اہم مواد پر جائیں

فشنگ حملوں سے خود کو کیسے محفوظ رکھیں

فشنگ اکاؤنٹس چوری ہونے کی سب سے بڑی وجہ ہے۔ جدید فشنگ کیسے کام کرتی ہے، خطرے کی علامات، اور وہ دفاعی طریقے جو حملوں کو واقعی روکتے ہیں۔

آخری بار اپ ڈیٹ: 14 اپریل، 2026

خلاصہ

  • فشنگ اکاؤنٹس پر قبضے کی سب سے بڑی وجہ ہے — حملہ آور آپ کو جعلی سائٹ پر لاگ ان معلومات دینے پر مجبور کرتے ہیں۔
  • جدید فشنگ کٹس لاگ ان صفحات کو عین ویسا ہی نقل کرتی ہیں اور آپ کے 2FA کوڈ حقیقی وقت میں پراکسی کے ذریعے آگے بھیجتی ہیں۔
  • ہارڈویئر سیکیورٹی کیز (YubiKey، FIDO2) واحد دفاعی طریقہ ہیں جو ڈیزائن کے لحاظ سے فشنگ سے محفوظ ہیں۔
  • پاسورڈ مینیجر آپ کی حفاظت کرتے ہیں کیونکہ وہ غلط ڈومین پر خودکار معلومات بھرنے سے انکار کر دیتے ہیں۔
  • لاگ ان معلومات ٹائپ کرنے سے پہلے درست ڈومین چیک کریں، اور ای میل کے لنک سے کبھی لاگ ان نہ کریں۔

فشنگ کیا ہے؟

فشنگ ایک سوشل انجینئرنگ حملہ ہے جس میں حملہ آور کسی جائز ویب سائٹ کی ایک قائل کرنے والی نقل تیار کرتا ہے — اکثر بالکل عین ویسی ہی — اور کسی شکار کو وہاں اپنی لاگ ان معلومات داخل کرنے پر اُکساتا ہے۔ جیسے ہی شکار فارم جمع کراتا ہے، حملہ آور یوزر نیم، پاسورڈ، اور کوئی بھی دوسرا عنصر حاصل کر لیتا ہے، پھر چند سیکنڈوں میں اصلی اکاؤنٹ پر قبضہ کر لیتا ہے۔

یہ لفظ مچھلی پکڑنے ("fishing") کے استعارے سے آیا ہے — چارہ (عموماً ایک ای میل) لگا کر شکار کو پھانسنا۔ ہجے بدل کر ph کیا گیا تاکہ اس بات پر زور دیا جائے کہ حملہ آور اکثر phone نمبر (SMS فشنگ، یا "smishing") اور پیشہ ورانہ بنیادی ڈھانچہ استعمال کرتے ہیں۔

فشنگ اب بھی سب سے بڑا خطرہ کیوں ہے

آج کل زیادہ تر بڑے پیمانے کی اکاؤنٹ خلاف ورزیوں میں ہیکنگ، پاسورڈ کریک کرنے، یا انکرپشن کو بائی پاس کرنے کا معاملہ نہیں ہوتا۔ ان میں کوئی انسان ایک جعلی سائٹ پر پاسورڈ ٹائپ کرتا ہے۔ فشنگ:

  • سستی ہے — ایک حملہ آور ایک VPS اور ایک جعلی ڈومین کی لاگت پر لاکھوں ای میلز بھیج سکتا ہے
  • فلٹر کرنا مشکل ہے — جدید کٹس ڈومینز بدلتی رہتی ہیں، جائز ہوسٹنگ استعمال کرتی ہیں، اور حقیقی وقت میں فلٹرز کے مطابق ڈھل جاتی ہیں
  • مؤثر ہے — حفاظت سے باخبر صارفین بھی اچھے طریقے سے ہدف بنائے گئے حملوں (اسپیئر فشنگ) کا شکار ہو جاتے ہیں
  • وسیع پیمانے پر کام کرتی ہے — ایک کامیاب فشنگ اکثر پاسورڈ کے دوبارہ استعمال کے ذریعے درجنوں منسلک سروسز تک رسائی دیتی ہے

