ਸਾਧਾਰਨ ਸ਼ਬਦਾਂ ਵਿੱਚ ਫਿਸ਼ਿੰਗ ਕੀ ਹੈ?

ਫਿਸ਼ਿੰਗ ਉਦੋਂ ਹੁੰਦੀ ਹੈ ਜਦੋਂ ਕੋਈ ਹਮਲਾਵਰ ਇੱਕ ਨਕਲੀ ਵੈੱਬਸਾਈਟ ਬਣਾਉਂਦਾ ਹੈ ਜੋ ਕਿਸੇ ਅਸਲੀ ਸਾਈਟ (ਤੁਹਾਡੇ ਬੈਂਕ, ਈਮੇਲ, ਕਾਰਜ-ਸਥਾਨ ਦੇ ਲੌਗਿਨ) ਨਾਲ ਬਿਲਕੁਲ ਇੱਕੋ ਜਿਹੀ ਦਿੱਖਦੀ ਹੈ ਅਤੇ ਤੁਹਾਨੂੰ ਉੱਥੇ ਆਪਣਾ ਪਾਸਵਰਡ ਟਾਈਪ ਕਰਨ ਲਈ ਧੋਖਾ ਦਿੰਦਾ ਹੈ। ਜਿਵੇਂ ਹੀ ਤੁਸੀਂ ਫ਼ਾਰਮ ਜਮ੍ਹਾਂ ਕਰਦੇ ਹੋ, ਉਹ ਤੁਹਾਡੇ ਪ੍ਰਮਾਣ ਪੱਤਰ ਕੈਪਚਰ ਕਰ ਲੈਂਦਾ ਹੈ ਅਤੇ ਅਸਲੀ ਸਾਈਟ 'ਤੇ ਖਾਤਾ ਹਥਿਆਉਣ ਲਈ ਵਰਤਦਾ ਹੈ।

ਕੀ 2FA ਫਿਸ਼ਿੰਗ ਰੋਕ ਸਕਦਾ ਹੈ?

ਐਪ-ਅਧਾਰਿਤ 2FA (TOTP) ਅਤੇ SMS ਕੋਡ ਆਧੁਨਿਕ ਫਿਸ਼ਿੰਗ ਨਹੀਂ ਰੋਕਦੇ। ਹਮਲਾਵਰ ਅਸਲ-ਸਮੇਂ ਦੇ ਪ੍ਰੌਕਸੀ ਵਰਤਦੇ ਹਨ ਜੋ ਤੁਹਾਡਾ ਕੋਡ ਕੁਝ ਸਕਿੰਟਾਂ ਵਿੱਚ ਅਸਲੀ ਸਾਈਟ 'ਤੇ ਭੇਜ ਦਿੰਦੇ ਹਨ। ਕੇਵਲ FIDO2/WebAuthn ਹਾਰਡਵੇਅਰ ਕੁੰਜੀਆਂ ਅਤੇ ਪਾਸਕੀਆਂ ਫਿਸ਼ਿੰਗ-ਰੋਧੀ ਹਨ, ਕਿਉਂਕਿ ਇਹ ਕ੍ਰਿਪਟੋਗ੍ਰਾਫ਼ਿਕ ਤੌਰ 'ਤੇ ਅਸਲੀ ਡੋਮੇਨ ਨਾਲ ਬੱਝੀਆਂ ਹੁੰਦੀਆਂ ਹਨ।

ਮੈਂ ਫਿਸ਼ਿੰਗ ਈਮੇਲ ਨੂੰ ਕਿਵੇਂ ਪਛਾਣਾਂ?

ਕਲਿੱਕ ਕਰਨ ਤੋਂ ਪਹਿਲਾਂ ਲਿੰਕਾਂ ਉੱਪਰ ਮਾਊਸ ਘੁਮਾਓ ਅਤੇ ਅਸਲੀ ਮੰਜ਼ਿਲ ਜਾਂਚੋ। ਜ਼ਰੂਰੀਅਤ ("ਤੁਹਾਡਾ ਖਾਤਾ 24 ਘੰਟਿਆਂ ਵਿੱਚ ਬੰਦ ਹੋ ਜਾਵੇਗਾ"), ਆਮ ਸੰਬੋਧਨ ("ਪਿਆਰੇ ਗਾਹਕ"), ਅਤੇ ਡੋਮੇਨ ਦੀ ਥੋੜ੍ਹੀ ਗਲਤ ਸਪੈਲਿੰਗ (paypaI.com ਵਿੱਚ ਵੱਡਾ i, ਛੋਟਾ L ਨਹੀਂ) ਵੱਲ ਧਿਆਨ ਰੱਖੋ। ਜੇ ਸ਼ੱਕ ਹੋਵੇ, ਲਿੰਕ 'ਤੇ ਕਲਿੱਕ ਕਰਨ ਦੀ ਬਜਾਏ ਸਾਈਟ 'ਤੇ ਹੱਥੀਂ ਜਾਓ।

ਜੇ ਮੈਂ ਸੋਚਦਾ ਹਾਂ ਕਿ ਮੈਂ ਫਿਸ਼ਿੰਗ ਹਮਲੇ ਵਿੱਚ ਫਸ ਗਿਆ ਹਾਂ ਤਾਂ ਮੈਨੂੰ ਕੀ ਕਰਨਾ ਚਾਹੀਦਾ ਹੈ?

