முக்கிய உள்ளடக்கத்திற்கு செல்லவும்

ஃபிஷிங் தாக்குதல்களிலிருந்து உங்களை எவ்வாறு பாதுகாத்துக்கொள்வது

கணக்குகள் திருடப்படுவதற்கான #1 காரணம் ஃபிஷிங். நவீன ஃபிஷிங் எவ்வாறு செயல்படுகிறது, எச்சரிக்கை அறிகுறிகள் மற்றும் தாக்குதல்களை உண்மையிலேயே தடுக்கும் பாதுகாப்பு முறைகள்.

கடைசியாக புதுப்பிக்கப்பட்டது: 14 ஏப்ரல், 2026

சுருக்கம்

  • கணக்கு கையகப்படுத்தல்களுக்கான #1 காரணம் ஃபிஷிங் — தாக்குநர்கள் உங்களை ஒரு போலி தளத்தில் நற்சான்றிதழ்களை வழங்குமாறு ஏமாற்றுகிறார்கள்.
  • நவீன ஃபிஷிங் கிட்கள் உள்நுழைவு பக்கங்களை திக்-சரியாக நகலெடுத்து, உங்கள் 2FA குறியீடுகளை நிகழ்நேரத்தில் அனுப்புகின்றன.
  • வன்பொருள் பாதுகாப்பு திறவுகோல்கள் (YubiKey, FIDO2) மட்டுமே வடிவமைப்பிலேயே ஃபிஷிங்-எதிர்ப்பு கொண்ட பாதுகாப்பாகும்.
  • கடவுச்சொல் நிர்வாகிகள் தவறான டொமைனில் தானியங்கி நிரப்பலை மறுப்பதன் மூலம் உங்களைப் பாதுகாக்கின்றன.
  • நற்சான்றிதழ்களை தட்டச்சு செய்வதற்கு முன் சரியான டொமைனை சரிபார்க்கவும், மேலும் மின்னஞ்சல் இணைப்பிலிருந்து ஒருபோதும் உள்நுழையாதீர்கள்.

ஃபிஷிங் என்றால் என்ன?

ஃபிஷிங் என்பது ஒரு சமூக பொறியியல் தாக்குதல் ஆகும், இதில் தாக்குநர் ஒரு முறையான வலைத்தளத்தின் நம்பகமான நகலை — பெரும்பாலும் திக்-சரியான படியாக — உருவாக்கி, பாதிக்கப்பட்டவரை அங்கே நற்சான்றிதழ்களை உள்ளிடும்படி ஏமாற்றுகிறார். பாதிக்கப்பட்டவர் படிவத்தை சமர்ப்பிக்கும் தருணத்தில், தாக்குநர் பயனர்பெயர், கடவுச்சொல் மற்றும் இரண்டாம் காரணி ஆகியவற்றை கைப்பற்றி, சில நொடிகளில் உண்மையான கணக்கை கையகப்படுத்துகிறார்.

இந்த வார்த்தை பொதுவாக மின்னஞ்சல் மூலம் பாதிக்கப்பட்டவர்களை "மீன் பிடிப்பது" என்ற உருவகத்திலிருந்து வருகிறது. ph என்ற எழுத்துக்கள் பயன்படுத்தப்படுவது, தாக்குநர்கள் பெரும்பாலும் phone எண்களையும் (SMS ஃபிஷிங், அல்லது "ஸ்மிஷிங்") தொழில்முறை தோற்றமளிக்கும் உள்கட்டமைப்பையும் பயன்படுத்துகிறார்கள் என்பதை வலியுறுத்துகிறது.

