ప్రధాన కంటెంట్‌కు వెళ్లండి

ఫిషింగ్ దాడుల నుండి మిమ్మల్ని మీరు ఎలా రక్షించుకోవాలి

ఫిషింగ్ అనేది అకౌంట్లు దొంగిలించబడటానికి #1 కారణం. ఆధునిక ఫిషింగ్ ఎలా పని చేస్తుందో, హెచ్చరిక సంకేతాలు, మరియు దాడులను నిజంగా ఆపే రక్షణ చర్యలు.

చివరిసారి అప్‌డేట్ చేయబడింది: 14 ఏప్రిల్, 2026

సారాంశం

  • ఫిషింగ్ అనేది అకౌంట్ టేకోవర్లకు #1 కారణం — దాడి చేసేవారు మీరు నకిలీ సైట్‌లో ఆధారాలు ఇచ్చేలా మోసం చేస్తారు.
  • ఆధునిక ఫిషింగ్ కిట్లు లాగిన్ పేజీలను పిక్సెల్-పర్ఫెక్ట్‌గా క్లోన్ చేస్తాయి మరియు మీ 2FA కోడ్‌లను రియల్ టైమ్‌లో ప్రాక్సీ చేస్తాయి.
  • హార్డ్‌వేర్ సెక్యూరిటీ కీలు (YubiKey, FIDO2) మాత్రమే డిజైన్ పరంగా ఫిషింగ్-ప్రూఫ్ అయిన రక్షణ.
  • పాస్‌వర్డ్ మేనేజర్లు తప్పుడు డొమైన్‌లో ఆటోఫిల్ చేయడానికి నిరాకరించడం ద్వారా మిమ్మల్ని రక్షిస్తాయి.
  • ఆధారాలు టైప్ చేయడానికి ముందు ఖచ్చితమైన డొమైన్‌ను తనిఖీ చేయండి, మరియు ఇమెయిల్‌లోని లింక్ నుండి ఎన్నటికీ లాగిన్ చేయకండి.

ఫిషింగ్ అంటే ఏమిటి?

ఫిషింగ్ అనేది ఒక సోషల్ ఇంజినీరింగ్ దాడి, దీనిలో దాడి చేసే వ్యక్తి చట్టబద్ధమైన వెబ్‌సైట్‌కు అనుకరిస్తూ ఒక ఒప్పించే నకలు — తరచూ పిక్సెల్-పర్ఫెక్ట్‌గా — రూపొందించి, బాధితుడు అక్కడ ఆధారాలు నమోదు చేసేలా మోసం చేస్తాడు. బాధితుడు ఫారమ్ సబ్మిట్ చేసిన వెంటనే, దాడి చేసే వ్యక్తి యూజర్‌నేమ్, పాస్‌వర్డ్, మరియు ఏదైనా రెండవ కారకాన్ని సేకరించి, సెకన్లలో నిజమైన అకౌంట్‌ను స్వాధీనం చేసుకోవడానికి వాటిని ఉపయోగిస్తాడు.

ఈ పదం బాధితుల కోసం ఎరతో "చేపలు పట్టడం" అనే రూపకం నుండి వచ్చింది (సాధారణంగా ఒక ఇమెయిల్). phోన్ నంబర్లు (SMS ఫిషింగ్, లేదా "స్మిషింగ్") మరియు వృత్తిపరంగా కనిపించే మౌలిక సదుపాయాలను దాడి చేసేవారు తరచుగా ఉపయోగిస్తారని నొక్కి చెప్పడానికి స్పెల్లింగ్ మారింది.