ਤੁਰੰਤ ਕਿਸੇ ਵੱਖਰੇ ਯੰਤਰ ਤੋਂ ਪ੍ਰਭਾਵਿਤ ਖਾਤੇ ਦਾ ਪਾਸਵਰਡ ਬਦਲੋ। ਖਾਤੇ ਦੀਆਂ ਸੈਟਿੰਗਾਂ ਵਿੱਚ ਸਾਰੇ ਸਰਗਰਮ ਸੈਸ਼ਨ ਰੱਦ ਕਰੋ। ਜੇ 2FA ਚਾਲੂ ਨਹੀਂ ਸੀ, ਤਾਂ ਇਸਨੂੰ ਚਾਲੂ ਕਰੋ। ਅਣਅਧਿਕਾਰਤ ਗਤੀਵਿਧੀ ਲਈ ਖਾਤਾ ਜਾਂਚੋ। ਜੇ ਇਹ ਵਿੱਤੀ ਖਾਤਾ ਹੈ, ਤਾਂ ਸਿੱਧੇ ਸੰਸਥਾ ਨੂੰ ਫ਼ੋਨ ਕਰੋ।

ਕੀ ਫਿਸ਼ਿੰਗ ਵਿਰੁੱਧ ਪਾਸਵਰਡ ਮੈਨੇਜਰ ਵਰਤਣਾ ਸੁਰੱਖਿਅਤ ਹੈ?

ਹਾਂ, ਅਤੇ ਇਹ ਤੁਹਾਡੇ ਸਭ ਤੋਂ ਵਧੀਆ ਬਚਾਅ ਵਿੱਚੋਂ ਇੱਕ ਹੈ। ਪਾਸਵਰਡ ਮੈਨੇਜਰ ਸਹੀ ਡੋਮੇਨ ਦੇ ਆਧਾਰ 'ਤੇ ਆਟੋਫਿੱਲ ਕਰਦੇ ਹਨ। ਜੇ ਤੁਸੀਂ paypal.com ਦੀ ਬਜਾਏ paypaI.com 'ਤੇ ਪਹੁੰਚਦੇ ਹੋ, ਤਾਂ ਤੁਹਾਡਾ ਮੈਨੇਜਰ ਫ਼ਾਰਮ ਨਹੀਂ ਭਰੇਗਾ — ਇਹ ਇੱਕ ਵੱਡਾ ਸੰਕੇਤ ਹੈ ਕਿ ਕੁਝ ਗਲਤ ਹੈ।

ਫਿਸ਼ਿੰਗ ਹਮਲਿਆਂ ਤੋਂ ਆਪਣੇ ਆਪ ਨੂੰ ਕਿਵੇਂ ਸੁਰੱਖਿਅਤ ਕਰੀਏ

ਫਿਸ਼ਿੰਗ ਕੀ ਹੈ?

ਫਿਸ਼ਿੰਗ ਇੱਕ ਸਮਾਜਿਕ ਇੰਜੀਨੀਅਰਿੰਗ ਹਮਲਾ ਹੈ ਜਿਸ ਵਿੱਚ ਹਮਲਾਵਰ ਕਿਸੇ ਜਾਇਜ਼ ਵੈੱਬਸਾਈਟ ਦੀ ਹੂਬਹੂ ਨਕਲ ਬਣਾਉਂਦਾ ਹੈ — ਅਕਸਰ ਇੱਕ-ਇੱਕ ਪਿਕਸਲ ਤੱਕ ਸਹੀ — ਅਤੇ ਪੀੜਤ ਨੂੰ ਉੱਥੇ ਆਪਣੇ ਪ੍ਰਮਾਣ ਪੱਤਰ ਦਾਖਲ ਕਰਨ ਲਈ ਧੋਖਾ ਦਿੰਦਾ ਹੈ। ਜਿਵੇਂ ਹੀ ਪੀੜਤ ਫ਼ਾਰਮ ਜਮ੍ਹਾਂ ਕਰਦਾ ਹੈ, ਹਮਲਾਵਰ ਯੂਜ਼ਰਨੇਮ, ਪਾਸਵਰਡ, ਅਤੇ ਕੋਈ ਵੀ ਦੂਜੇ ਕਾਰਕ ਕੈਪਚਰ ਕਰ ਲੈਂਦਾ ਹੈ, ਅਤੇ ਫਿਰ ਕੁਝ ਸਕਿੰਟਾਂ ਵਿੱਚ ਅਸਲੀ ਖਾਤਾ ਹਥਿਆ ਲੈਂਦਾ ਹੈ।

