सरल शब्दों में फ़िशिंग क्या है?

फ़िशिंग वह होती है जब कोई हमलावर एक नकली वेबसाइट बनाता है जो एक वास्तविक साइट (आपका बैंक, ईमेल, कार्यस्थल लॉगिन) जैसी दिखती है और आपको वहाँ अपना पासवर्ड टाइप करने के लिए धोखा देती है। जैसे ही आप सबमिट करते हैं, वे आपके क्रेडेंशियल कैप्चर कर लेते हैं और उन्हें असली साइट पर उपयोग करते हैं।

क्या 2FA फ़िशिंग रोक सकता है?

ऐप-आधारित 2FA (TOTP) और SMS कोड आधुनिक फ़िशिंग को नहीं रोकते। हमलावर रियल-टाइम प्रॉक्सी का उपयोग करते हैं जो सेकंडों में आपका कोड असली साइट पर फॉरवर्ड कर देते हैं। केवल FIDO2/WebAuthn हार्डवेयर कीज़ और पासकीज़ फ़िशिंग-प्रूफ हैं, क्योंकि वे क्रिप्टोग्राफिक रूप से असली डोमेन से बंधी होती हैं।

फ़िशिंग ईमेल को कैसे पहचानें?

क्लिक करने से पहले लिंक पर होवर करें और वास्तविक गंतव्य जाँचें। अत्यावश्यकता ("आपका अकाउंट 24 घंटे में बंद हो जाएगा"), सामान्य अभिवादन ("प्रिय ग्राहक"), और डोमेन की मामूली गलत वर्तनी (paypaI.com में बड़े अक्षर I के साथ, छोटे L से नहीं) पर ध्यान दें। संदेह होने पर, लिंक क्लिक करने की बजाय साइट पर मैन्युअली जाएँ।

यदि मुझे लगे कि मैं फ़िशिंग अटैक में फँस गया हूँ तो क्या करूँ?

तुरंत किसी अलग डिवाइस से प्रभावित अकाउंट का पासवर्ड बदलें। अकाउंट सेटिंग्स में सभी सक्रिय सेशन रद्द करें। यदि नहीं किया है तो 2FA सक्षम या पुनः सक्षम करें। अनधिकृत गतिविधि के लिए अकाउंट जाँचें। यदि यह वित्तीय अकाउंट है तो संस्था को सीधे कॉल करें।

क्या पासवर्ड मैनेजर फ़िशिंग के विरुद्ध सुरक्षित हैं?

हाँ, और वे आपके सबसे अच्छे बचावों में से एक हैं। पासवर्ड मैनेजर सटीक डोमेन के आधार पर ऑटोफिल करते हैं। यदि आप paypal.com की बजाय paypaI.com पर पहुँचते हैं, तो आपका मैनेजर ऑटोफिल नहीं करेगा — यह एक बड़ा संकेत है कि कुछ गड़बड़ है।

फ़िशिंग अटैक से खुद को कैसे सुरक्षित करें

फ़िशिंग क्या है?

फ़िशिंग एक सोशल इंजीनियरिंग अटैक है जिसमें कोई हमलावर किसी वैध वेबसाइट की एक विश्वसनीय प्रति — अक्सर हूबहू — बनाता है और पीड़ित को वहाँ क्रेडेंशियल दर्ज करने के लिए धोखा देता है। जैसे ही पीड़ित फॉर्म सबमिट करता है, हमलावर यूज़रनेम, पासवर्ड और कोई भी दूसरा कारक कैप्चर कर लेता है, फिर सेकंडों में असली अकाउंट पर कब्ज़ा कर लेता है।

यह शब्द पीड़ितों को चारे (आमतौर पर ईमेल) से "मछली पकड़ने" की रूपक से आया है। वर्तनी इसलिए बदली गई ताकि यह उजागर हो सके कि हमलावर अक्सर phone नंबरों (SMS फ़िशिंग, या "स्मिशिंग") और पेशेवर दिखने वाले इंफ्रास्ट्रक्चर का उपयोग करते हैं।

फ़िशिंग अभी भी सबसे बड़ा खतरा क्यों है

आज अधिकांश बड़े पैमाने पर होने वाले अकाउंट उल्लंघनों में हैकिंग, पासवर्ड क्रैकिंग, या एन्क्रिप्शन को बायपास करना शामिल नहीं है। इनमें एक इंसान किसी नकली साइट पर पासवर्ड टाइप करता है। फ़िशिंग है:

