दो-कारक प्रमाणीकरण को दरकिनार करने के लिए फ़िशिंग हमलों के बारे में चेतावनी

दो-कारक प्रमाणीकरण (2FA) अब पूरी तरह सुरक्षित सुरक्षा नहीं रही। चित्रांकन

हमले का नया रूप

साइबर सुरक्षा में दो-कारक प्रमाणीकरण (2FA) एक मानक सुरक्षा सुविधा बन गई है। इसके लिए उपयोगकर्ताओं को एक दूसरे प्रमाणीकरण चरण के माध्यम से अपनी पहचान सत्यापित करनी होती है, जो आमतौर पर टेक्स्ट संदेश, ईमेल या प्रमाणीकरण ऐप के माध्यम से भेजा जाने वाला एक वन-टाइम पासवर्ड (OTP) होता है। सुरक्षा की यह अतिरिक्त परत उपयोगकर्ता के खाते की सुरक्षा के लिए बनाई गई है, भले ही उसका पासवर्ड चोरी हो जाए।

यद्यपि 2FA को कई वेबसाइटों द्वारा व्यापक रूप से अपनाया गया है और संगठनों द्वारा इसकी आवश्यकता है, हाल ही में, कैस्परस्की साइबर सुरक्षा विशेषज्ञों ने 2FA को बायपास करने के लिए साइबर अपराधियों द्वारा उपयोग किए जाने वाले फ़िशिंग हमलों का पता लगाया है।

तदनुसार, साइबर हमलावरों ने साइबर हमले का एक और अधिक परिष्कृत रूप अपना लिया है, जिसमें फ़िशिंग को स्वचालित ओटीपी बॉट्स के साथ जोड़कर उपयोगकर्ताओं को धोखा दिया जाता है और उनके खातों तक अनधिकृत पहुँच प्राप्त की जाती है। विशेष रूप से, स्कैमर उपयोगकर्ताओं को ये ओटीपी बताने के लिए धोखा देते हैं ताकि वे 2FA सुरक्षा उपायों को दरकिनार कर सकें।

साइबर अपराधी फ़िशिंग और स्वचालित ओटीपी बॉट्स का इस्तेमाल करके उपयोगकर्ताओं को धोखा देते हैं और उनके खातों तक अनधिकृत पहुँच प्राप्त करते हैं। चित्र (चित्र)

यहाँ तक कि ओटीपी बॉट्स, एक परिष्कृत उपकरण, का इस्तेमाल स्कैमर्स सोशल इंजीनियरिंग हमलों के ज़रिए ओटीपी कोड को इंटरसेप्ट करने के लिए करते हैं। हमलावर अक्सर फ़िशिंग या डेटा की कमज़ोरियों का फायदा उठाकर पीड़ितों के लॉगिन क्रेडेंशियल चुराने की कोशिश करते हैं। फिर वे पीड़ित के अकाउंट में लॉग इन करते हैं, जिससे पीड़ित के फ़ोन पर ओटीपी कोड भेजना शुरू हो जाता है।

इसके बाद, ओटीपी बॉट स्वचालित रूप से पीड़ित को कॉल करेगा, किसी विश्वसनीय संगठन के कर्मचारी का रूप धारण करके, एक पूर्व-प्रोग्राम्ड वार्तालाप स्क्रिप्ट का उपयोग करके पीड़ित को ओटीपी कोड बताने के लिए राज़ी करेगा। अंततः, हमलावर बॉट के माध्यम से ओटीपी कोड प्राप्त करता है और इसका उपयोग पीड़ित के खाते तक अवैध रूप से पहुँचने के लिए करता है।

धोखेबाज़ अक्सर टेक्स्ट मैसेज की बजाय वॉयस कॉल को ज़्यादा पसंद करते हैं क्योंकि पीड़ित इस तरीके पर जल्दी प्रतिक्रिया देते हैं। इसलिए, ओटीपी बॉट विश्वास और विश्वास की भावना पैदा करने के लिए मानवीय कॉल के लहजे और तात्कालिकता का अनुकरण करते हैं।