ਇਹ ਸ਼ਬਦ "ਫਿਸ਼ਿੰਗ" (ਮੱਛੀ ਫੜਨਾ) ਦੀ ਰੂਪਕ ਤੋਂ ਆਇਆ ਹੈ — ਚਾਰੇ (ਆਮ ਤੌਰ 'ਤੇ ਇੱਕ ਈਮੇਲ) ਨਾਲ ਪੀੜਤਾਂ ਲਈ "ਮੱਛੀ ਫੜਨਾ"। ਸਪੈਲਿੰਗ ਬਦਲ ਕੇ "ph" ਕੀਤੀ ਗਈ ਕਿਉਂਕਿ ਹਮਲਾਵਰ ਅਕਸਰ phਓਨ ਨੰਬਰ (SMS ਫਿਸ਼ਿੰਗ, ਜਾਂ "ਸਮਿਸ਼ਿੰਗ") ਅਤੇ ਪੇਸ਼ੇਵਰ ਬੁਨਿਆਦੀ ਢਾਂਚੇ ਵਰਤਦੇ ਹਨ।

ਫਿਸ਼ਿੰਗ ਅਜੇ ਵੀ ਸਭ ਤੋਂ ਵੱਡਾ ਖਤਰਾ ਕਿਉਂ ਹੈ

ਅੱਜ ਦੇ ਜ਼ਿਆਦਾਤਰ ਵੱਡੇ ਖਾਤਾ ਉਲੰਘਣ ਵਿੱਚ ਹੈਕਿੰਗ, ਪਾਸਵਰਡ ਕ੍ਰੈਕ ਕਰਨਾ, ਜਾਂ ਇਨਕ੍ਰਿਪਸ਼ਨ ਤੋਂ ਬਚਣਾ ਸ਼ਾਮਲ ਨਹੀਂ ਹੁੰਦਾ। ਇਹਨਾਂ ਵਿੱਚ ਕੋਈ ਮਨੁੱਖ ਨਕਲੀ ਸਾਈਟ 'ਤੇ ਪਾਸਵਰਡ ਟਾਈਪ ਕਰਦਾ ਹੈ। ਫਿਸ਼ਿੰਗ:

ਸਸਤੀ ਹੈ — ਇੱਕ ਹਮਲਾਵਰ VPS ਅਤੇ ਜਾਅਲੀ ਡੋਮੇਨ ਦੀ ਕੀਮਤ 'ਤੇ ਲੱਖਾਂ ਈਮੇਲਾਂ ਭੇਜ ਸਕਦਾ ਹੈ
ਫਿਲਟਰ ਕਰਨੀ ਔਖੀ ਹੈ — ਆਧੁਨਿਕ ਕਿੱਟਾਂ ਡੋਮੇਨ ਬਦਲਦੀਆਂ ਹਨ, ਜਾਇਜ਼ ਹੋਸਟਿੰਗ ਵਰਤਦੀਆਂ ਹਨ, ਅਤੇ ਅਸਲ ਸਮੇਂ ਵਿੱਚ ਫਿਲਟਰਾਂ ਨਾਲ ਅਨੁਕੂਲ ਹੁੰਦੀਆਂ ਹਨ
ਪ੍ਰਭਾਵਸ਼ਾਲੀ ਹੈ — ਸੁਰੱਖਿਆ-ਜਾਗਰੂਕ ਉਪਭੋਗਤਾ ਵੀ ਨਿਸ਼ਾਨੇਵਾਲੀਆਂ ਕੋਸ਼ਿਸ਼ਾਂ (ਸਪੀਅਰ ਫਿਸ਼ਿੰਗ) ਦਾ ਸ਼ਿਕਾਰ ਹੋ ਜਾਂਦੇ ਹਨ
ਵਿਆਪਕ ਹੈ — ਇੱਕ ਸਫਲ ਫਿਸ਼ਿੰਗ ਅਕਸਰ ਪਾਸਵਰਡ ਦੁਹਰਾਉਣ ਕਾਰਨ ਦਰਜਨਾਂ ਜੁੜੀਆਂ ਸੇਵਾਵਾਂ ਤੱਕ ਪਹੁੰਚ ਦੇ ਦਿੰਦੀ ਹੈ

