सरल शब्दमा फिसिङ भनेको के हो?

फिसिङ भनेको जब कुनै आक्रमणकारीले वास्तविक वेबसाइट जस्तै देखिने नक्कली वेबसाइट (तपाईंको बैंक, इमेल, कार्यस्थल लगइन) बनाउँछ र तपाईंलाई त्यहाँ पासवर्ड टाइप गर्न धोका दिन्छ। तपाईंले फारम पेश गर्ने बित्तिकै, तिनीहरूले तपाईंको प्रमाणपत्र कब्जा गर्छन् र वास्तविक साइटमा प्रयोग गर्छन्।

के 2FA ले फिसिङ रोक्न सक्छ?

एप-आधारित 2FA (TOTP) र SMS कोडहरूले आधुनिक फिसिङ रोक्दैनन्। आक्रमणकारीहरूले वास्तविक-समय प्रोक्सीहरू प्रयोग गर्छन् जसले तपाईंको कोड केही सेकेन्डभित्र वास्तविक साइटमा पठाउँछ। केवल FIDO2/WebAuthn हार्डवेयर चाबीहरू र पासकीहरू मात्र फिसिङ-प्रुफ छन्, किनकि तिनीहरू क्रिप्टोग्राफिक रूपमा वास्तविक डोमेनसँग बाँधिएका छन्।

फिसिङ इमेल कसरी पहिचान गर्ने?

क्लिक गर्नुअघि लिंकहरूमा होभर गरेर वास्तविक गन्तव्य जाँच गर्नुहोस्। अत्यावश्यकता ("तपाईंको खाता २४ घण्टामा बन्द हुनेछ"), सामान्य अभिवादन ("प्रिय ग्राहक"), र डोमेनको सानो गलत हिज्जे (paypaI.com मा सानो L को सट्टा ठूलो I) मा ध्यान दिनुहोस्। शंका लागेमा लिंक क्लिक गर्नुको सट्टा साइटमा म्यानुअल रूपमा जानुहोस्।

मलाई फिसिङ आक्रमणको शिकार भएको लागेमा के गर्ने?

तुरुन्तै अर्को डिभाइसबाट प्रभावित खाताको पासवर्ड परिवर्तन गर्नुहोस्। खाता सेटिङमा सबै सक्रिय सेसनहरू रद्द गर्नुहोस्। 2FA सक्षम वा पुनः सक्षम गर्नुहोस् यदि गर्नुभएको छैन भने। अनाधिकृत गतिविधिको लागि खाता जाँच गर्नुहोस्। यदि यो वित्तीय खाता हो भने, संस्थालाई सिधै फोन गर्नुहोस्।

के पासवर्ड प्रबन्धकहरू फिसिङ विरुद्ध सुरक्षित छन्?

हो, र तिनीहरू तपाईंको सर्वोत्तम रक्षाहरूमध्ये एक हुन्। पासवर्ड प्रबन्धकहरूले सटीक डोमेनको आधारमा अटोफिल गर्छन्। यदि तपाईं paypal.com को सट्टा paypaI.com मा पुग्नुभयो भने, तपाईंको प्रबन्धकले अटोफिल गर्दैन — यो केही गलत छ भन्ने ठूलो चेतावनी संकेत हो।

फिसिङ आक्रमणबाट आफूलाई कसरी सुरक्षित राख्ने

फिसिङ भनेको के हो?

फिसिङ एक सामाजिक इन्जिनियरिङ आक्रमण हो जहाँ कुनै आक्रमणकारीले वैध वेबसाइटको विश्वासजनक प्रतिलिपि — प्रायः पिक्सेल-परफेक्ट — बनाउँछ र पीडितलाई त्यहाँ प्रमाणपत्र प्रविष्ट गर्न धोका दिन्छ। पीडितले फारम पेश गर्ने बित्तिकै, आक्रमणकारीले प्रयोगकर्ता नाम, पासवर्ड, र कुनै पनि दोस्रो कारक कब्जा गर्छ, त्यसपछि केही सेकेन्डभित्र वास्तविक खाता乗अपहरण गर्न प्रयोग गर्छ।