ஃபிஷிங் ஏன் இன்னும் #1 அச்சுறுத்தலாக உள்ளது

இன்று பெரும்பாலான பெரிய அளவிலான கணக்கு மீறல்கள் ஹேக்கிங், கடவுச்சொல்களை சிதைத்தல் அல்லது குறியாக்கத்தை கடந்துசெல்வதை உள்ளடக்கவில்லை. அவை ஒரு மனிதன் போலி தளத்தில் கடவுச்சொல்லை தட்டச்சு செய்வதை உள்ளடக்குகின்றன. ஃபிஷிங் என்பது:

  • மலிவானது — ஒரு தாக்குநர் ஒரு VPS மற்றும் ஏமாற்றும் டொமைன் செலவில் மில்லியன் கணக்கான மின்னஞ்சல்களை அனுப்பலாம்
  • வடிகட்ட கஷ்டமானது — நவீன கிட்கள் டொமைன்களை சுழற்றி, சட்டப்பூர்வ ஹோஸ்டிங் பயன்படுத்தி, நிகழ்நேரத்தில் வடிகட்டிகளுக்கு ஏற்ப மாற்றிக்கொள்கின்றன
  • பயனுள்ளது — பாதுகாப்பை அறிந்த பயனர்களும் நன்கு வடிவமைக்கப்பட்ட இலக்கு முயற்சிகளுக்கு (ஸ்பியர் ஃபிஷிங்) ஆளாகிறார்கள்
  • அளவிடக்கூடியது — ஒரு வெற்றிகரமான ஃபிஷிங் பெரும்பாலும் கடவுச்சொல் மறுபயன்பாட்டின் மூலம் டஜன் கணக்கான இணைக்கப்பட்ட சேவைகளுக்கான அணுகலை தரும்

2024 Verizon தரவு மீறல் விசாரணை அறிக்கை கண்டறிந்தது என்னவென்றால், அனைத்து மீறல்களிலும் 36%க்கும் மேற்பட்டவற்றில் ஃபிஷிங் ஆரம்ப அணுகல் திசையன் ஆகும் — வேறு எந்த தனிக்காரணத்தையும் விட அதிகம்.

நவீன ஃபிஷிங் எவ்வாறு செயல்படுகிறது

ஃபிஷிங் 2000களின் "நைஜீரிய இளவரசன்" மின்னஞ்சல்களை விட மிக அதிகமாக வளர்ந்துள்ளது. ஒரு நவீன ஃபிஷிங் தாக்குதல் பொதுவாக உள்ளடக்குவது:

1. நம்பகமான தூண்டில்

பொதுவாக அவசரம் ("உங்கள் கணக்கு இடைநிறுத்தப்படும்"), அதிகாரம் ("Microsoft பாதுகாப்பு குழு"), அல்லது ஆர்வம் ("யாரோ உங்களை ஒரு புகைப்படத்தில் குறிப்பிட்டார்கள்") உருவாக்கும் மின்னஞ்சல், SMS, அல்லது அரட்டை செய்தி. ஸ்பியர்-ஃபிஷிங் LinkedIn, மீறல் தரவு டம்ப்கள் அல்லது முந்தைய கடிதப்போக்கிலிருந்து எடுத்த தனிப்பட்ட விவரங்களுடன் இதை மேலும் முன்னேற்றுகிறது.

2. திக்-சரியான போலி தளம்

தாக்குநர்கள் இலக்கு தளத்தின் HTML, CSS மற்றும் JavaScript ஐ நகலெடுக்கும் ஆயத்த ஃபிஷிங் கிட்களை பயன்படுத்துகிறார்கள். பல கிட்கள் சேவையாக (ஃபிஷிங்-ஆஸ்-எ-சர்வீஸ்) விற்கப்படுகின்றன, செயல்படும் டாஷ்போர்டுகள் மற்றும் வாடிக்கையாளர் ஆதரவுடன்.

3. 2FA க்கான நிகழ்நேர ப்ராக்ஸி

ஆபத்தான பகுதி: நவீன கிட்கள் உங்கள் கடவுச்சொல்லை மட்டும் கைப்பற்றவில்லை. அவை உங்கள் TOTP குறியீடு உட்பட நீங்கள் தட்டச்சு செய்யும் எல்லாவற்றையும் சில நொடிகளில் உண்மையான தளத்திற்கு அனுப்பும் மேன்-இன்-தி-மிடில் ப்ராக்ஸியாக செயல்படுகின்றன, பெரும்பாலான 2FA ஐ கடந்துவிடுகின்றன. இந்த நுட்பம் adversary-in-the-middle (AiTM) என்று அழைக்கப்படுகிறது மற்றும் Evilginx2 மற்றும் Modlishka போன்ற கருவிகளில் பயன்படுத்தப்படுகிறது.