2024 کی Verizon Data Breach Investigations Report میں پایا گیا کہ تمام خلاف ورزیوں میں سے 36% سے زیادہ میں فشنگ ابتدائی رسائی کا ذریعہ تھی — کسی بھی اکیلی وجہ سے زیادہ۔

جدید فشنگ کیسے کام کرتی ہے

فشنگ 2000 کی دہائی کے "نائجیرین شہزادے" والی ای میلز سے بہت آگے نکل چکی ہے۔ ایک جدید فشنگ حملے میں عموماً یہ شامل ہوتا ہے:

1. ایک قائل کرنے والا چارہ

عموماً ایک ای میل، ٹیکسٹ، یا چیٹ پیغام جو عجلت ("آپ کا اکاؤنٹ معطل کر دیا جائے گا")، اختیار ("Microsoft سیکیورٹی ٹیم")، یا تجسس ("کسی نے آپ کو ایک تصویر میں ٹیگ کیا") پیدا کرتا ہے۔ اسپیئر فشنگ اسے LinkedIn، ڈیٹا خلاف ورزی کے ڈمپس، یا پہلے کی گفتگو سے حاصل کردہ ذاتی تفصیلات سے مزید آگے لے جاتی ہے۔

2. بالکل اصل جیسی جعلی سائٹ

حملہ آور ریڈی میڈ فشنگ کٹس استعمال کرتے ہیں جو ہدف سائٹ کا HTML، CSS، اور JavaScript نقل کرتی ہیں۔ بہت سی کٹس بطور سروس (فشنگ-ایز-اے-سروس) فروخت کی جاتی ہیں، کام کرنے والے ڈیش بورڈز اور کسٹمر سپورٹ کے ساتھ۔

3. 2FA کے لیے حقیقی وقت کی پراکسی

خطرناک حصہ یہ ہے: جدید کٹس صرف آپ کا پاسورڈ نہیں پکڑتیں۔ یہ ایک مین-ان-دی-مڈل پراکسی کے طور پر کام کرتی ہیں جو آپ کی ٹائپ کردہ ہر چیز — بشمول آپ کے TOTP کوڈ — کو چند سیکنڈوں میں اصلی سائٹ تک پہنچا دیتی ہیں، اس طرح زیادہ تر 2FA کو بائی پاس کر دیتی ہیں۔ اس تکنیک کو ایڈورسری-ان-دی-مڈل (AiTM) کہا جاتا ہے اور اسے Evilginx2 اور Modlishka جیسے ٹولز میں استعمال کیا جاتا ہے۔

4. سیشن ٹوکن چوری

ایک بار جب آپ پراکسی کے ذریعے توثیق کرتے ہیں تو حملہ آور آپ کی سیشن کوکی حاصل کر لیتا ہے اور پاسورڈ تبدیل کرنے کے بعد بھی لاگ ان رہ سکتا ہے۔ اسی لیے فشنگ کے ردعمل میں ہمیشہ فعال سیشنز منسوخ کرنا شامل ہوتا ہے، نہ صرف پاسورڈ تبدیل کرنا۔

فشنگ کو واقعی کیا روکتا ہے

ہارڈویئر سیکیورٹی کیز (FIDO2 / WebAuthn)

یہ واحد دفاعی زمرہ ہے جو ڈیزائن کے لحاظ سے فشنگ سے محفوظ ہے۔ جب آپ FIDO2 کی سے لاگ ان کرتے ہیں تو آپ کی کی کرپٹوگرافک طریقے سے توثیق کی درخواست کرنے والی سائٹ کا بالکل درست ڈومین تصدیق کرتی ہے۔ ایک جعلی سائٹ — چاہے وہ بصری طور پر کتنی بھی عین ویسی ہو — کا ڈومین مختلف ہوتا ہے، اس لیے کی جواب دینے سے انکار کر دیتی ہے۔ کرپٹوگرافک ہینڈشیک سادہ طور پر مکمل نہیں ہوتا۔