यो शब्द "माछा मार्ने" (fishing) रूपकबाट आएको हो जहाँ पीडितहरूलाई चारा (सामान्यतया इमेल) ले फसाइन्छ। हिज्जे परिवर्तन यसलाई जोड दिन गरिएको थियो कि आक्रमणकारीहरू प्रायः phोन नम्बरहरू (SMS फिसिङ, वा "स्मिसिङ") र व्यावसायिक देखिने पूर्वाधार प्रयोग गर्छन्।

किन फिसिङ अझै #1 खतरा हो

आज धेरैजसो ठूला खाता उल्लंघनहरूमा ह्याकिङ, पासवर्ड क्र्याकिङ, वा इन्क्रिप्सन बाइपास समावेश छैन। यिनीहरूमा मानिसले नक्कली साइटमा पासवर्ड टाइप गर्ने समावेश छ। फिसिङ:

सस्तो छ — एक आक्रमणकारीले VPS र स्पुफ गरिएको डोमेनको लागतमा लाखौं इमेल पठाउन सक्छ
फिल्टर गर्न गाह्रो छ — आधुनिक किटहरूले डोमेनहरू घुमाउँछन्, वैध होस्टिङ प्रयोग गर्छन्, र वास्तविक समयमा फिल्टरहरूमा अनुकूलन गर्छन्
प्रभावकारी छ — सुरक्षा-सचेत प्रयोगकर्ताहरू पनि राम्रोसँग बनाइएका लक्षित प्रयासहरूमा (स्पियर फिसिङ) पर्छन्
स्केलयोग्य छ — एउटा सफल फिसिङले प्रायः पासवर्ड पुनः प्रयोगको माध्यमबाट दर्जनौं जडित सेवाहरूमा पहुँच दिन्छ

२०२४ Verizon डेटा उल्लंघन अनुसन्धान प्रतिवेदनले पाएको छ कि फिसिङ ३६% भन्दा बढी सबै उल्लंघनहरूमा प्रारम्भिक पहुँच भेक्टर थियो — अन्य कुनै एकल कारणभन्दा बढी।

आधुनिक फिसिङ कसरी काम गर्छ

फिसिङ २०००को दशकको "नाइजेरियन राजकुमार" इमेलहरूभन्दा धेरै अगाडि विकसित भइसकेको छ। एक आधुनिक फिसिङ आक्रमणमा सामान्यतया समावेश हुन्छ:

१. एक विश्वासजनक प्रलोभन

सामान्यतया एउटा इमेल, टेक्स्ट, वा च्याट सन्देश जसले अत्यावश्यकता ("तपाईंको खाता निलम्बन हुनेछ"), अधिकार ("Microsoft सुरक्षा टोली"), वा जिज्ञासा ("कसैले तपाईंलाई फोटोमा ट्याग गर्यो") सिर्जना गर्छ। स्पियर-फिसिङले LinkedIn, उल्लंघन डम्पहरू, वा पूर्व पत्राचारबाट निकालिएका व्यक्तिगत विवरणहरूसहित यो अझ अगाडि लैजान्छ।

२. पिक्सेल-परफेक्ट नक्कली साइट

आक्रमणकारीहरू तयार फिसिङ किटहरू प्रयोग गर्छन् जसले लक्ष्य साइटको HTML, CSS, र JavaScript क्लोन गर्छन्। धेरै किटहरू सेवाको रूपमा (phishing-as-a-service) बेचिन्छन्, काम गर्ने ड्यासबोर्ड र ग्राहक सहायतासहित।

३. 2FA को लागि वास्तविक-समय प्रोक्सी

खतरनाक भाग: आधुनिक किटहरूले केवल तपाईंको पासवर्ड कब्जा गर्दैनन्। तिनीहरूले म्यान-इन-द-मिडल प्रोक्सी को रूपमा कार्य गर्छन् जसले तपाईंले टाइप गर्ने सबै कुरा — तपाईंको TOTP कोड सहित — केही सेकेन्डभित्र वास्तविक साइटमा फर्वार्ड गर्छ, अधिकांश 2FA बाइपास गर्दै। यो प्रविधिलाई adversary-in-the-middle (AiTM) भनिन्छ र Evilginx2 र Modlishka जस्ता उपकरणहरूमा प्रयोग गरिन्छ।