2024 ਦੀ Verizon Data Breach Investigations Report ਨੇ ਪਾਇਆ ਕਿ ਫਿਸ਼ਿੰਗ 36% ਤੋਂ ਵੱਧ ਸਾਰੇ ਉਲੰਘਣਾਂ ਵਿੱਚ ਸ਼ੁਰੂਆਤੀ ਪਹੁੰਚ ਦਾ ਤਰੀਕਾ ਸੀ — ਕਿਸੇ ਵੀ ਹੋਰ ਇੱਕਲੇ ਕਾਰਨ ਨਾਲੋਂ ਵੱਧ।

ਆਧੁਨਿਕ ਫਿਸ਼ਿੰਗ ਕਿਵੇਂ ਕੰਮ ਕਰਦੀ ਹੈ

ਫਿਸ਼ਿੰਗ 2000ਵਿਆਂ ਦੀਆਂ "ਨਾਈਜੀਰੀਅਨ ਰਾਜਕੁਮਾਰ" ਈਮੇਲਾਂ ਤੋਂ ਬਹੁਤ ਅੱਗੇ ਨਿਕਲ ਚੁੱਕੀ ਹੈ। ਇੱਕ ਆਧੁਨਿਕ ਫਿਸ਼ਿੰਗ ਹਮਲੇ ਵਿੱਚ ਆਮ ਤੌਰ 'ਤੇ ਸ਼ਾਮਲ ਹਨ:

1. ਇੱਕ ਯਕੀਨ ਦਿਵਾਉਣ ਵਾਲਾ ਲਾਲਚ

ਆਮ ਤੌਰ 'ਤੇ ਇੱਕ ਈਮੇਲ, ਟੈਕਸਟ, ਜਾਂ ਚੈਟ ਸੁਨੇਹਾ ਜੋ ਜ਼ਰੂਰੀਅਤ ("ਤੁਹਾਡਾ ਖਾਤਾ ਮੁਅੱਤਲ ਕੀਤਾ ਜਾਵੇਗਾ"), ਅਧਿਕਾਰ ("Microsoft ਸੁਰੱਖਿਆ ਟੀਮ"), ਜਾਂ ਉਤਸੁਕਤਾ ("ਕਿਸੇ ਨੇ ਤੁਹਾਨੂੰ ਇੱਕ ਫੋਟੋ ਵਿੱਚ ਟੈਗ ਕੀਤਾ ਹੈ") ਪੈਦਾ ਕਰਦਾ ਹੈ। ਸਪੀਅਰ-ਫਿਸ਼ਿੰਗ ਇਸ ਤੋਂ ਅੱਗੇ ਜਾਂਦੀ ਹੈ ਅਤੇ LinkedIn, ਡੇਟਾ ਲੀਕ, ਜਾਂ ਪਿਛਲੇ ਸੰਦੇਸ਼ਾਂ ਤੋਂ ਲਏ ਨਿੱਜੀ ਵੇਰਵੇ ਵਰਤਦੀ ਹੈ।

2. ਇੱਕ ਹੂਬਹੂ ਨਕਲੀ ਸਾਈਟ

ਹਮਲਾਵਰ ਤਿਆਰ ਫਿਸ਼ਿੰਗ ਕਿੱਟਾਂ ਵਰਤਦੇ ਹਨ ਜੋ ਟੀਚੇ ਵਾਲੀ ਸਾਈਟ ਦੇ HTML, CSS, ਅਤੇ JavaScript ਦੀ ਨਕਲ ਕਰਦੀਆਂ ਹਨ। ਬਹੁਤ ਸਾਰੀਆਂ ਕਿੱਟਾਂ ਸੇਵਾ ਵਜੋਂ ਵੇਚੀਆਂ ਜਾਂਦੀਆਂ ਹਨ (phishing-as-a-service), ਕੰਮ ਕਰਨ ਵਾਲੇ ਡੈਸ਼ਬੋਰਡਾਂ ਅਤੇ ਗਾਹਕ ਸਹਾਇਤਾ ਸਮੇਤ।