4. அமர்வு டோக்கன் திருட்டு

நீங்கள் ப்ராக்ஸி மூலம் அங்கீகரித்தவுடன், தாக்குநர் உங்கள் அமர்வு குக்கியை கைப்பற்றி, நீங்கள் கடவுச்சொல்லை மாற்றிய பிறகும் உள்நுழைந்திருக்க பயன்படுத்தலாம். இதனால்தான் ஃபிஷிங் மறுமொழி கடவுச்சொல் சுழற்சி மட்டுமல்ல, எப்போதும் செயல்பாட்டு அமர்வுகளை ரத்து செய்வதையும் உள்ளடக்குகிறது.

ஃபிஷிங்கை உண்மையிலேயே தடுப்பது என்ன

வன்பொருள் பாதுகாப்பு திறவுகோல்கள் (FIDO2 / WebAuthn)

இது வடிவமைப்பிலேயே ஃபிஷிங்-எதிர்ப்பு கொண்ட ஒரே பாதுகாப்பு வகையாகும். FIDO2 திறவுகோலுடன் உள்நுழையும்போது, உங்கள் திறவுகோல் அங்கீகாரத்தை கோரும் தளத்தின் சரியான டொமைனை மறைக்குறியீட்டு ரீதியாக சரிபார்க்கிறது. போலி தளம் — காட்சியில் எவ்வளவு சரியாக இருந்தாலும் — வேறு டொமைன் கொண்டிருக்கும், எனவே திறவுகோல் மறுமொழி அளிக்க மறுக்கும். மறைக்குறியீட்டு கைகுலுக்கல் எளிமையாக நிறைவடையாது.

Google 2017 ல் அனைத்து 85,000க்கும் மேற்பட்ட ஊழியர்களுக்கும் YubiKey கட்டாயமாக்கி, அதற்கு பிறகான ஆண்டுகளில் நிறுவன கணக்குகளில் வெற்றிகரமான ஃபிஷிங் தாக்குதல்கள் ஒன்றும் இல்லை என்று தெரிவித்தது பிரசித்தமானது.

பாஸ்கீகள்

பாஸ்கீகள் FIDO2 இன் நுகர்வோர்-நட்பு பரிணாம வளர்ச்சியாகும். அவை அதே டொமைன்-பிணைக்கப்பட்ட மறைக்குறியீட்டை பயன்படுத்துகின்றன மற்றும் iOS, Android, macOS மற்றும் Windows இல் உள்ளமைக்கப்பட்டுள்ளன. நீங்கள் பயன்படுத்தும் தளம் பாஸ்கீகளை ஆதரிக்கிறது என்றால், ஒன்றை இயக்குவது அந்த கணக்கை ஃபிஷிங்-எதிர்ப்பாக மாற்றும்.

கடவுச்சொல் நிர்வாகிகள்

கடவுச்சொல் நிர்வாகி உங்கள் இரண்டாவது பாதுகாப்பு வரிசை ஆகும், ஏனெனில் அது நற்சான்றிதழ்கள் சேமிக்கப்பட்ட சரியான டொமைனில் மட்டுமே தானியங்கி நிரப்பல் செய்கிறது. paypal.com க்கு பதில் paypaI.com (பெரிய I) இல் தரையிறங்கினால், உங்கள் நிர்வாகி படிவத்தை நிரப்ப அமைதியாக மறுக்கும். அந்த மறுப்பு ஏதோ தவறு என்பதற்கான பெரிய எச்சரிக்கையாகும்.

மின்னஞ்சல் மற்றும் DNS வடிகட்டல்

மின்னஞ்சல் வழங்குநர்கள் DMARC, SPF மற்றும் DKIM ஐ ஏமாற்றும் அனுப்புநர் முகவரிகளை கண்டறிய பயன்படுத்துகிறார்கள். நவீன வழங்குநர்கள் பெரும்பாலான வெளிப்படையான முயற்சிகளை கண்டறிகிறார்கள், ஆனால் இலக்கு தாக்குதல்கள் இன்னும் தவறிழைக்கின்றன. வடிகட்டிகளை மேம்படுத்த உதவும்படி உங்கள் மின்னஞ்சல் கிளையன்டில் "ஃபிஷிங் புகாரளி" பொத்தான்களை இயக்கவும்.

