paint-brush
फ़िशिंग अटैक से मेरी माँ को कैसे हैक किया गयाद्वारा@fatman
6,376 रीडिंग
6,376 रीडिंग

फ़िशिंग अटैक से मेरी माँ को कैसे हैक किया गया

द्वारा Scott Eggimann2022/07/07
Read on Terminal Reader
Read this story w/o Javascript

बहुत लंबा; पढ़ने के लिए

मेरी माँ को एक फ़िशिंग ईमेल द्वारा हैक कर लिया गया था जिसमें उनसे अपने Google खाते की पुष्टि करने के लिए कहा गया था। हमलावर ने एक लिंक पर क्लिक करने के लिए सावधानीपूर्वक शब्दों वाला दस्तावेज़ भेजा जो उसे उनके Google.com खाते में लॉग इन करेगा। अगर उसने तुरंत जवाब नहीं दिया, तो उसे उसके खाते से बाहर कर दिया जाएगा। यह विशेष विधि दुर्भावनापूर्ण अभिनेताओं द्वारा उपयोग किए जाने वाले दो सामान्य सामाजिक इंजीनियरिंग उपकरणों का उपयोग करती है: विश्वास और तात्कालिकता। उपयोगकर्ता नाम/पासवर्ड की जानकारी हैकर को भेजी जाती है जो क्रेडेंशियल डेटा एकत्र करता है और हमले के अगले चरण में जाता है।

Companies Mentioned

Mention Thumbnail
Mention Thumbnail
featured image - फ़िशिंग अटैक से मेरी माँ को कैसे हैक किया गया
Scott Eggimann HackerNoon profile picture




जब तक मेरी मां को हैक नहीं किया गया, तब तक मुझे कभी एहसास नहीं हुआ कि ईमेल खाते में उपयोगकर्ता नाम और पासवर्ड प्राप्त करना कितना आसान था। उसके बारे में बताते हुए कि क्या हुआ, मुझे एहसास हुआ कि हमला काफी आसान था ... उसने अपने उपयोगकर्ता नाम और पासवर्ड की पुष्टि करने के लिए एक ईमेल के माध्यम से अपने Google खाते में लॉग इन किया। वह अनुरोध पर सवाल क्यों उठाएगी?


जब मुझे उसका लैपटॉप मिला तो मुझे शक हुआ कि उसकी साख पर हमला बहुत बड़ा था और वह उसके कंप्यूटर में चला गया था। उसने मुझे अनधिकृत अमेज़ॅन खरीदारी के बारे में बताया, जबकि मैंने उसके लैपटॉप पर यादृच्छिक पॉपअप संदेश देखे। मैंने उसका कंप्यूटर बंद कर दिया, उसे फिर कभी लॉग इन न करने के लिए कहा, उसके लिए एक आईपैड खरीदा, और उसके सभी पासवर्ड बदल दिए। फिर हमने दुर्भावनापूर्ण लिंक और यादृच्छिक समर्थन के बारे में लंबी बात की, लोगों ने उसे 'मदद' करने के लिए फोन किया।


मैंने यह समझने की कोशिश की कि वह समझौता किए गए खातों के इस बिंदु तक कैसे पहुंची और पता चला कि यह बहुत आसान है।

ईमेल फ़िशिंग अटैक

फ़िशिंग एक प्रकार का ऑनलाइन घोटाला है जहाँ अपराधी वैध संगठनों को ईमेल, पाठ संदेश या विज्ञापनों के माध्यम से उपयोगकर्ता नाम और पासवर्ड चुराने के लिए प्रतिरूपित करते हैं। यह एक लिंक को शामिल करने से होता है जो आपको आपकी जानकारी भरने के लिए कंपनी की वेबसाइट पर ले जाता प्रतीत होगा - लेकिन वेबसाइट एक चतुर नकली है और आपके द्वारा प्रदान की गई जानकारी सीधे घोटाले के पीछे हैकर्स के पास जाती है।