3. 2FA ਲਈ ਅਸਲ-ਸਮੇਂ ਦਾ ਪ੍ਰੌਕਸੀ

ਖਤਰਨਾਕ ਹਿੱਸਾ: ਆਧੁਨਿਕ ਕਿੱਟਾਂ ਕੇਵਲ ਤੁਹਾਡਾ ਪਾਸਵਰਡ ਕੈਪਚਰ ਨਹੀਂ ਕਰਦੀਆਂ। ਇਹ ਮੈਨ-ਇਨ-ਦ-ਮਿਡਲ ਪ੍ਰੌਕਸੀ ਵਜੋਂ ਕੰਮ ਕਰਦੀਆਂ ਹਨ ਜੋ ਤੁਹਾਡੀ ਟਾਈਪ ਕੀਤੀ ਹਰ ਚੀਜ਼ — ਜਿਸ ਵਿੱਚ ਤੁਹਾਡਾ TOTP ਕੋਡ ਵੀ ਸ਼ਾਮਲ ਹੈ — ਕੁਝ ਸਕਿੰਟਾਂ ਵਿੱਚ ਅਸਲੀ ਸਾਈਟ 'ਤੇ ਭੇਜਦੀਆਂ ਹਨ, ਜ਼ਿਆਦਾਤਰ 2FA ਨੂੰ ਪਾਰ ਕਰਦੀਆਂ ਹਨ। ਇਸ ਤਕਨੀਕ ਨੂੰ adversary-in-the-middle (AiTM) ਕਿਹਾ ਜਾਂਦਾ ਹੈ ਅਤੇ Evilginx2 ਅਤੇ Modlishka ਵਰਗੇ ਸਾਧਨਾਂ ਵਿੱਚ ਵਰਤਿਆ ਜਾਂਦਾ ਹੈ।

4. ਸੈਸ਼ਨ ਟੋਕਨ ਚੋਰੀ

ਜਿਵੇਂ ਹੀ ਤੁਸੀਂ ਪ੍ਰੌਕਸੀ ਰਾਹੀਂ ਪ੍ਰਮਾਣਿਕਤਾ ਦਿੰਦੇ ਹੋ, ਹਮਲਾਵਰ ਤੁਹਾਡੀ ਸੈਸ਼ਨ ਕੂਕੀ ਕੈਪਚਰ ਕਰ ਲੈਂਦਾ ਹੈ ਅਤੇ ਤੁਹਾਡਾ ਪਾਸਵਰਡ ਬਦਲਣ ਤੋਂ ਬਾਅਦ ਵੀ ਲੌਗਡ ਇਨ ਰਹਿ ਸਕਦਾ ਹੈ। ਇਸੇ ਲਈ ਫਿਸ਼ਿੰਗ ਦੇ ਜਵਾਬ ਵਿੱਚ ਸਿਰਫ਼ ਪਾਸਵਰਡ ਬਦਲਣਾ ਨਹੀਂ, ਸਗੋਂ ਸਰਗਰਮ ਸੈਸ਼ਨ ਰੱਦ ਕਰਨਾ ਵੀ ਜ਼ਰੂਰੀ ਹੈ।

ਫਿਸ਼ਿੰਗ ਨੂੰ ਅਸਲ ਵਿੱਚ ਕੀ ਰੋਕਦਾ ਹੈ

ਹਾਰਡਵੇਅਰ ਸੁਰੱਖਿਆ ਕੁੰਜੀਆਂ (FIDO2 / WebAuthn)

ਇਹ ਇੱਕੋ ਇੱਕ ਬਚਾਅ ਦੀ ਸ਼੍ਰੇਣੀ ਹੈ ਜੋ ਡਿਜ਼ਾਈਨ ਅਨੁਸਾਰ ਫਿਸ਼ਿੰਗ-ਰੋਧੀ ਹੈ। ਜਦੋਂ ਤੁਸੀਂ FIDO2 ਕੁੰਜੀ ਨਾਲ ਲੌਗਿਨ ਕਰਦੇ ਹੋ, ਤੁਹਾਡੀ ਕੁੰਜੀ ਕ੍ਰਿਪਟੋਗ੍ਰਾਫ਼ਿਕ ਤੌਰ 'ਤੇ ਪ੍ਰਮਾਣਿਕਤਾ ਮੰਗਣ ਵਾਲੀ ਸਾਈਟ ਦੇ ਸਹੀ ਡੋਮੇਨ ਦੀ ਜਾਂਚ ਕਰਦੀ ਹੈ। ਨਕਲੀ ਸਾਈਟ — ਭਾਵੇਂ ਦਿੱਖ ਵਿੱਚ ਕਿੰਨੀ ਵੀ ਸੰਪੂਰਨ ਹੋਵੇ — ਦਾ ਡੋਮੇਨ ਵੱਖਰਾ ਹੁੰਦਾ ਹੈ, ਇਸ ਲਈ ਕੁੰਜੀ ਜਵਾਬ ਦੇਣ ਤੋਂ ਇਨਕਾਰ ਕਰਦੀ ਹੈ। ਕ੍ਰਿਪਟੋਗ੍ਰਾਫ਼ਿਕ ਹੈਂਡਸ਼ੇਕ ਸਿੱਧਾ ਪੂਰਾ ਨਹੀਂ ਹੁੰਦਾ।