கவனிக்க வேண்டிய எச்சரிக்கை அறிகுறிகள்

உள்நுழைய, சரிபார்க்க அல்லது அவசரமாக செயல்பட கேட்கும் செய்தி வரும்போது:

  • அவசரம் மற்றும் அச்சுறுத்தல்கள் — "உங்கள் கணக்கு 24 மணி நேரத்தில் மூடப்படும்"
  • பொதுவான வாழ்த்துகள் — உங்கள் பெயருக்கு பதில் "அன்பான வாடிக்கையாளர்"
  • ஒரே மாதிரி தோற்றமளிக்கும் டொமைன்கள்paypaI.com, app1e.com, secure-microsoft-login.net
  • எதிர்பாராத இணைப்புகள் — குறிப்பாக .zip, .html, அல்லது .pdf கோப்புகள் காண்பதற்கு உள்நுழையுமாறு கேட்பவை
  • இலக்கணம் அல்லது வடிவமைப்பு பிழைகள் — பெரிய நிறுவனங்கள் தங்கள் மின்னஞ்சல்களை சரிபார்க்கின்றன
  • இணைப்பு பொருத்தமின்மை — இணைப்பின் மேல் சுட்டியை வைத்து இலக்கு உரையுடன் பொருந்துகிறதா என சரிபார்க்கவும்

ஏதாவது சரியில்லை என தோன்றினால், மின்னஞ்சலை மூடுங்கள். கைமுறையாக தளத்திற்கு செல்லுங்கள். உண்மையான சிக்கல் இருந்தால், உங்கள் வழக்கமான முறையில் உள்நுழையும்போது காண்பீர்கள்.

ஒன்றுக்கு ஆளானால் என்ன செய்வது

விரைவாக செயல்படுங்கள் — தாக்குநர்கள் சில நிமிடங்களில் நற்சான்றிதழ்களை பயன்படுத்த தொடங்குவதால் வேகம் முக்கியம்.

  1. வேறு சாதனத்தில் உடனடியாக கடவுச்சொல்லை மாற்றவும் (எடுத்துக்காட்டாக, நீங்கள் மடிக்கணினியில் ஆளானால் உங்கள் தொலைபேசியில்)
  2. அனைத்து செயல்பாட்டு அமர்வுகளையும் ரத்து செய்யவும் கணக்கு அமைப்புகளில் — இது திருடப்பட்ட அமர்வு டோக்கன்களை தற்போது பயன்படுத்துபவர்களை வெளியேற்றும்
  3. 2FA ஐ இயக்கவும் இன்னும் இயக்கவில்லை என்றால், முடிந்தால் வன்பொருள் திறவுகோல் அல்லது பாஸ்கீ பயன்படுத்தவும்
  4. அங்கீகரிக்கப்படாத செயல்பாட்டை சரிபார்க்கவும் — அனுப்பப்பட்ட மின்னஞ்சல்கள், சமீபத்திய உள்நுழைவுகள், பில்லிங் மாற்றங்கள், புதிய அனுப்பல் விதிகள்
  5. பாதிக்கப்பட்ட நிறுவனத்திடம் தெரிவிக்கவும் நிதி அல்லது பணி கணக்காக இருந்தால்
  6. அதே கடவுச்சொல்லை பயன்படுத்தும் மற்ற கணக்குகளை சரிபார்க்கவும் — கடவுச்சொல்களை மறுபயன்பாடு செய்யவில்லை என நிச்சயமாக நம்பினாலும், சரிபார்க்கவும்

இறுதி முடிவு

ஃபிஷிங் தழைக்கிறது, ஏனெனில் அது தொழில்நுட்பத்தை கடந்து மனிதர்களை இலக்காக கொள்கிறது. சிறந்த பாதுகாப்புகள் மூன்று அடுக்குகளை கலக்கின்றன: கடவுச்சொல் நிர்வாகிகள் (தவறான டொமைன்களில் தானியங்கி நிரப்பலை மறுக்கும்), ஃபிஷிங்-எதிர்ப்பு 2FA (உண்மையான டொமைனுடன் பிணைக்கப்பட்ட வன்பொருள் திறவுகோல்கள் அல்லது பாஸ்கீகள்), மற்றும் ஆரோக்கியமான சந்தேகம் (மின்னஞ்சல் இணைப்பிலிருந்து ஒருபோதும் உள்நுழையாதீர்கள்).