Google نے مشہوری کے ساتھ 2017 میں اپنے تمام 85,000 سے زیادہ ملازمین کے لیے YubiKeys لازمی قرار دیے اور اس کے بعد کے سالوں میں کمپنی کے اکاؤنٹس پر کوئی کامیاب فشنگ حملہ رپورٹ نہیں ہوا۔

پاس کیز

پاس کیز FIDO2 کا صارف دوست ارتقا ہیں۔ یہ وہی ڈومین سے منسلک کرپٹوگرافی استعمال کرتی ہیں اور iOS، Android، macOS، اور Windows میں بنی ہوئی ہیں۔ اگر آپ کی استعمال کردہ سائٹ پاس کیز کو سپورٹ کرتی ہے تو اسے فعال کرنا اس اکاؤنٹ کو فشنگ سے محفوظ بنا دیتا ہے۔

پاسورڈ مینیجرز

پاسورڈ مینیجر آپ کا دوسرا دفاعی خط ہے کیونکہ یہ صرف اسی ڈومین پر لاگ ان معلومات خودکار بھرتا ہے جہاں وہ محفوظ کی گئی تھیں۔ اگر آپ paypal.com کے بجائے paypaI.com (بڑا I) پر پہنچ جائیں تو آپ کا مینیجر خاموشی سے فارم بھرنے سے انکار کر دے گا۔ یہ انکار ایک واضح انتباہ ہے کہ کچھ غلط ہے۔

ای میل اور DNS فلٹرنگ

ای میل فراہم کنندگان جعلی بھیجنے والوں کے پتوں کا پتہ لگانے کے لیے DMARC، SPF، اور DKIM استعمال کرتے ہیں۔ زیادہ تر جدید فراہم کنندگان واضح کوششوں کو پکڑ لیتے ہیں، لیکن ہدف بنائے گئے حملے پھر بھی گزر جاتے ہیں۔ اپنے میل کلائنٹ میں "report phishing" بٹن فعال کریں تاکہ آپ فلٹرز کو بہتر بنانے میں مدد کریں۔

خطرے کی علامات جن پر نظر رکھیں

جب آپ کو کوئی پیغام لاگ ان کرنے، تصدیق کرنے، یا فوری عمل کرنے کو کہے:

  • عجلت اور دھمکیاں — "آپ کا اکاؤنٹ 24 گھنٹوں میں بند کر دیا جائے گا"
  • عام استقبالیہ — آپ کے نام کے بجائے "عزیز گاہک"
  • مشابہ ڈومینزpaypaI.com، app1e.com، secure-microsoft-login.net
  • غیر متوقع منسلکات — خاص طور پر .zip، .html، یا .pdf فائلیں جو دیکھنے کے لیے لاگ ان مانگیں
  • گرامر یا فارمیٹنگ کی غلطیاں — بڑی کمپنیاں اپنی ای میلز پروف ریڈ کرتی ہیں
  • لنک کا عدم مطابقت — لنک پر ماؤس لے جائیں اور چیک کریں کہ آیا منزل متن سے میل کھاتی ہے

اگر کچھ بھی عجیب لگے تو ای میل بند کریں۔ سائٹ پر خود جائیں۔ اگر کوئی حقیقی مسئلہ ہے تو آپ اسے اپنے معمول کے طریقے سے لاگ ان کرنے پر دیکھ لیں گے۔

اگر آپ شکار ہو گئے تو کیا کریں

فوری عمل کریں — رفتار اہم ہے کیونکہ حملہ آور منٹوں میں لاگ ان معلومات استعمال کرنا شروع کر دیتے ہیں۔