Google ਨੇ 2017 ਵਿੱਚ ਆਪਣੇ 85,000 ਤੋਂ ਵੱਧ ਕਰਮਚਾਰੀਆਂ ਲਈ YubiKey ਲਾਜ਼ਮੀ ਕੀਤੀਆਂ ਅਤੇ ਉਸ ਤੋਂ ਬਾਅਦ ਕੰਪਨੀ ਦੇ ਖਾਤਿਆਂ 'ਤੇ ਕੋਈ ਵੀ ਸਫਲ ਫਿਸ਼ਿੰਗ ਹਮਲਾ ਨਹੀਂ ਹੋਇਆ।

ਪਾਸਕੀਆਂ

ਪਾਸਕੀਆਂ FIDO2 ਦਾ ਖਪਤਕਾਰ-ਅਨੁਕੂਲ ਵਿਕਾਸ ਹਨ। ਇਹ ਉਹੀ ਡੋਮੇਨ-ਬੱਧ ਕ੍ਰਿਪਟੋਗ੍ਰਾਫ਼ੀ ਵਰਤਦੀਆਂ ਹਨ ਅਤੇ iOS, Android, macOS, ਅਤੇ Windows ਵਿੱਚ ਬਣੀਆਂ ਹੋਈਆਂ ਹਨ। ਜੇ ਤੁਹਾਡੀ ਵਰਤੋਂ ਵਾਲੀ ਕੋਈ ਸਾਈਟ ਪਾਸਕੀਆਂ ਦਾ ਸਮਰਥਨ ਕਰਦੀ ਹੈ, ਤਾਂ ਇੱਕ ਚਾਲੂ ਕਰਨ ਨਾਲ ਉਹ ਖਾਤਾ ਫਿਸ਼ਿੰਗ-ਰੋਧੀ ਬਣ ਜਾਂਦਾ ਹੈ।

ਪਾਸਵਰਡ ਮੈਨੇਜਰ

ਪਾਸਵਰਡ ਮੈਨੇਜਰ ਤੁਹਾਡਾ ਦੂਜਾ ਬਚਾਅ ਦਾ ਕਵਚ ਹੈ ਕਿਉਂਕਿ ਇਹ ਕੇਵਲ ਉਸ ਸਹੀ ਡੋਮੇਨ 'ਤੇ ਪ੍ਰਮਾਣ ਪੱਤਰ ਆਟੋਫਿੱਲ ਕਰਦਾ ਹੈ ਜਿੱਥੇ ਉਹ ਸੇਵ ਕੀਤੇ ਗਏ ਸਨ। ਜੇ ਤੁਸੀਂ paypal.com ਦੀ ਬਜਾਏ paypaI.com (ਵੱਡਾ I) 'ਤੇ ਪਹੁੰਚਦੇ ਹੋ, ਤਾਂ ਤੁਹਾਡਾ ਮੈਨੇਜਰ ਚੁੱਪ-ਚਾਪ ਫ਼ਾਰਮ ਭਰਨ ਤੋਂ ਇਨਕਾਰ ਕਰ ਦੇਵੇਗਾ। ਉਹ ਇਨਕਾਰ ਇੱਕ ਵੱਡੀ ਚੇਤਾਵਨੀ ਹੈ ਕਿ ਕੁਝ ਗਲਤ ਹੈ।

ਈਮੇਲ ਅਤੇ DNS ਫਿਲਟਰਿੰਗ

ਈਮੇਲ ਪ੍ਰਦਾਤਾ ਜਾਅਲੀ ਭੇਜਣ ਵਾਲੇ ਪਤਿਆਂ ਦਾ ਪਤਾ ਲਗਾਉਣ ਲਈ DMARC, SPF, ਅਤੇ DKIM ਵਰਤਦੇ ਹਨ। ਜ਼ਿਆਦਾਤਰ ਆਧੁਨਿਕ ਪ੍ਰਦਾਤਾ ਸਪੱਸ਼ਟ ਕੋਸ਼ਿਸ਼ਾਂ ਫੜ ਲੈਂਦੇ ਹਨ, ਪਰ ਨਿਸ਼ਾਨੇਵਾਲੇ ਹਮਲੇ ਅਜੇ ਵੀ ਲੰਘ ਜਾਂਦੇ ਹਨ। ਆਪਣੇ ਮੇਲ ਕਲਾਇੰਟ ਵਿੱਚ "ਫਿਸ਼ਿੰਗ ਰਿਪੋਰਟ ਕਰੋ" ਬਟਨ ਚਾਲੂ ਕਰੋ ਤਾਂ ਜੋ ਤੁਸੀਂ ਫਿਲਟਰਾਂ ਨੂੰ ਬਿਹਤਰ ਬਣਾਉਣ ਵਿੱਚ ਮਦਦ ਕਰੋ।