धोखेबाज़ समर्पित ऑनलाइन डैशबोर्ड या टेलीग्राम जैसे मैसेजिंग प्लेटफ़ॉर्म के ज़रिए ओटीपी बॉट्स को नियंत्रित करते हैं। ये बॉट्स कई तरह की सुविधाओं और सब्सक्रिप्शन प्लान के साथ आते हैं, जिससे हमलावरों के लिए काम करना आसान हो जाता है। हमलावर बॉट के फ़ीचर्स को संगठनों का रूप धारण करने, कई भाषाओं का इस्तेमाल करने और यहाँ तक कि पुरुष या महिला की आवाज़ चुनने के लिए भी अनुकूलित कर सकते हैं। उन्नत विकल्पों में फ़ोन नंबर स्पूफिंग शामिल है, जिससे कॉलर का फ़ोन नंबर किसी वैध संगठन का प्रतीत होता है ताकि पीड़ित को एक परिष्कृत तरीके से धोखा दिया जा सके।

तकनीक जितनी ज़्यादा विकसित होती है, खाते की सुरक्षा की ज़रूरत उतनी ही ज़्यादा होती है। चित्रांकन

ओटीपी बॉट का इस्तेमाल करने के लिए, स्कैमर को पहले पीड़ित के लॉगिन क्रेडेंशियल चुराने होते हैं। वे अक्सर ऐसी फ़िशिंग वेबसाइटों का इस्तेमाल करते हैं जो बैंकों, ईमेल सेवाओं या अन्य ऑनलाइन खातों के वैध लॉगिन पेजों जैसी ही दिखती हैं। जब पीड़ित अपना यूज़रनेम और पासवर्ड डालता है, तो स्कैमर तुरंत (वास्तविक समय में) यह जानकारी अपने आप इकट्ठा कर लेता है।

1 मार्च से 31 मई, 2024 के बीच, कैस्परस्की सुरक्षा समाधानों ने बैंकों को निशाना बनाकर बनाई गई फ़िशिंग किट द्वारा बनाई गई वेबसाइटों पर 6,53,088 विज़िट को रोका। इन वेबसाइटों से चुराए गए डेटा का इस्तेमाल अक्सर ओटीपी बॉट हमलों में किया जाता है। इसी अवधि के दौरान, विशेषज्ञों ने रीयल-टाइम टू-फैक्टर ऑथेंटिकेशन को दरकिनार करने के लिए किट द्वारा बनाई गई 4,721 फ़िशिंग वेबसाइटों का पता लगाया।

सामान्य पासवर्ड न बनाएं.

कैस्परस्की की सुरक्षा विशेषज्ञ ओल्गा स्विस्टुनोवा ने टिप्पणी की: "सोशल इंजीनियरिंग हमलों को बेहद परिष्कृत धोखाधड़ी के तरीके माना जाता है, खासकर ओटीपी बॉट्स के उभरने के साथ, जो सेवा प्रतिनिधियों से कॉल की वैध नकल करने की क्षमता रखते हैं। सतर्क रहने के लिए, सतर्कता बनाए रखना और सुरक्षा उपायों का पालन करना महत्वपूर्ण है।"

हैकर्स को पासवर्ड आसानी से पता लगाने के लिए बस स्मार्ट प्रेडिक्शन एल्गोरिदम का इस्तेमाल करना होगा। चित्रांकन

जून की शुरुआत में स्मार्ट गेसिंग एल्गोरिदम का उपयोग करके कैस्परस्की विशेषज्ञों द्वारा किए गए 19.3 करोड़ पासवर्डों के विश्लेषण से पता चला कि ये वे पासवर्ड भी हैं जिन्हें सूचना चोरों ने डार्कनेट पर बेच दिया है। इससे पता चलता है कि 45% (8.7 करोड़ पासवर्ड के बराबर) पासवर्ड एक मिनट के भीतर सफलतापूर्वक क्रैक किए जा सकते हैं; केवल 23% (4.4 करोड़ पासवर्ड के बराबर) पासवर्ड संयोजन ही हमलों का प्रतिरोध करने के लिए पर्याप्त मज़बूत माने जाते हैं और इन पासवर्डों को क्रैक करने में एक साल से ज़्यादा समय लगेगा। हालाँकि, शेष अधिकांश पासवर्ड अभी भी 1 घंटे से लेकर 1 महीने तक के समय में क्रैक किए जा सकते हैं।

इसके अलावा, साइबर सुरक्षा विशेषज्ञों ने उपयोगकर्ताओं द्वारा पासवर्ड सेट करते समय सबसे अधिक उपयोग किए जाने वाले वर्ण संयोजनों का भी खुलासा किया, जैसे: नाम: "अहमद", "न्गुयेन", "कुमार", "केविन", "डैनियल"; लोकप्रिय शब्द: "फॉरएवर", "लव", "गूगल", "हैकर", "गेमर"; मानक पासवर्ड: "पासवर्ड", "qwerty12345", "एडमिन", "12345", "टीम"।