  1. فوری طور پر پاسورڈ تبدیل کریں کسی دوسری ڈیوائس سے (مثلاً اپنے فون سے، اگر آپ لیپ ٹاپ پر شکار ہوئے)
  2. تمام فعال سیشنز منسوخ کریں اکاؤنٹ کی ترتیبات میں — اس سے جو بھی چوری شدہ سیشن ٹوکنز استعمال کر رہا ہے وہ باہر ہو جاتا ہے
  3. 2FA فعال کریں اگر پہلے سے نہیں تھی، اور ممکن ہو تو ہارڈویئر کی یا پاس کی استعمال کریں
  4. غیر مجاز سرگرمی چیک کریں — بھیجی گئی ای میلز، حالیہ لاگ انز، بلنگ تبدیلیاں، نئے فارورڈنگ قوانین
  5. متاثرہ ادارے کو مطلع کریں اگر یہ مالیاتی یا دفتری اکاؤنٹ ہے
  6. دوسرے اکاؤنٹس چیک کریں جن میں وہی پاسورڈ استعمال ہوا ہو — چاہے آپ کو یقین ہو کہ آپ پاسورڈ دوبارہ استعمال نہیں کرتے، پھر بھی چیک کریں

خلاصہ

فشنگ پنپتی ہے کیونکہ یہ ٹیکنالوجی کو نظرانداز کر کے انسانوں کو نشانہ بناتی ہے۔ بہترین دفاع تین تہوں کو ملاتا ہے: پاسورڈ مینیجرز (غلط ڈومینز پر خودکار بھرنے سے انکار)، فشنگ مزاحم 2FA (ہارڈویئر کیز یا پاس کیز جو اصلی ڈومین سے منسلک ہوتی ہیں)، اور صحت مند شک (ای میل لنک سے کبھی لاگ ان نہ کریں)۔

یہ تینوں اپنے اہم ترین اکاؤنٹ — اپنی ای میل — پر پہلے فعال کریں۔ اس کے بعد، آپ کی باقی ڈیجیٹل زندگی معنی خیز طور پر زیادہ محفوظ ہو جائے گی۔

فشنگ سے خود کو کیسے محفوظ رکھیں

اپنے اکاؤنٹس کو فشنگ حملوں سے محفوظ کرنے کے لیے ایک عملی اور ترتیب وار چیک لسٹ۔

  1. پاسورڈ مینیجر استعمال کریں:ایک معروف پاسورڈ مینیجر (1Password، Bitwarden، Proton Pass) انسٹال کریں اور اسے خودکار لاگ ان معلومات بھرنے دیں۔ یہ مشابہ ڈومینز پر معلومات بھرنے سے انکار کر دے گا، جس سے آپ کو ایک بلٹ ان فشنگ ڈیٹیکٹر مل جاتا ہے۔
  2. فشنگ مزاحم 2FA فعال کریں:اپنے اہم ترین اکاؤنٹس — پہلے ای میل، پھر بینکنگ، کلاؤڈ سٹوریج، اور پاسورڈ مینیجر — میں FIDO2 ہارڈویئر کی (YubiKey، Google Titan) یا پاس کی شامل کریں۔ یہی واحد 2FA طریقے ہیں جو جدید فشنگ کو واقعی روکتے ہیں۔
  3. ای میل کے لنک سے کبھی لاگ ان نہ کریں:جب آپ کو کوئی ای میل سائن ان کرنے کے لیے کہے تو ای میل بند کریں اور سائٹ پر خود جائیں — بُک مارک استعمال کریں یا URL ٹائپ کریں۔ ای میل میں موجود لنک ایک عین نقل ہو سکتا ہے؛ آپ کے براؤزر میں محفوظ بُک مارک نہیں ہوتا۔
  4. ٹائپ کرنے سے پہلے ڈومین درست چیک کریں:کوئی بھی پاسورڈ داخل کرنے سے پہلے ایڈریس بار میں پورا URL دیکھیں۔ https، درست ہجے، اور paypal.com.secure-login.net جیسے اضافی سب ڈومینز نہ ہونے کی تصدیق کریں۔
  5. رپورٹ کریں اور آگے بڑھیں:فشنگ کی کوشش اپنے ای میل فراہم کنندہ کو رپورٹ کریں (اکثر "Report phishing" کا بٹن ہوتا ہے)۔ پھر اپنے کام میں لگ جائیں — فشنگ صرف اسی وقت خطرناک ہوتی ہے جب آپ اس کا شکار ہوں، اور آگاہی ہی اس کا بڑا حل ہے۔

اکثر پوچھے جانے والے سوالات