ਧਿਆਨ ਰੱਖਣ ਵਾਲੇ ਖ਼ਤਰੇ ਦੇ ਸੰਕੇਤ

ਜਦੋਂ ਤੁਹਾਨੂੰ ਲੌਗਿਨ ਕਰਨ, ਤਸਦੀਕ ਕਰਨ, ਜਾਂ ਤੁਰੰਤ ਕੁਝ ਕਰਨ ਲਈ ਕਿਹਾ ਜਾਵੇ:

ਜ਼ਰੂਰੀਅਤ ਅਤੇ ਧਮਕੀਆਂ — "ਤੁਹਾਡਾ ਖਾਤਾ 24 ਘੰਟਿਆਂ ਵਿੱਚ ਬੰਦ ਹੋ ਜਾਵੇਗਾ"
ਆਮ ਸੰਬੋਧਨ — ਤੁਹਾਡੇ ਨਾਮ ਦੀ ਬਜਾਏ "ਪਿਆਰੇ ਗਾਹਕ"
ਮਿਲਦੇ-ਜੁਲਦੇ ਡੋਮੇਨ — paypaI.com, app1e.com, secure-microsoft-login.net
ਅਚਾਨਕ ਅਟੈਚਮੈਂਟ — ਖਾਸ ਤੌਰ 'ਤੇ .zip, .html, ਜਾਂ .pdf ਫ਼ਾਈਲਾਂ ਜੋ ਦੇਖਣ ਲਈ ਲੌਗਿਨ ਮੰਗਦੀਆਂ ਹਨ
ਵਿਆਕਰਨ ਜਾਂ ਫਾਰਮੈਟਿੰਗ ਦੀਆਂ ਗਲਤੀਆਂ — ਵੱਡੀਆਂ ਕੰਪਨੀਆਂ ਆਪਣੀਆਂ ਈਮੇਲਾਂ ਦੀ ਜਾਂਚ ਕਰਦੀਆਂ ਹਨ
ਲਿੰਕ ਦੀ ਬੇਮੇਲਤਾ — ਲਿੰਕ 'ਤੇ ਮਾਊਸ ਘੁਮਾਓ ਅਤੇ ਜਾਂਚੋ ਕਿ ਮੰਜ਼ਿਲ ਟੈਕਸਟ ਨਾਲ ਮੇਲ ਖਾਂਦੀ ਹੈ ਕਿ ਨਹੀਂ

ਜੇ ਕੁਝ ਵੀ ਗਲਤ ਲੱਗੇ, ਈਮੇਲ ਬੰਦ ਕਰੋ। ਸਾਈਟ 'ਤੇ ਹੱਥੀਂ ਜਾਓ। ਜੇ ਕੋਈ ਅਸਲੀ ਸਮੱਸਿਆ ਹੈ, ਤਾਂ ਤੁਸੀਂ ਆਪਣੇ ਆਮ ਤਰੀਕੇ ਨਾਲ ਲੌਗਿਨ ਕਰਕੇ ਉਹ ਦੇਖ ਲਓਗੇ।

ਜੇ ਤੁਸੀਂ ਫਸ ਗਏ ਤਾਂ ਕੀ ਕਰੀਏ

ਤੇਜ਼ੀ ਨਾਲ ਕੰਮ ਕਰੋ — ਗਤੀ ਅਹਿਮ ਹੈ ਕਿਉਂਕਿ ਹਮਲਾਵਰ ਕੁਝ ਮਿੰਟਾਂ ਵਿੱਚ ਪ੍ਰਮਾਣ ਪੱਤਰਾਂ ਦੀ ਵਰਤੋਂ ਸ਼ੁਰੂ ਕਰ ਦਿੰਦੇ ਹਨ।