सस्ती — एक हमलावर एक VPS और एक स्पूफड डोमेन की लागत पर लाखों ईमेल भेज सकता है
फ़िल्टर करना मुश्किल — आधुनिक किट डोमेन बदलते रहते हैं, वैध होस्टिंग का उपयोग करते हैं, और रियल टाइम में फ़िल्टर के अनुकूल हो जाते हैं
प्रभावी — सुरक्षा-जागरूक उपयोगकर्ता भी सुनियोजित लक्षित प्रयासों (स्पियर फ़िशिंग) में फँस जाते हैं
स्केलेबल — एक सफल फ़िश अक्सर पासवर्ड पुनः उपयोग के ज़रिए दर्जनों जुड़ी सेवाओं तक पहुँच देती है

2024 के Verizon Data Breach Investigations Report में पाया गया कि सभी उल्लंघनों में से 36% से अधिक में फ़िशिंग प्रारंभिक एक्सेस वेक्टर था — किसी भी अन्य एकल कारण से अधिक।

आधुनिक फ़िशिंग कैसे काम करती है

फ़िशिंग 2000 के दशक के "नाइजीरियन प्रिंस" ईमेल से बहुत आगे निकल चुकी है। एक आधुनिक फ़िशिंग अटैक में आमतौर पर शामिल होता है:

1. एक विश्वसनीय लुभावना संदेश

आमतौर पर एक ईमेल, टेक्स्ट, या चैट संदेश जो अत्यावश्यकता ("आपका अकाउंट निलंबित कर दिया जाएगा"), अधिकार ("Microsoft सिक्योरिटी टीम"), या जिज्ञासा ("किसी ने आपको एक फ़ोटो में टैग किया") बनाता है। स्पियर-फ़िशिंग इसे LinkedIn, उल्लंघन डंप, या पूर्व पत्राचार से खींचे गए व्यक्तिगत विवरणों के साथ और आगे ले जाती है।

2. हूबहू नकली साइट

हमलावर ऑफ-द-शेल्फ फ़िशिंग किट का उपयोग करते हैं जो लक्षित साइट के HTML, CSS और JavaScript को क्लोन करते हैं। कई किट सेवा के रूप में बेचे जाते हैं (phishing-as-a-service), कार्यशील डैशबोर्ड और ग्राहक सहायता के साथ।

3. 2FA के लिए रियल-टाइम प्रॉक्सी

खतरनाक हिस्सा यह है: आधुनिक किट केवल आपका पासवर्ड कैप्चर नहीं करते। वे एक मैन-इन-द-मिडल प्रॉक्सी के रूप में काम करते हैं जो आपके द्वारा टाइप की गई हर चीज़ — आपके TOTP कोड सहित — को सेकंडों में असली साइट पर फॉरवर्ड कर देते हैं, जिससे अधिकांश 2FA बायपास हो जाता है। इस तकनीक को adversary-in-the-middle (AiTM) कहते हैं और इसका उपयोग Evilginx2 और Modlishka जैसे टूल में किया जाता है।

4. सेशन टोकन चोरी

जैसे ही आप प्रॉक्सी के ज़रिए प्रमाणीकरण करते हैं, हमलावर आपका सेशन कुकी कैप्चर कर लेता है और पासवर्ड बदलने के बाद भी लॉग इन रह सकता है। इसीलिए फ़िशिंग की प्रतिक्रिया में हमेशा केवल पासवर्ड रोटेशन नहीं, बल्कि सक्रिय सेशन रद्द करना भी शामिल होता है।

फ़िशिंग को वास्तव में क्या रोकता है

हार्डवेयर सिक्योरिटी कीज़ (FIDO2 / WebAuthn)

यह एकमात्र बचाव श्रेणी है जो डिज़ाइन से ही फ़िशिंग-प्रूफ है। जब आप FIDO2 की से लॉग इन करते हैं, तो आपकी की क्रिप्टोग्राफिक रूप से प्रमाणीकरण का अनुरोध करने वाली साइट के सटीक डोमेन को सत्यापित करती है। एक नकली साइट — चाहे वह दृश्य रूप से कितनी भी परफेक्ट हो — का एक अलग डोमेन होता है, इसलिए की प्रतिक्रिया देने से इनकार कर देती है। क्रिप्टोग्राफिक हैंडशेक बस पूरा नहीं होता।

Google ने 2017 में अपने सभी 85,000+ कर्मचारियों के लिए YubiKeys अनिवार्य कर दिए और तब से कंपनी अकाउंट पर शून्य सफल फ़िशिंग अटैक की सूचना दी।

पासकीज़

पासकीज़ FIDO2 का उपभोक्ता-अनुकूल विकास हैं। वे उसी डोमेन-बाउंड क्रिप्टोग्राफी का उपयोग करती हैं और iOS, Android, macOS, और Windows में निर्मित हैं। यदि आप जिस साइट का उपयोग करते हैं वह पासकीज़ का समर्थन करती है, तो एक सक्षम करना उस अकाउंट को फ़िशिंग-प्रूफ बना देता है।

