग ईमेल के माध्यम से रहा है, लेकिन वे भुगतान किए गए विज्ञापनों के माध्यम से भी फैलते हैं जो खोज परिणामों में दिखाई देते हैं। अन्य आक्रमण वाहकों में क्लिकबेट नामक तकनीक शामिल है। साइबर अपराधी आमतौर पर उपयोगकर्ताओं को दुर्भावनापूर्ण लिंक पर क्लिक करने के लिए प्रोत्साहित करने के लिए मुफ्त फोन जैसी कोई चीज़ का वादा करके सोशल मीडिया पर क्लिकबैट का उपयोग करते हैं।

क्या होता है जब कोई फिशर पकड़ लेता है?

लगभग सभी आधुनिक साइबर हमलों की तरह, फ़िशिंग का उपयोग वित्तीय लाभ के लिए किया जाता है। जब उपयोगकर्ता किसी फ़िशिंग साइट पर लॉगिन क्रेडेंशियल छोड़ देते हैं, तो साइबर अपराधी फ़िशिंग के लिए उपयोग की जाने वाली साइट के प्रकार के आधार पर कई अलग-अलग तरीकों से उनका दुरुपयोग कर सकते हैं। कई फ़िशिंग हमले वित्तीय संस्थानों, जैसे कि बैंक या पेपाल जैसी कंपनियों की नकल करते हैं, और साइबर अपराधियों के लिए महत्वपूर्ण वित्तीय पुरस्कार प्राप्त करने का लक्ष्य रखते हैं।

यदि कोई साइबर अपराधी किसी उपयोगकर्ता को यूपीएस या फेडेक्स जैसी शिपिंग वेबसाइट पर अपनी साख देने के लिए बरगलाता है, तो खाते तक पहुंचने से उन्हें लाभ होने की संभावना नहीं है। इसके बजाय, वे ईमेल खाते जैसे अधिक मूल्यवान जानकारी वाले अन्य खातों तक पहुंचने के लिए समान क्रेडेंशियल्स का उपयोग करने का प्रयास कर सकते हैं, यह जानते हुए कि लोग अक्सर कई सेवाओं में एक ही पासवर्ड का उपयोग करते हैं। साइबर अपराधियों के लिए लाभ कमाने का दूसरा तरीका चुराए गए क्रेडेंशियल्स को डार्क वेब पर बेचना होगा, जो इंटरनेट का एक गहरा हिस्सा है, जहां निजी नेटवर्क पहचान की जानकारी का खुलासा किए बिना गुमनाम रूप से व्यापार करते हैं।

यह एक "स्प्रे और प्रार्थना" आक्रमण पद्धति है। वेब पर कई पुरानी वर्डप्रेस साइटों को हैक किया जा सकता है और बहुत कम लागत पर फ़िशिंग अभियानों के लिए उपयोग किया जा सकता है। आम तौर पर, फ़िशिंग किट को तैनात करने की कीमत लगभग $25 है, जो इसे हमलावरों के लिए बहुत किफायती और फिर भी लाभदायक बनाती है। फ़िशिंग का एक और नुकसान - संभावित पीड़ित के लिए - यह है कि हमलों को जीवित रहने के लिए कम समय (टीटीएल) मिलता है, और यूआरएल बार-बार एक अभियान के अंदर मानक पता लगाने के तरीके बदलते हैं, जैसे संदिग्ध यूआरएल की ब्लॉकलिस्ट बनाना, शून्य-दिन के हमलों के खिलाफ अप्रभावी .