यह कुछ इस तरह नीचे चला गया:

माँ को कैसे हैक किया गया


  1. हमलावर ने मेरी मां को एक फ़िशिंग ईमेल भेजा था। इस मामले में, एक लिंक पर क्लिक करने के लिए एक सावधानीपूर्वक शब्दों वाला दस्तावेज़ जो उसे अपने Google.com खाते में लॉग इन करेगा। अगर उसने तुरंत जवाब नहीं दिया, तो उसे उसके खाते से बाहर कर दिया जाएगा।
  2. मेरी माँ ने लिंक पर क्लिक किया और एक वेब पेज पर पहुंची जो एक Google.com लॉगिन पेज के समान दिखता है।
  3. उसने नकली Google.com साइट में लॉग इन किया। वह सामान्य Google पृष्ठ देखती है और मानती है कि उसने सफलतापूर्वक Google.com में लॉग इन किया और अपने खाते को लॉक होने से रोका।
  4. उपयोगकर्ता नाम/पासवर्ड की जानकारी हैकर को भेजी जाती है जो क्रेडेंशियल डेटा एकत्र करता है और हमले के अगले चरण में जाता है।



फिशिंग ईमेल

फ़िशिंग अभियान की सफलता के लिए सावधानीपूर्वक तैयार किया गया फ़िशिंग ईमेल जिसमें टाइपो या विचित्र व्याकरण की कमी है, महत्वपूर्ण है। उसे जो ईमेल प्राप्त हुआ वह इस विषय पंक्ति के समान था: अपना Google खाता सत्यापित करें।

फिशिंग ईमेल

फिशिंग ईमेल

यह विशेष विधि दुर्भावनापूर्ण अभिनेताओं द्वारा उपयोग किए जाने वाले दो सामान्य सामाजिक इंजीनियरिंग उपकरणों का उपयोग करती है: विश्वास और तात्कालिकता।


विडंबना यह है कि इस परीक्षण फ़िशिंग ईमेल को स्वयं को भेजने के कुछ दिनों बाद, मैंने इसे अपने इनबॉक्स में बैठे देखा और इसे यह भूलकर खोल दिया कि मैंने इस लेख के लिए यह अलर्ट तैयार किया है। यदि आप विचलित हैं तो मूर्ख बनना आसान है!

कैसे एक हैकर ने मेरी माँ की लॉगिन जानकारी चुरा ली

हम इस पूर्वाभ्यास के लिए काली लिनक्स का उपयोग करने जा रहे हैं, लेकिन क्रेडेंशियल कटाई के लिए कई उपकरण उपलब्ध हैं। यह हमला आश्चर्यजनक रूप से सरल है, मुझे आश्चर्य है कि इसे लागू करना इतना आसान है।

शुरू करना

  1. कमांड लाइन से सोशल इंजीनियरिंग टूलकिट (SET) को रूट के रूप में लॉन्च करें।

# setoolkit

सोशल-इंजीनियर टूलकिट पैठ परीक्षण और एथिकल हैकिंग के लिए Trustedsec.com द्वारा प्रदान किए गए टूल का एक सेट है।

  1. मुख्य मेनू से, विकल्प 1 , सोशल इंजीनियरिंग अटैक चुनें।


सामाजिक अभियंता टूलकिट मुख्य मेनू


सोशल-इंजीनियरिंग अटैक्स मेनू से विकल्प 2 , वेबसाइट अटैक वेक्टर चुनें।


सोशल-इंजीनियरिंग अटैक सबमेनू


  1. सोशल-इंजीनियरिंग अटैक सबमेनू से, विकल्प 2, वेबसाइट अटैक वेक्टर चुनें।


वेबसाइट हमला वेक्टर मेनू


वेबसाइट अटैक वेक्टर्स मेन्यू से, विकल्प 3 , क्रेडेंशियल हार्वेस्टर अटैक मेथड चुनें। बिल्ट-इन टेम्प्लेट का उपयोग करते हुए, यह विकल्प हमें Google, Yahoo, Twitter और Facebook जैसी लोकप्रिय वेबसाइटों का उपयोग करने की अनुमति देता है।