ఫిషింగ్ ఇంకా #1 ముప్పుగా ఎందుకు ఉంది

నేటి చాలా పెద్ద-స్థాయి అకౌంట్ ఉల్లంఘనలు హ్యాకింగ్, పాస్‌వర్డ్‌లను క్రాకింగ్ చేయడం లేదా ఎన్క్రిప్షన్‌ను దాటడం వంటివి కాదు. అవి ఒక మానవుడు నకిలీ సైట్‌లో పాస్‌వర్డ్ టైప్ చేయడం వల్ల జరుగుతాయి. ఫిషింగ్:

  • చౌకైనది — ఒక దాడి చేసే వ్యక్తి VPS మరియు స్పూఫ్ చేసిన డొమైన్ ఖర్చుతో మిలియన్ల ఇమెయిల్‌లు పంపవచ్చు
  • ఫిల్టర్ చేయడం కష్టం — ఆధునిక కిట్లు డొమైన్‌లను రొటేట్ చేస్తాయి, చట్టబద్ధమైన హోస్టింగ్ ఉపయోగిస్తాయి, మరియు రియల్ టైమ్‌లో ఫిల్టర్లకు అనుగుణంగా మారుతాయి
  • ప్రభావవంతమైనది — సెక్యూరిటీ-అవేర్ యూజర్లు కూడా బాగా రూపొందించిన లక్ష్యిత ప్రయత్నాలకు (స్పీర్ ఫిషింగ్) లోనవుతారు
  • స్కేలబుల్ — ఒక విజయవంతమైన ఫిష్ తరచుగా పాస్‌వర్డ్ పునర్వినియోగం ద్వారా డజన్ల కనెక్టెడ్ సేవలకు యాక్సెస్ ఇస్తుంది

2024 Verizon డేటా బ్రీచ్ ఇన్వెస్టిగేషన్స్ రిపోర్ట్ ప్రకారం అన్ని ఉల్లంఘనలలో 36% కంటే ఎక్కువలో ఫిషింగ్ ప్రారంభ యాక్సెస్ వెక్టర్‌గా ఉంది — మరే ఒక్క కారణం కంటే ఎక్కువ.

ఆధునిక ఫిషింగ్ ఎలా పని చేస్తుంది

2000ల "నైజీరియన్ ప్రిన్స్" ఇమెయిల్‌లను దాటి ఫిషింగ్ చాలా అభివృద్ధి చెందింది. ఆధునిక ఫిషింగ్ దాడిలో సాధారణంగా ఇవి ఉంటాయి:

1. ఒప్పించే ఆకర్షణ

సాధారణంగా అత్యవసరత ("మీ అకౌంట్ సస్పెండ్ చేయబడుతుంది"), అధికారం ("Microsoft సెక్యూరిటీ టీమ్"), లేదా కుతూహలం ("ఎవరో మీకు ఒక ఫోటోలో ట్యాగ్ చేశారు") సృష్టించే ఒక ఇమెయిల్, టెక్స్ట్, లేదా చాట్ సందేశం. స్పీర్-ఫిషింగ్ LinkedIn, బ్రీచ్ డంప్‌లు, లేదా మునుపటి కరస్పాండెన్స్ నుండి తీసుకున్న వ్యక్తిగత వివరాలతో ఇంకా ముందుకు వెళ్తుంది.

2. పిక్సెల్-పర్ఫెక్ట్ నకిలీ సైట్

దాడి చేసేవారు లక్ష్య సైట్ HTML, CSS, మరియు JavaScript ను క్లోన్ చేసే రెడీమేడ్ ఫిషింగ్ కిట్‌లు ఉపయోగిస్తారు. చాలా కిట్లు సేవగా (ఫిషింగ్-యాజ్-ఎ-సర్వీస్) వర్కింగ్ డాష్‌బోర్డ్‌లు మరియు కస్టమర్ సపోర్ట్‌తో విక్రయించబడతాయి.

3. 2FA కోసం రియల్-టైమ్ ప్రాక్సీ

ప్రమాదకరమైన భాగం: ఆధునిక కిట్లు మీ పాస్‌వర్డ్‌ను మాత్రమే సేకరించవు. అవి మీరు టైప్ చేసిన అన్నింటినీ — మీ TOTP కోడ్‌తో సహా — సెకన్లలో నిజమైన సైట్‌కు ఫార్వర్డ్ చేసే మాన్-ఇన్-ది-మిడిల్ ప్రాక్సీగా పని చేస్తాయి, చాలా 2FA ను దాటవేస్తాయి. ఈ టెక్నిక్‌ను adversary-in-the-middle (AiTM) అంటారు మరియు ఇది Evilginx2 మరియు Modlishka వంటి సాధనాలలో ఉపయోగించబడుతుంది.