विश्लेषण में पाया गया कि केवल 19% पासवर्ड में ही एक मज़बूत पासवर्ड संयोजन शामिल था, जिसमें शब्दकोश से बाहर का कोई शब्द, बड़े और छोटे अक्षर, साथ ही संख्याएँ और प्रतीक शामिल थे। साथ ही, अध्ययन में यह भी पाया गया कि इनमें से 39% मज़बूत पासवर्ड का अनुमान स्मार्ट एल्गोरिदम द्वारा एक घंटे से भी कम समय में लगाया जा सकता था।

दिलचस्प बात यह है कि हमलावरों को पासवर्ड क्रैक करने के लिए किसी विशेष ज्ञान या उन्नत उपकरण की आवश्यकता नहीं होती। उदाहरण के लिए, एक समर्पित लैपटॉप प्रोसेसर केवल 7 मिनट में आठ छोटे अक्षरों या संख्याओं के पासवर्ड संयोजन को सटीक रूप से ब्रूट-फोर्स कर सकता है। एक एकीकृत ग्राफ़िक्स कार्ड यही काम 17 सेकंड में कर सकता है। इसके अतिरिक्त, स्मार्ट पासवर्ड-अनुमान लगाने वाले एल्गोरिदम अक्सर वर्णों ("3" के लिए "e", "!" के लिए "1" या "@" के लिए "a") और सामान्य स्ट्रिंग्स ("qwerty", "12345", "asdfg") को प्रतिस्थापित कर देते हैं।

आपको यादृच्छिक वर्णों वाले पासवर्ड का उपयोग करना चाहिए ताकि हैकर्स के लिए अनुमान लगाना मुश्किल हो जाए। चित्रांकन

कैस्परस्की में डिजिटल फुटप्रिंट इंटेलिजेंस की प्रमुख यूलिया नोविकोवा ने कहा, "अनजाने में लोग बहुत सरल पासवर्ड चुनते हैं, अक्सर अपनी मूल भाषा के शब्दकोष के शब्दों का उपयोग करते हैं, जैसे नाम और संख्याएं... यहां तक ​​कि मजबूत पासवर्ड संयोजन भी शायद ही कभी इस प्रवृत्ति से विचलित होते हैं, इसलिए वे एल्गोरिदम द्वारा पूरी तरह से पूर्वानुमानित होते हैं।"

इसलिए, सबसे विश्वसनीय समाधान आधुनिक और विश्वसनीय पासवर्ड मैनेजरों का उपयोग करके पूरी तरह से यादृच्छिक पासवर्ड बनाना है। ऐसे एप्लिकेशन बड़ी मात्रा में डेटा को सुरक्षित रूप से संग्रहीत कर सकते हैं, जिससे उपयोगकर्ता की जानकारी की व्यापक और मज़बूत सुरक्षा सुनिश्चित होती है।

पासवर्ड की मज़बूती बढ़ाने के लिए, उपयोगकर्ता निम्नलिखित सरल उपाय अपना सकते हैं: पासवर्ड प्रबंधित करने के लिए नेटवर्क सुरक्षा सॉफ़्टवेयर का उपयोग करें; विभिन्न सेवाओं के लिए अलग-अलग पासवर्ड का उपयोग करें। इस तरह, यदि आपका एक खाता हैक भी हो जाए, तो भी अन्य सुरक्षित रहेंगे; पासवर्ड भूल जाने पर पासफ़्रेज़ उपयोगकर्ताओं को खाता पुनर्प्राप्त करने में मदद करते हैं, और कम प्रचलित शब्दों का उपयोग करना अधिक सुरक्षित है। इसके अलावा, वे अपने पासवर्ड की मज़बूती की जाँच के लिए किसी ऑनलाइन सेवा का उपयोग कर सकते हैं।

अपने पासवर्ड के रूप में व्यक्तिगत जानकारी, जैसे जन्मदिन, परिवार के सदस्यों के नाम, पालतू जानवरों के नाम या उपनाम, का इस्तेमाल करने से बचें। पासवर्ड तोड़ने की कोशिश करते समय हमलावर अक्सर सबसे पहले इन्हीं चीज़ों का इस्तेमाल करते हैं।