अपनी सुरक्षा कैसे करें

एक सफल फ़िशिंग हमले के बीच समय अक्सर भिन्न होता है - जब साइबर अपराधी क्रेडेंशियल्स प्राप्त करते हैं, और जब वे उनका उपयोग करते हैं। जितनी जल्दी हम खतरे को कम करने में सक्षम होंगे, उतने अधिक संभावित पीड़ितों की हम रक्षा कर पाएंगे। एक बार जब किसी उपयोगकर्ता के क्रेडेंशियल चोरी हो जाते हैं, तो वे उन क्रेडेंशियल्स को जल्द से जल्द बदलने के अलावा और कुछ नहीं कर सकते हैं।

2024 में, साइबर सुरक्षा शोधकर्ताओं ने सबूत पाया कि विभिन्न स्पैम फ़िल्टर को बायपास करने के लिए नई तकनीकें भी हैं, यहां तक कि Google पर सबसे अच्छी भी। उदाहरण के लिए, उपयोगकर्ताओं को Google डॉक्स जैसी अन्य Google सेवाओं पर पुनर्निर्देशित करने के लिए अनुलग्नक पीडीएफ फाइलों के रूप में भेजे जाते हैं, जिनमें कोई पाठ नहीं होता है। इसके अलावा, अन्य गैर-मानक फ़िशिंग अनुलग्नकों का उपयोग किया जाता है, जैसे कि कैलेंडर निमंत्रण, जहां फ़िशिंग साइटों से लिंक करने वाले URL भी ईवेंट विवरण में शामिल होते हैं।

नीचे, आपको साइबर हमले के सबसे सफल रूपों में से एक का शिकार होने से बचाने में मदद करने के लिए एक चेकलिस्ट दी गई है:

• सबसे पहले और सबसे महत्वपूर्ण, अपने सभी उपकरणों पर एक एंटीवायरस समाधान स्थापित करें, चाहे पीसी, मोबाइल या मैक। एंटीवायरस सॉफ़्टवेयर एक सुरक्षा जाल के रूप में कार्य करता है, जो उपयोगकर्ताओं को ऑनलाइन सुरक्षित रखता है।
• संदिग्ध ईमेल से आए लिंक पर क्लिक न करें या फ़ाइलें डाउनलोड न करें। उन्हें उत्तर देने से बचें, भले ही वे कथित तौर पर । इसके बजाय, एक अलग चैनल के माध्यम से उन संस्थाओं से संपर्क करें और सुनिश्चित करें कि संदेश वास्तव में उन्हीं से आया है।
• जब भी संभव हो किसी वेबसाइट का यूआरएल सीधे अपने ब्राउज़र में दर्ज करें, ताकि आप नकली संस्करण के बजाय उस साइट पर जा सकें जिस पर आप जाना चाहते हैं।
• केवल हरे HTTPS पैडलॉक पर निर्भर न रहें। हालाँकि यह दर्शाता है कि कनेक्शन एन्क्रिप्टेड है, फिर भी साइट नकली हो सकती है। साइबर अपराधी उपयोगकर्ताओं को और अधिक धोखा देने के लिए अपनी फ़िशिंग साइटों को एन्क्रिप्ट करते हैं, इसलिए यह दोबारा जांचना महत्वपूर्ण है कि आप जिस साइट पर जा रहे हैं वह वास्तविक सौदा है।
• एक इंटरनेट ब्राउज़र के माध्यम से सुरक्षित रूप से वेब सर्फ करें जो फ़िशिंग साइटों को पकड़ने में सक्षम है जो नग्न आंखों के लिए अदृश्य हैं। नॉर्टन सिक्योर ब्राउज़र की तरह, जो कई सुरक्षा परतों में वितरित अत्याधुनिक सुरक्षा सुविधाओं से संचालित है, पर्दे के पीछे चल रहे तकनीकी घटकों से लेकर उपयोगकर्ता को दिखाई जाने वाली दृश्य सामग्री तक यूआरएल की वैधता का आकलन करता है। बड़े पैमाने पर अभियानों में इन खतरों को प्रभावी ढंग से कम करना।

लेखक : जेवियर एल्डाना इउइट, पीएचडी । विज़ुअल फ़िशिंग और स्कैम साइबर-खतरों का पता लगाने के एआई/एमएल शोधकर्ता, जनरल