4. సెషన్ టోకెన్ దొంగతనం

మీరు ప్రాక్సీ ద్వారా అథెంటికేట్ చేసిన తర్వాత, దాడి చేసే వ్యక్తి మీ సెషన్ కుకీని సేకరించి, మీరు పాస్‌వర్డ్ మార్చిన తర్వాత కూడా లాగిన్ అయి ఉండగలరు. అందుకే ఫిషింగ్ రెస్పాన్స్‌లో కేవలం పాస్‌వర్డ్ రొటేషన్ మాత్రమే కాకుండా యాక్టివ్ సెషన్‌లను రద్దు చేయడం ఎల్లప్పుడూ చేర్చబడుతుంది.

నిజంగా ఫిషింగ్‌ను ఏది ఆపుతుంది

హార్డ్‌వేర్ సెక్యూరిటీ కీలు (FIDO2 / WebAuthn)

ఇది డిజైన్ పరంగా ఫిషింగ్-ప్రూఫ్ అయిన ఏకైక రక్షణ వర్గం. మీరు FIDO2 కీతో లాగిన్ చేసినప్పుడు, మీ కీ అథెంటికేషన్ అభ్యర్థిస్తున్న సైట్ యొక్క ఖచ్చితమైన డొమైన్‌ను క్రిప్టోగ్రాఫిక్‌గా ధృవీకరిస్తుంది. నకిలీ సైట్ — దృశ్యంగా ఎంత పర్ఫెక్ట్‌గా ఉన్నా సరే — వేరే డొమైన్ కలిగి ఉంటుంది, కాబట్టి కీ స్పందించడానికి నిరాకరిస్తుంది. క్రిప్టోగ్రాఫిక్ హ్యాండ్‌షేక్ పూర్తి కాదు.

Google 2017లో తమ 85,000+ ఉద్యోగులందరికీ YubiKey లను నిర్బంధంగా చేసింది మరియు అప్పటి నుండి కంపెనీ అకౌంట్లపై సున్నా విజయవంతమైన ఫిషింగ్ దాడులు జరిగాయని నివేదించింది.

పాస్‌కీలు

పాస్‌కీలు FIDO2 యొక్క వినియోగదారు-స్నేహపూర్వక పరిణామం. అవి అదే డొమైన్-బౌండ్ క్రిప్టోగ్రఫీ ఉపయోగిస్తాయి మరియు iOS, Android, macOS, మరియు Windows లో అంతర్నిర్మితంగా ఉంటాయి. మీరు ఉపయోగించే సైట్ పాస్‌కీలకు మద్దతు ఇస్తే, ఒకటి ఎనేబుల్ చేయడం వల్ల ఆ అకౌంట్ ఫిషింగ్-ప్రూఫ్ అవుతుంది.

పాస్‌వర్డ్ మేనేజర్లు

పాస్‌వర్డ్ మేనేజర్ మీ రెండవ రక్షణ రేఖ, ఎందుకంటే ఇది ఆధారాలు సేవ్ చేయబడిన ఖచ్చితమైన డొమైన్లో మాత్రమే ఆటోఫిల్ చేస్తుంది. మీరు paypal.com కు బదులు paypaI.com (పెద్ద I) లో ల్యాండ్ అయితే, మీ మేనేజర్ ఫారమ్‌ను ఫిల్ చేయడానికి నిశ్శబ్దంగా నిరాకరిస్తుంది. ఆ నిరాకరణ ఏదో తప్పు అని సూచించే పెద్ద హెచ్చరిక.

ఇమెయిల్ మరియు DNS ఫిల్టరింగ్

ఇమెయిల్ ప్రొవైడర్లు స్పూఫ్ చేసిన సెండర్ అడ్రస్‌లను గుర్తించడానికి DMARC, SPF, మరియు DKIM ఉపయోగిస్తాయి. చాలా ఆధునిక ప్రొవైడర్లు స్పష్టమైన ప్రయత్నాలను పట్టుకుంటారు, కానీ లక్ష్యిత దాడులు ఇంకా జారిపోతాయి. ఫిల్టర్లు మెరుగుపడేందుకు మీరు సహాయపడేలా మీ మెయిల్ క్లయింట్‌లో "report phishing" బటన్‌లను ఎనేబుల్ చేయండి.