ਤੁਰੰਤ ਪਾਸਵਰਡ ਬਦਲੋ ਕਿਸੇ ਵੱਖਰੇ ਯੰਤਰ 'ਤੇ (ਜਿਵੇਂ ਕਿ ਤੁਹਾਡਾ ਫ਼ੋਨ, ਜੇ ਤੁਸੀਂ ਲੈਪਟਾਪ 'ਤੇ ਫਸੇ ਸੀ)
ਸਾਰੇ ਸਰਗਰਮ ਸੈਸ਼ਨ ਰੱਦ ਕਰੋ ਖਾਤੇ ਦੀਆਂ ਸੈਟਿੰਗਾਂ ਵਿੱਚ — ਇਹ ਚੋਰੀ ਕੀਤੇ ਸੈਸ਼ਨ ਟੋਕਨਾਂ ਦੀ ਵਰਤੋਂ ਕਰਨ ਵਾਲੇ ਕਿਸੇ ਵੀ ਵਿਅਕਤੀ ਨੂੰ ਬਾਹਰ ਕੱਢ ਦੇਵੇਗਾ
2FA ਚਾਲੂ ਕਰੋ ਜੇ ਇਹ ਪਹਿਲਾਂ ਤੋਂ ਚਾਲੂ ਨਹੀਂ ਸੀ, ਅਤੇ ਜੇ ਸੰਭਵ ਹੋਵੇ ਤਾਂ ਹਾਰਡਵੇਅਰ ਕੁੰਜੀ ਜਾਂ ਪਾਸਕੀ ਵਰਤੋ
ਅਣਅਧਿਕਾਰਤ ਗਤੀਵਿਧੀ ਜਾਂਚੋ — ਭੇਜੀਆਂ ਈਮੇਲਾਂ, ਹਾਲੀਆ ਲੌਗਿਨ, ਬਿਲਿੰਗ ਤਬਦੀਲੀਆਂ, ਨਵੇਂ ਫਾਰਵਰਡਿੰਗ ਨਿਯਮ
ਪ੍ਰਭਾਵਿਤ ਸੰਸਥਾ ਨੂੰ ਸੂਚਿਤ ਕਰੋ ਜੇ ਇਹ ਵਿੱਤੀ ਜਾਂ ਕੰਮ-ਸੰਬੰਧੀ ਖਾਤਾ ਹੈ
ਦੂਜੇ ਖਾਤੇ ਜਾਂਚੋ ਜੋ ਉਹੀ ਪਾਸਵਰਡ ਵਰਤਦੇ ਸਨ — ਭਾਵੇਂ ਤੁਹਾਨੂੰ ਯਕੀਨ ਹੋਵੇ ਕਿ ਤੁਸੀਂ ਪਾਸਵਰਡ ਦੁਹਰਾਉਂਦੇ ਨਹੀਂ, ਫਿਰ ਵੀ ਜਾਂਚੋ

ਸਾਰ

ਫਿਸ਼ਿੰਗ ਇਸ ਲਈ ਪ੍ਰਫੁੱਲਤ ਹੁੰਦੀ ਹੈ ਕਿਉਂਕਿ ਇਹ ਤਕਨਾਲੋਜੀ ਨੂੰ ਨਜ਼ਰਅੰਦਾਜ਼ ਕਰਕੇ ਮਨੁੱਖਾਂ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾਉਂਦੀ ਹੈ। ਸਭ ਤੋਂ ਵਧੀਆ ਬਚਾਅ ਤਿੰਨ ਪਰਤਾਂ ਨੂੰ ਮਿਲਾਉਂਦਾ ਹੈ: ਪਾਸਵਰਡ ਮੈਨੇਜਰ (ਗਲਤ ਡੋਮੇਨਾਂ 'ਤੇ ਆਟੋਫਿੱਲ ਕਰਨ ਤੋਂ ਇਨਕਾਰ ਕਰਦੇ ਹਨ), ਫਿਸ਼ਿੰਗ-ਰੋਧੀ 2FA (ਹਾਰਡਵੇਅਰ ਕੁੰਜੀਆਂ ਜਾਂ ਪਾਸਕੀਆਂ ਜੋ ਅਸਲੀ ਡੋਮੇਨ ਨਾਲ ਬੱਝੀਆਂ ਹਨ), ਅਤੇ ਸਿਹਤਮੰਦ ਸੰਦੇਹਵਾਦ (ਕਦੇ ਵੀ ਕਿਸੇ ਈਮੇਲ ਲਿੰਕ ਤੋਂ ਲੌਗਿਨ ਨਾ ਕਰੋ)।

ਇਹ ਸਾਰੇ ਤਿੰਨੇ ਸਭ ਤੋਂ ਪਹਿਲਾਂ ਆਪਣੇ ਸਭ ਤੋਂ ਮਹੱਤਵਪੂਰਨ ਖਾਤੇ — ਤੁਹਾਡੀ ਈਮੇਲ — 'ਤੇ ਚਾਲੂ ਕਰੋ। ਉੱਥੋਂ, ਤੁਹਾਡੀ ਬਾਕੀ ਡਿਜੀਟਲ ਜ਼ਿੰਦਗੀ ਅਰਥਪੂਰਨ ਤੌਰ 'ਤੇ ਵਧੇਰੇ ਸੁਰੱਖਿਅਤ ਹੋ ਜਾਂਦੀ ਹੈ।