वेबसाइट हमला वेक्टर मेनू


क्रेडेंशियल हार्वेस्टर अटैक विधि के लिए, विकल्प 1 चुनें, वेब टेम्प्लेट


क्रेडेंशियल हार्वेस्टर अटैक मेथड मेनू


क्रेडेंशियल हार्वेस्टर संग्रह स्थल का निर्माण शुरू करता है। यदि आप अपनी जानकारी एकत्र करने के लिए उसी मशीन का उपयोग कर रहे हैं, तो हार्वेस्टर/टैबनैपिंग [192.168.1.183]: चयन में POST बैक के लिए डिफ़ॉल्ट IP पते का उपयोग करें। इस पते को अपनी मशीन में बदलें।


हार्वेस्टर/टैबनैपिंग के लिए आईपी पता


वेब टेम्प्लेट की सूची से, विकल्प 2 चुनें। गूगल


वेब टेम्प्लेट मेनू

वेब टेम्प्लेट मेनू


सामाजिक अभियंता टूलकिट - क्रेडेंशियल हार्वेस्टर अटैक google.com की एक प्रति को क्लोन करके एक अस्थायी वेबसाइट बनाता है। यह आपके द्वारा निर्दिष्ट पते पर एक वेबसर्वर शुरू करेगा और पोर्ट 80 पर एक श्रोता शुरू करेगा। इस पोर्ट के किसी भी कनेक्शन को कंसोल में लॉग किया जाता है।


क्रेडेंशियल हार्वेस्टर कंसोल

क्रेडेंशियल हार्वेस्टर कंसोल

आप अपने ब्राउज़र को हार्वेस्टर/टैबनैपिंग अनुभाग में दिए गए आईपी पते पर इंगित करके या अपने सावधानीपूर्वक तैयार किए गए फ़िशिंग ईमेल में इस लिंक को एम्बेड करके इस शोषण का परीक्षण कर सकते हैं। http://192.168.1.183


शोषण पूरा हो गया है। केवल हैकर को किसी के द्वारा पृष्ठ लोड करने की प्रतीक्षा करने की आवश्यकता है।

आकस्मिक उपयोगकर्ता वेब ब्राउज़र के स्थान बार में लाल रंग में हाइलाइट किए गए अपरंपरागत URL और नॉट सिक्योर लॉक को नोटिस नहीं करेंगे।

सफल क्रेडेंशियल कैप्चर

इस बीच, हमलावर निम्नलिखित संदेश की प्रतीक्षा करता है।

नकली Google खाता लॉगिन पृष्ठ को पूरा करना क्रेडेंशियल्स को कैप्चर करता है और उन्हें हमलावर के कंप्यूटर के कंसोल पर भेजता है। हमारे उदाहरण में, एक संभावित उपयोगकर्ता नाम [email protected] है जबकि उसका पासवर्ड Ilikecats प्रतीत होता है।

थोड़ा सा विश्वास और एक विश्वसनीय कहानी कुछ क्रेडेंशियल्स को काटने के लिए आवश्यक है। इस हमले को कई हज़ार ईमेल पतों के विरुद्ध शुरू करने की कल्पना करें?

माँ की रक्षा कैसे करें

इस प्रकार के हमले को रोकने में कोई नई बात नहीं है। रोज़मर्रा की नियमित सुरक्षा प्रथाएँ लागू होती हैं: किसी ऐसे व्यक्ति के लिंक पर क्लिक न करें जिस पर आपको भरोसा न हो। यदि आपको लिंक पर क्लिक करने की आवश्यकता महसूस होती है, तो पुष्टि करें कि URL उसी विश्वसनीय स्रोत से है, कोई टाइपो नहीं हैं, और यह कि यह किसी IP पते से नहीं है।


वह अपने नए iPad से प्यार करती है।


यहाँ भी प्रकाशित