४. सेसन टोकन चोरी

एकपटक तपाईंले प्रोक्सी मार्फत प्रमाणीकरण गरेपछि, आक्रमणकारीले तपाईंको सेसन कुकी कब्जा गर्छ र तपाईंले पासवर्ड परिवर्तन गरेपछि पनि लगइन रहन प्रयोग गर्न सक्छ। यसैकारण फिसिङ प्रतिक्रियामा सधैं सक्रिय सेसनहरू रद्द गर्नु समावेश हुन्छ, केवल पासवर्ड रोटेसन मात्र होइन।

के कुराले वास्तवमा फिसिङ रोक्छ

हार्डवेयर सुरक्षा चाबीहरू (FIDO2 / WebAuthn)

यो डिजाइनले नै फिसिङ-प्रुफ हुने रक्षाको एकमात्र श्रेणी हो। जब तपाईं FIDO2 चाबीसँग लगइन गर्नुहुन्छ, तपाईंको चाबीले प्रमाणीकरण अनुरोध गरिरहेको साइटको सटीक डोमेन क्रिप्टोग्राफिक रूपमा प्रमाणित गर्छ। नक्कली साइट — चाहे कति पनि दृश्यात्मक रूपमा सही होस् — फरक डोमेन राख्छ, त्यसैले चाबीले प्रतिक्रिया दिन अस्वीकार गर्छ। क्रिप्टोग्राफिक ह्यान्डसेक सिधै पूर्ण हुँदैन।

Google ले प्रसिद्ध रूपमा २०१७ मा आफ्ना सबै ८५,०००+ कर्मचारीहरूका लागि YubiKeys अनिवार्य गर्यो र त्यसयता कम्पनी खाताहरूमा शून्य सफल फिसिङ आक्रमणहरू रिपोर्ट गर्यो।

पासकीहरू

पासकीहरू FIDO2 को उपभोक्ता-अनुकूल विकास हुन्। तिनीहरू उही डोमेन-बाध्य क्रिप्टोग्राफी प्रयोग गर्छन् र iOS, Android, macOS, र Windows मा निर्मित छन्। यदि तपाईंले प्रयोग गर्ने साइटले पासकीहरू समर्थन गर्छ भने, एउटा सक्षम गर्दा त्यो खाता फिसिङ-प्रुफ बन्छ।

पासवर्ड प्रबन्धकहरू

पासवर्ड प्रबन्धक तपाईंको दोस्रो सुरक्षा रेखा हो किनकि यसले केवल सटीक डोमेन मा प्रमाणपत्र अटोफिल गर्छ जहाँ तिनीहरू सुरक्षित गरिएका थिए। यदि तपाईं paypal.com को सट्टा paypaI.com (ठूलो I) मा पुग्नुभयो भने, तपाईंको प्रबन्धकले मौनतापूर्वक फारम भर्न अस्वीकार गर्छ। त्यो अस्वीकार केही गलत छ भन्ने ठूलो चेतावनी हो।

इमेल र DNS फिल्टरिङ

इमेल प्रदायकहरूले स्पुफ गरिएका प्रेषक ठेगानाहरू पत्ता लगाउन DMARC, SPF, र DKIM प्रयोग गर्छन्। अधिकांश आधुनिक प्रदायकहरूले स्पष्ट प्रयासहरू समात्छन्, तर लक्षित आक्रमणहरू अझै पनि छुट्छन्। आफ्नो मेल क्लाइन्टमा "फिसिङ रिपोर्ट गर्नुहोस्" बटनहरू सक्षम गर्नुहोस् ताकि तपाईंले फिल्टरहरू सुधार गर्न मद्दत गर्नुहोस्।