पासवर्ड मैनेजर

पासवर्ड मैनेजर आपकी दूसरी रक्षा पंक्ति है क्योंकि यह केवल उस सटीक डोमेन पर क्रेडेंशियल ऑटोफिल करता है जहाँ वे सहेजे गए थे। यदि आप paypal.com की बजाय paypaI.com (बड़े I के साथ) पर पहुँचते हैं, तो आपका मैनेजर चुपचाप फॉर्म भरने से इनकार कर देता है। वह इनकार एक ज़ोरदार चेतावनी है कि कुछ गलत है।

ईमेल और DNS फ़िल्टरिंग

ईमेल प्रदाता स्पूफड सेंडर एड्रेस का पता लगाने के लिए DMARC, SPF, और DKIM का उपयोग करते हैं। अधिकांश आधुनिक प्रदाता स्पष्ट प्रयासों को पकड़ लेते हैं, लेकिन लक्षित अटैक अभी भी निकल जाते हैं। अपने मेल क्लाइंट में "report phishing" बटन सक्षम करें ताकि आप फ़िल्टर को बेहतर बनाने में मदद करें।

ध्यान देने योग्य खतरे के संकेत

जब आपको लॉग इन करने, सत्यापित करने, या तत्काल कार्य करने के लिए कहने वाला संदेश मिले:

अत्यावश्यकता और धमकियाँ — "आपका अकाउंट 24 घंटे में बंद हो जाएगा"
सामान्य अभिवादन — आपके नाम की बजाय "प्रिय ग्राहक"
मिलती-जुलती डोमेन — paypaI.com, app1e.com, secure-microsoft-login.net
अप्रत्याशित अटैचमेंट — विशेष रूप से .zip, .html, या .pdf फ़ाइलें जो देखने के लिए लॉग इन करने को कहें
व्याकरण या फ़ॉर्मेटिंग में त्रुटियाँ — बड़ी कंपनियाँ अपने ईमेल प्रूफरीड करती हैं
लिंक बेमेल — लिंक पर होवर करें और जाँचें कि गंतव्य टेक्स्ट से मेल खाता है या नहीं

यदि कुछ भी संदिग्ध लगे, तो ईमेल बंद कर दें। साइट पर मैन्युअली जाएँ। यदि कोई वास्तविक समस्या है, तो आप इसे अपने सामान्य वर्कफ़्लो के ज़रिए लॉग इन करने पर देखेंगे।

यदि आप फँस गए हों तो क्या करें

तेज़ी से काम करें — गति मायने रखती है क्योंकि हमलावर मिनटों में क्रेडेंशियल का उपयोग शुरू कर देते हैं।

तुरंत पासवर्ड बदलें किसी अलग डिवाइस पर (उदाहरण के लिए अपने फ़ोन पर, यदि आप लैपटॉप पर फँसे थे)
सभी सक्रिय सेशन रद्द करें अकाउंट सेटिंग्स में — यह चोरी किए गए सेशन टोकन का उपयोग कर रहे किसी भी व्यक्ति को बाहर कर देता है
2FA सक्षम करें यदि यह पहले से नहीं था, और यदि संभव हो तो हार्डवेयर की या पासकी का उपयोग करें
अनधिकृत गतिविधि जाँचें — भेजे गए ईमेल, हालिया लॉगिन, बिलिंग बदलाव, नए फ़ॉरवर्डिंग नियम
प्रभावित संस्था को सूचित करें यदि यह वित्तीय या कार्य अकाउंट है
अन्य अकाउंट जाँचें जो समान पासवर्ड का उपयोग करते थे — भले ही आप निश्चित हों कि आप पासवर्ड पुनः उपयोग नहीं करते, फिर भी जाँचें

निष्कर्ष

फ़िशिंग इसलिए फलती-फूलती है क्योंकि यह तकनीक को बायपास कर इंसानों को निशाना बनाती है। सबसे अच्छे बचाव तीन परतों को मिलाते हैं: पासवर्ड मैनेजर (गलत डोमेन पर ऑटोफिल करने से इनकार), फ़िशिंग-रेज़िस्टेंट 2FA (हार्डवेयर कीज़ या पासकीज़ जो असली डोमेन से बंधी हों), और स्वस्थ संदेहशीलता (ईमेल लिंक से कभी लॉग इन न करें)।

अपने सबसे महत्वपूर्ण अकाउंट — अपने ईमेल — पर पहले तीनों सक्षम करें। वहाँ से, आपकी बाकी डिजिटल ज़िंदगी सार्थक रूप से सुरक्षित हो जाती है।