இந்த மூன்றையும் உங்கள் மிக முக்கியமான கணக்கில் — உங்கள் மின்னஞ்சல் — முதலில் இயக்கவும். அதிலிருந்து, உங்கள் மீதமுள்ள டிஜிட்டல் வாழ்க்கை பொருத்தமான முறையில் பாதுகாப்பாகிறது.

ஃபிஷிங்கிலிருந்து உங்களை எவ்வாறு பாதுகாத்துக்கொள்வது

ஃபிஷிங் தாக்குதல்களுக்கு எதிராக உங்கள் கணக்குகளை வலுப்படுத்த ஒரு நடைமுறை, வரிசைப்படுத்தப்பட்ட சரிபார்ப்பு பட்டியல்.

  1. கடவுச்சொல் நிர்வாகியை பயன்படுத்தவும்:நம்பகமான கடவுச்சொல் நிர்வாகியை (1Password, Bitwarden, Proton Pass) நிறுவி நற்சான்றிதழ்களை தானியங்கி நிரப்பல் செய்யவும். ஒரே மாதிரி தோற்றமளிக்கும் டொமைன்களில் நிரப்ப மறுக்கும், இது உங்களுக்கு உள்ளமைக்கப்பட்ட ஃபிஷிங் கண்டறிவியாக செயல்படும்.
  2. ஃபிஷிங்-எதிர்ப்பு 2FA ஐ இயக்கவும்:உங்கள் முக்கியமான கணக்குகளில் — முதலில் மின்னஞ்சல், பின்னர் வங்கி, கிளவுட் சேமிப்பு மற்றும் கடவுச்சொல் நிர்வாகி — FIDO2 வன்பொருள் திறவுகோல் (YubiKey, Google Titan) அல்லது பாஸ்கீ சேர்க்கவும். நவீன ஃபிஷிங்கை உண்மையிலேயே தடுக்கும் 2FA முறைகள் இவை மட்டுமே.
  3. மின்னஞ்சல் இணைப்புகளிலிருந்து ஒருபோதும் உள்நுழையாதீர்கள்:உள்நுழையுமாறு கேட்கும் மின்னஞ்சல் வரும்போது, மின்னஞ்சலை மூடி, புக்மார்க் மூலம் அல்லது URL தட்டச்சு செய்து கைமுறையாக தளத்திற்கு செல்லுங்கள். மின்னஞ்சலில் உள்ள இணைப்பு சரியான நகலாக இருக்கலாம்; உங்கள் உலாவியில் உள்ள புக்மார்க் அவ்வாறு இருக்காது.
  4. தட்டச்சு செய்வதற்கு முன் சரியான டொமைனை சரிபார்க்கவும்:எந்த கடவுச்சொல்லையும் உள்ளிடுவதற்கு முன், முகவரி பட்டியில் உள்ள முழு URL ஐ பார்க்கவும். https, சரியான எழுத்துப்பிழையின்மை, மற்றும் paypal.com.secure-login.net போன்ற கூடுதல் துணை டொமைன்கள் இல்லாமல் இருக்கிறதா என சரிபார்க்கவும்.
  5. புகாரளித்து தொடரவும்:ஃபிஷிங் முயற்சியை உங்கள் மின்னஞ்சல் வழங்குநரிடம் புகாரளிக்கவும் (பெரும்பாலானவர்களுக்கு "ஃபிஷிங் புகாரளி" பொத்தான் உள்ளது). பின்னர் உங்கள் நாளை தொடரவும் — ஃபிஷிங் நீங்கள் ஏமாந்தால் மட்டுமே ஆபத்தானது, மேலும் விழிப்புணர்வே பெரும்பாலான போராட்டம்.

அடிக்கடி கேட்கப்படும் கேள்விகள்