గమనించవలసిన హెచ్చరిక సంకేతాలు

మీరు లాగిన్ చేయమని, ధృవీకరించమని, లేదా అత్యవసరంగా వ్యవహరించమని అడిగే సందేశం అందుకున్నప్పుడు:

  • అత్యవసరత మరియు బెదిరింపులు — "మీ అకౌంట్ 24 గంటల్లో మూసివేయబడుతుంది"
  • సాధారణ శుభాకాంక్షలు — మీ పేరు బదులు "ప్రియమైన కస్టమర్"
  • నకిలీ డొమైన్లుpaypaI.com, app1e.com, secure-microsoft-login.net
  • ఊహించని అటాచ్‌మెంట్లు — ముఖ్యంగా వాటిని చూడడానికి మీరు లాగిన్ చేయమని అడిగే .zip, .html, లేదా .pdf ఫైల్‌లు
  • వ్యాకరణ లేదా ఫార్మాటింగ్ తప్పులు — పెద్ద కంపెనీలు వాటి ఇమెయిల్‌లను ప్రూఫ్‌రీడ్ చేస్తాయి
  • లింక్ అసమానత — లింక్‌పై హోవర్ చేసి, గమ్యస్థానం టెక్స్ట్‌తో సరిపోలుతుందా అని తనిఖీ చేయండి

ఏదైనా తప్పుగా అనిపిస్తే, ఇమెయిల్ మూసివేయండి. సైట్‌కు మాన్యువల్‌గా నావిగేట్ చేయండి. నిజమైన సమస్య ఏదైనా ఉంటే, మీ సాధారణ వర్క్‌ఫ్లో ద్వారా లాగిన్ చేసినప్పుడు మీరు దాన్ని చూస్తారు.

మీరు లోనైతే ఏమి చేయాలి

త్వరగా వ్యవహరించండి — దాడి చేసేవారు ఆధారాలను నిమిషాల్లో ఉపయోగించడం ప్రారంభిస్తారు కాబట్టి వేగం ముఖ్యం.

  1. వెంటనే పాస్‌వర్డ్ మార్చండి వేరే పరికరంలో (ఉదాహరణకు, మీరు ల్యాప్‌టాప్‌లో లోనైతే మీ ఫోన్‌లో)
  2. అన్ని యాక్టివ్ సెషన్‌లను రద్దు చేయండి అకౌంట్ సెట్టింగ్‌లలో — ఇది దొంగిలించిన సెషన్ టోకెన్‌లు ప్రస్తుతం ఉపయోగిస్తున్న వారిని బయటకు నెట్టివేస్తుంది
  3. 2FA ఎనేబుల్ చేయండి అది ఇంకా ఆన్ కాకుంటే, మరియు సాధ్యమైతే హార్డ్‌వేర్ కీ లేదా పాస్‌కీ ఉపయోగించండి
  4. అనధికార కార్యాచరణ తనిఖీ చేయండి — పంపిన ఇమెయిల్‌లు, ఇటీవలి లాగిన్‌లు, బిల్లింగ్ మార్పులు, కొత్త ఫార్వార్డింగ్ నియమాలు
  5. ప్రభావిత సంస్థకు తెలియజేయండి ఇది ఆర్థిక లేదా వర్క్ అకౌంట్ అయితే
  6. ఇతర అకౌంట్లను తనిఖీ చేయండి అదే పాస్‌వర్డ్ ఉపయోగించిన వాటిని — మీరు పాస్‌వర్డ్‌లను పునర్వినియోగించలేదని ఖచ్చితంగా అనిపించినా, తనిఖీ చేయండి

సారాంశం

ఫిషింగ్ పనిచేస్తుంది ఎందుకంటే ఇది టెక్నాలజీని దాటవేసి మానవులను లక్ష్యంగా చేసుకుంటుంది. అత్యుత్తమ రక్షణలు మూడు స్థాయిలను కలపుతాయి: పాస్‌వర్డ్ మేనేజర్లు (తప్పుడు డొమైన్‌లలో ఆటోఫిల్ చేయడానికి నిరాకరిస్తాయి), ఫిషింగ్-రెసిస్టెంట్ 2FA (నిజమైన డొమైన్‌తో బంధించే హార్డ్‌వేర్ కీలు లేదా పాస్‌కీలు), మరియు ఆరోగ్యకరమైన సందేహాస్పదత (ఇమెయిల్ లింక్ నుండి ఎన్నటికీ లాగిన్ చేయకూడదు).

