फिशिंग म्हणजे काय?
फिशिंग हा एक सोशल इंजिनिअरिंग हल्ला आहे ज्यामध्ये एखादा आक्रमणकर्ता एखाद्या वैध वेबसाइटची — बहुधा अगदी हुबेहूब — खात्रीशीर प्रत तयार करतो आणि पीडिताला तिथे माहिती टाकण्यास फसवतो. पीडिताने फॉर्म सबमिट केल्याच्या क्षणी, आक्रमणकर्ता वापरकर्तानाव, पासवर्ड आणि कोणताही द्वितीय घटक कॅप्चर करतो, नंतर काही सेकंदांत खरे खाते ताब्यात घेण्यासाठी त्यांचा वापर करतो.
हा शब्द "fishing" (मासे पकडणे) या रूपकातून आला आहे — आमिष (सामान्यतः ईमेल) वापरून पीडितांना फसवणे. स्पेलिंग बदलण्यात आले कारण आक्रमणकर्ते अनेकदा phone नंबर (SMS फिशिंग, किंवा "smishing") आणि व्यावसायिक दिसणाऱ्या पायाभूत सुविधा वापरतात.
फिशिंग अजूनही #1 धोका का आहे
आजच्या बहुतांश मोठ्या प्रमाणावरील खाते उल्लंघनांमध्ये हॅकिंग, पासवर्ड क्रॅकिंग किंवा एन्क्रिप्शन बायपास करणे समाविष्ट नसते. त्यामध्ये एखादी व्यक्ती बनावट साइटवर पासवर्ड टाइप करणे समाविष्ट असते. फिशिंग असे आहे:
- स्वस्त — एखादा आक्रमणकर्ता VPS आणि बनावट डोमेनच्या खर्चात लाखो ईमेल पाठवू शकतो
- फिल्टर करणे कठीण — आधुनिक किट्स डोमेन बदलतात, वैध होस्टिंग वापरतात आणि रिअल टाइममध्ये फिल्टर्सशी जुळवून घेतात
- प्रभावी — सुरक्षिततेबद्दल जागरूक वापरकर्तेही सुनियोजित लक्ष्यित प्रयत्नांना (स्पियर फिशिंग) बळी पडतात
- स्केलेबल — एकाच यशस्वी फिशने अनेकदा पासवर्ड पुनर्वापरामुळे डझनभर जोडलेल्या सेवांचा प्रवेश मिळतो
2024 च्या Verizon Data Breach Investigations Report मध्ये आढळले की सर्व उल्लंघनांपैकी 36% पेक्षा जास्तमध्ये फिशिंग हा प्रारंभिक प्रवेश वेक्टर होता — इतर कोणत्याही एकाच कारणापेक्षा जास्त.
आधुनिक फिशिंग कसे कार्य करते
फिशिंग 2000 च्या दशकातील "नायजेरियन प्रिन्स" ईमेलपेक्षा खूप पुढे गेले आहे. एका आधुनिक फिशिंग हल्ल्यात सामान्यतः हे समाविष्ट असते:
1. एक खात्रीशीर आमिष
सामान्यतः एक ईमेल, मजकूर संदेश किंवा चॅट संदेश जो तातडी ("तुमचे खाते निलंबित केले जाईल"), अधिकार ("Microsoft सुरक्षा संघ"), किंवा उत्सुकता ("कोणाने तुम्हाला फोटोमध्ये टॅग केले") निर्माण करतो. स्पियर-फिशिंग LinkedIn, ब्रीच डंप किंवा मागील पत्रव्यवहारातून काढलेल्या वैयक्तिक तपशीलांसह हे आणखी पुढे नेते.
2. एक हुबेहूब बनावट साइट
आक्रमणकर्ते तयार फिशिंग किट्स वापरतात जे लक्ष्य साइटचे HTML, CSS आणि JavaScript क्लोन करतात. अनेक किट्स सेवा म्हणून विकल्या जातात (phishing-as-a-service), कार्यरत डॅशबोर्ड आणि ग्राहक समर्थनासह.
3. 2FA साठी रिअल-टाइम प्रॉक्सी
धोकादायक भाग: आधुनिक किट्स केवळ तुमचा पासवर्ड कॅप्चर करत नाहीत. ते मॅन-इन-द-मिडल प्रॉक्सी म्हणून कार्य करतात जे तुम्ही टाइप केलेले सर्वकाही — तुमच्या TOTP कोडसह — काही सेकंदांत खऱ्या साइटवर पाठवतात, बहुतांश 2FA बायपास करतात. या तंत्राला adversary-in-the-middle (AiTM) म्हणतात आणि ते Evilginx2 आणि Modlishka सारख्या साधनांमध्ये वापरले जाते.
4. सत्र टोकन चोरी
एकदा तुम्ही प्रॉक्सीद्वारे प्रमाणीकरण केल्यावर, आक्रमणकर्ता तुमची सत्र कुकी कॅप्चर करतो आणि तुम्ही पासवर्ड बदलल्यानंतरही लॉग इन राहण्यासाठी त्याचा वापर करू शकतो. म्हणूनच फिशिंगला प्रतिसाद देताना केवळ पासवर्ड बदलणे नाही तर सक्रिय सत्रे रद्द करणे नेहमीच समाविष्ट असते.
फिशिंग खरोखरच काय थांबवते
हार्डवेअर सिक्युरिटी की (FIDO2 / WebAuthn)
हीच एकमेव संरक्षण श्रेणी आहे जी डिझाइनद्वारेच फिशिंग-प्रूफ आहे. जेव्हा तुम्ही FIDO2 की ने लॉग इन करता, तेव्हा तुमची की प्रमाणीकरण विनंती करणाऱ्या साइटचे अचूक डोमेन क्रिप्टोग्राफिकदृष्ट्या सत्यापित करते. एक बनावट साइट — दृश्यदृष्ट्या कितीही परिपूर्ण असली तरी — वेगळ्या डोमेनवर असते, त्यामुळे की प्रतिसाद देण्यास नकार देते. क्रिप्टोग्राफिक हँडशेक पूर्ण होत नाही.