ध्यान दिनुपर्ने चेतावनी संकेतहरू

जब तपाईंलाई लगइन गर्न, प्रमाणित गर्न, वा अत्यावश्यक रूपमा कार्य गर्न भन्ने सन्देश आउँछ:

अत्यावश्यकता र धम्कीहरू — "तपाईंको खाता २४ घण्टामा बन्द हुनेछ"
सामान्य अभिवादनहरू — तपाईंको नामको सट्टा "प्रिय ग्राहक"
मिल्दोजुल्दो डोमेनहरू — paypaI.com, app1e.com, secure-microsoft-login.net
अप्रत्याशित संलग्नकहरू — विशेष गरी .zip, .html, वा .pdf फाइलहरू जसले हेर्नको लागि लगइन गर्न भन्छन्
व्याकरण वा ढाँचा त्रुटिहरू — ठूला कम्पनीहरूले आफ्ना इमेलहरू प्रुफरिड गर्छन्
लिंक बेमेल — लिंकमा होभर गरेर गन्तव्य पाठसँग मेल खाए नखाएको जाँच गर्नुहोस्

यदि केही गलत लाग्यो भने, इमेल बन्द गर्नुहोस्। साइटमा म्यानुअल रूपमा जानुहोस्। यदि कुनै वास्तविक समस्या छ भने, तपाईंले आफ्नो सामान्य कार्यप्रवाह मार्फत लगइन गर्दा देख्नुहुनेछ।

यदि तपाईं धोकामा पर्नुभयो भने के गर्ने

छिट्टो कार्य गर्नुहोस् — गति महत्त्वपूर्ण छ किनकि आक्रमणकारीहरू मिनेटभित्र प्रमाणपत्रहरू प्रयोग गर्न थाल्छन्।

तुरुन्तै पासवर्ड परिवर्तन गर्नुहोस् अर्को डिभाइसमा (उदाहरणको लागि, यदि तपाईं ल्यापटपमा धोकामा पर्नुभयो भने आफ्नो फोनमा)
सबै सक्रिय सेसनहरू रद्द गर्नुहोस् खाता सेटिङमा — यसले चोरिएका सेसन टोकनहरू प्रयोग गरेर हाल लगइन भएका जो कोहीलाई बाहिर निकाल्छ
2FA सक्षम गर्नुहोस् यदि पहिले सक्षम गर्नुभएको थिएन भने, र सम्भव भएमा हार्डवेयर चाबी वा पासकी प्रयोग गर्नुहोस्
अनाधिकृत गतिविधि जाँच गर्नुहोस् — पठाइएका इमेलहरू, हालैका लगइनहरू, बिलिङ परिवर्तनहरू, नयाँ फर्वार्डिङ नियमहरू
प्रभावित संस्थालाई सूचित गर्नुहोस् यदि यो वित्तीय वा कार्य खाता हो भने
अन्य खाताहरू जाँच गर्नुहोस् जसले उही पासवर्ड प्रयोग गरेका थिए — तपाईं पासवर्ड पुनः प्रयोग नगर्ने निश्चित हुनुभए पनि, जाँच गर्नुहोस्

निष्कर्ष

फिसिङ फस्टाउँछ किनकि यसले प्रविधि बाइपास गर्छ र मानिसहरूलाई लक्षित गर्छ। सर्वोत्तम सुरक्षाहरूले तीन तहको मिश्रण गर्छन्: पासवर्ड प्रबन्धकहरू (गलत डोमेनहरूमा अटोफिल गर्न अस्वीकार गर्छन्), फिसिङ-प्रतिरोधी 2FA (हार्डवेयर चाबीहरू वा पासकीहरू जुन वास्तविक डोमेनसँग बाँधिन्छन्), र स्वस्थ संशयवाद (इमेल लिंकबाट कहिल्यै लगइन नगर्नुहोस्)।

यी तिनैवटा आफ्नो सबैभन्दा महत्त्वपूर्ण खाता — तपाईंको इमेल — मा पहिले सक्षम गर्नुहोस्। त्यहाँबाट, तपाईंको बाँकी डिजिटल जीवन अर्थपूर्ण रूपमा सुरक्षित हुन्छ।