మీ అత్యంత ముఖ్యమైన అకౌంట్‌లో — మీ ఇమెయిల్‌లో — మూడింటినీ ముందు ఎనేబుల్ చేయండి. అక్కడ నుండి, మీ డిజిటల్ జీవితంలో మిగిలిన భాగం అర్థపూర్వకంగా సురక్షితం అవుతుంది.

ఫిషింగ్ నుండి మిమ్మల్ని మీరు ఎలా రక్షించుకోవాలి

ఫిషింగ్ దాడుల నుండి మీ అకౌంట్లను రక్షించుకోవడానికి ఒక ఆచరణాత్మక, క్రమపద్ధతిలో చేసే చెక్‌లిస్ట్.

  1. పాస్‌వర్డ్ మేనేజర్‌ను ఉపయోగించండి:ఒక విశ్వసనీయ పాస్‌వర్డ్ మేనేజర్‌ను (1Password, Bitwarden, Proton Pass) ఇన్‌స్టాల్ చేసి ఆధారాలను ఆటోఫిల్ చేయనివ్వండి. ఇది నకిలీ డొమైన్‌లలో ఆటోఫిల్ చేయడానికి నిరాకరిస్తుంది, మీకు అంతర్నిర్మిత ఫిషింగ్ డిటెక్టర్‌ను అందిస్తుంది.
  2. ఫిషింగ్-రెసిస్టెంట్ 2FA ఎనేబుల్ చేయండి:మీ అత్యంత ముఖ్యమైన అకౌంట్లకు — ముందుగా ఇమెయిల్, తర్వాత బ్యాంకింగ్, క్లౌడ్ స్టోరేజ్, మరియు పాస్‌వర్డ్ మేనేజర్ — FIDO2 హార్డ్‌వేర్ కీ (YubiKey, Google Titan) లేదా పాస్‌కీ జోడించండి. ఆధునిక ఫిషింగ్‌ను నిజంగా ఆపే 2FA పద్ధతులు ఇవి మాత్రమే.
  3. ఇమెయిల్ లింక్‌ల నుండి ఎన్నటికీ లాగిన్ చేయకండి:మీకు సైన్ ఇన్ చేయమని అడిగే ఇమెయిల్ వచ్చినప్పుడు, ఇమెయిల్ మూసివేసి బుక్‌మార్క్ ద్వారా లేదా URL టైప్ చేయడం ద్వారా సైట్‌కు మాన్యువల్‌గా నావిగేట్ చేయండి. ఇమెయిల్‌లోని లింక్ పర్ఫెక్ట్ క్లోన్ కావచ్చు; మీ బ్రౌజర్‌లోని బుక్‌మార్క్ కాదు.
  4. టైప్ చేయడానికి ముందు ఖచ్చితమైన డొమైన్‌ను తనిఖీ చేయండి:ఏదైనా పాస్‌వర్డ్ నమోదు చేయడానికి ముందు, అడ్రస్ బార్‌లోని పూర్తి URL చూడండి. https ఉందా, సరైన స్పెల్లింగ్ ఉందా, మరియు paypal.com.secure-login.net వంటి అదనపు సబ్‌డొమైన్‌లు లేవు కదా అని తనిఖీ చేయండి.
  5. రిపోర్ట్ చేసి ముందుకు వెళ్ళండి:ఫిషింగ్ ప్రయత్నాన్ని మీ ఇమెయిల్ ప్రొవైడర్‌కు రిపోర్ట్ చేయండి (చాలా మందికి "Report phishing" బటన్ ఉంటుంది). తర్వాత మీ పనిలో మునిగిపొండి — ఫిషింగ్ మీరు దానికి లోనైతేనే ప్రమాదకరం, మరియు అవగాహనే అతిపెద్ద రక్షణ.

తరచుగా అడిగే ప్రశ్నలు