Google ने 2017 मध्ये आपल्या सर्व 85,000+ कर्मचाऱ्यांसाठी YubiKey अनिवार्य केले आणि तेव्हापासून कंपनी खात्यांवर एकही यशस्वी फिशिंग हल्ला नसल्याचे नोंदवले.
पासकी
पासकी या FIDO2 च्या ग्राहकांसाठी अनुकूल उत्क्रांती आहेत. त्या समान डोमेन-बाउंड क्रिप्टोग्राफी वापरतात आणि iOS, Android, macOS आणि Windows मध्ये अंगभूत आहेत. तुम्ही वापरत असलेली साइट पासकी समर्थित करत असल्यास, एक सक्षम केल्याने ते खाते फिशिंग-प्रूफ होते.
पासवर्ड मॅनेजर
पासवर्ड मॅनेजर हे तुमचे दुसरे संरक्षण स्तर आहे कारण तो केवळ अचूक डोमेनवर माहिती सेव्ह केली असेल तिथेच ऑटोफिल करतो. जर तुम्ही paypal.com ऐवजी paypaI.com (मोठे I) वर पोहोचलात, तर तुमचा मॅनेजर शांतपणे फॉर्म भरण्यास नकार देतो. तो नकार हे स्पष्ट चेतावणी आहे की काहीतरी चुकीचे आहे.
ईमेल आणि DNS फिल्टरिंग
ईमेल प्रदाते बनावट प्रेषक पत्ते शोधण्यासाठी DMARC, SPF आणि DKIM वापरतात. बहुतांश आधुनिक प्रदाते स्पष्ट प्रयत्न पकडतात, परंतु लक्ष्यित हल्ले अजूनही निसटतात. तुमच्या मेल क्लायंटमधील "report phishing" बटणे सक्षम करा जेणेकरून तुम्ही फिल्टर सुधारण्यास मदत कराल.
लक्ष ठेवण्यासाठी धोक्याची चिन्हे
जेव्हा तुम्हाला लॉग इन करण्यास, सत्यापित करण्यास किंवा तातडीने कार्य करण्यास सांगणारा संदेश येतो:
- तातडी आणि धमक्या — "तुमचे खाते 24 तासांत बंद होईल"
- सामान्य अभिवादन — तुमच्या नावाऐवजी "प्रिय ग्राहक"
- सारखे दिसणारे डोमेन —
paypaI.com,app1e.com,secure-microsoft-login.net - अनपेक्षित संलग्नके — विशेषतः
.zip,.html, किंवा.pdfफायली जे पाहण्यासाठी लॉग इन करण्यास सांगतात - व्याकरण किंवा स्वरूपन त्रुटी — मोठ्या कंपन्या त्यांचे ईमेल तपासतात
- लिंक जुळत नाही — लिंकवर माउस फिरवा आणि गंतव्यस्थान मजकुराशी जुळते का ते तपासा
काहीही चुकीचे वाटल्यास, ईमेल बंद करा. साइटवर थेट जा. जर खरोखरच कोणती समस्या असेल, तर तुम्ही नेहमीच्या प्रक्रियेद्वारे लॉग इन केल्यावर ती दिसेल.
एखाद्याला बळी पडलात तर काय करावे
त्वरित कार्य करा — वेग महत्त्वाचा आहे कारण आक्रमणकर्ते काही मिनिटांत माहिती वापरण्यास सुरुवात करतात.
- लगेच पासवर्ड बदला वेगळ्या डिव्हाइसवरून (उदाहरणार्थ, तुमचा लॅपटॉपवर फसवलात तर फोनवरून)
- सर्व सक्रिय सत्रे रद्द करा खाते सेटिंग्जमध्ये — हे चोरलेले सत्र टोकन सध्या वापरणाऱ्या कोणालाही बाहेर काढते
- 2FA सक्षम करा जर ते आधीच चालू नसेल, आणि शक्य असल्यास हार्डवेअर की किंवा पासकी वापरा
- अनधिकृत क्रियाकलाप तपासा — पाठवलेले ईमेल, अलीकडील लॉगिन, बिलिंग बदल, नवीन फॉरवर्डिंग नियम
- प्रभावित संस्थेला सूचित करा जर ते आर्थिक किंवा कामाचे खाते असेल
- इतर खाती तपासा जी समान पासवर्ड वापरत होती — जरी तुम्हाला खात्री असली की तुम्ही पासवर्ड पुन्हा वापरत नाही, तरी तपासा
सारांश
फिशिंग भरभराट करते कारण ते तंत्रज्ञान बायपास करते आणि माणसांना लक्ष्य करते. सर्वोत्तम संरक्षण तीन स्तरांचे मिश्रण करते: पासवर्ड मॅनेजर (चुकीच्या डोमेनवर ऑटोफिल करण्यास नकार देतात), फिशिंग-प्रतिरोधक 2FA (हार्डवेअर की किंवा पासकी जे खऱ्या डोमेनशी बांधल्या जातात), आणि सावध वृत्ती (ईमेल लिंकवरून कधीही लॉग इन करू नका).
तिन्ही तुमच्या सर्वात महत्त्वाच्या खात्यावर — तुमचा ईमेल — प्रथम सक्षम करा. तिथून, तुमचे उर्वरित डिजिटल जीवन लक्षणीयरीत्या अधिक सुरक्षित होते.