दो-कारक प्रमाणीकरण को दरकिनार करने के लिए फ़िशिंग हमलों के बारे में चेतावनी

दो-कारक प्रमाणीकरण (2FA) अब एक अचूक सुरक्षा समाधान नहीं रहा। चित्रांकन

हमले का नया रूप

साइबर सुरक्षा में दो-कारक प्रमाणीकरण (2FA) एक मानक सुरक्षा सुविधा बन गई है। इसके लिए उपयोगकर्ताओं को एक दूसरे प्रमाणीकरण चरण, आमतौर पर टेक्स्ट संदेश, ईमेल या प्रमाणीकरण ऐप के माध्यम से भेजे गए वन-टाइम पासवर्ड (OTP) के माध्यम से अपनी पहचान सत्यापित करनी होती है। सुरक्षा की यह अतिरिक्त परत उपयोगकर्ता के खाते की सुरक्षा के लिए है, भले ही उसका पासवर्ड चोरी हो जाए।

यद्यपि 2FA को कई वेबसाइटों द्वारा व्यापक रूप से अपनाया गया है और संगठनों द्वारा इसकी आवश्यकता है, हाल ही में, कैस्परस्की साइबर सुरक्षा विशेषज्ञों ने 2FA को बायपास करने के लिए साइबर अपराधियों द्वारा उपयोग किए जाने वाले फ़िशिंग हमलों का पता लगाया है।

तदनुसार, साइबर हमलावरों ने साइबर हमले का एक और अधिक परिष्कृत रूप अपना लिया है, जिसमें फ़िशिंग को स्वचालित ओटीपी बॉट्स के साथ जोड़कर उपयोगकर्ताओं को धोखा दिया जाता है और उनके खातों तक अनधिकृत पहुँच प्राप्त की जाती है। विशेष रूप से, स्कैमर उपयोगकर्ताओं को ये ओटीपी बताने के लिए धोखा देते हैं ताकि वे 2FA सुरक्षा उपायों को दरकिनार कर सकें।

साइबर अपराधी फ़िशिंग और स्वचालित ओटीपी बॉट्स का इस्तेमाल करके उपयोगकर्ताओं को धोखा देते हैं और उनके खातों तक अनधिकृत पहुँच प्राप्त करते हैं। चित्र (चित्र)

यहाँ तक कि ओटीपी बॉट्स, एक परिष्कृत उपकरण, का इस्तेमाल स्कैमर्स सोशल इंजीनियरिंग हमलों के ज़रिए ओटीपी कोड को इंटरसेप्ट करने के लिए करते हैं। हमलावर अक्सर फ़िशिंग या डेटा की कमज़ोरियों का फायदा उठाकर पीड़ितों के लॉगिन क्रेडेंशियल चुराने की कोशिश करते हैं। फिर वे पीड़ित के अकाउंट में लॉग इन करते हैं, जिससे पीड़ित के फ़ोन पर ओटीपी कोड भेजना शुरू हो जाता है।

इसके बाद, ओटीपी बॉट स्वचालित रूप से पीड़ित को कॉल करेगा, किसी विश्वसनीय संगठन के कर्मचारी का रूप धारण करके, एक पूर्व-प्रोग्राम्ड वार्तालाप स्क्रिप्ट का उपयोग करके पीड़ित को ओटीपी कोड बताने के लिए राज़ी करेगा। अंततः, हमलावर बॉट के माध्यम से ओटीपी कोड प्राप्त करता है और इसका उपयोग पीड़ित के खाते तक अनधिकृत पहुँच प्राप्त करने के लिए करता है।

धोखेबाज़ अक्सर टेक्स्ट मैसेज की बजाय वॉयस कॉल को ज़्यादा पसंद करते हैं क्योंकि पीड़ित इस तरीके पर जल्दी प्रतिक्रिया देते हैं। इसलिए, ओटीपी बॉट विश्वास और विश्वास की भावना पैदा करने के लिए मानवीय कॉल के लहजे और तात्कालिकता का अनुकरण करते हैं।

धोखेबाज़ समर्पित ऑनलाइन डैशबोर्ड या टेलीग्राम जैसे मैसेजिंग प्लेटफ़ॉर्म के ज़रिए ओटीपी बॉट्स को नियंत्रित करते हैं। ये बॉट्स कई तरह की सुविधाओं और सब्सक्रिप्शन प्लान के साथ आते हैं जिनकी मदद से हमलावर काम कर सकते हैं। हमलावर बॉट की सुविधाओं को संगठनों का रूप धारण करने, कई भाषाओं का इस्तेमाल करने और यहाँ तक कि पुरुष या महिला की आवाज़ चुनने के लिए अनुकूलित कर सकते हैं। उन्नत विकल्पों में फ़ोन नंबर स्पूफिंग शामिल है, जिससे कॉल करने वाले का फ़ोन नंबर किसी वैध संगठन का प्रतीत होता है ताकि पीड़ित को एक परिष्कृत तरीके से धोखा दिया जा सके।

तकनीक जितनी ज़्यादा विकसित होती है, खाते की सुरक्षा की ज़रूरत उतनी ही ज़्यादा होती है। चित्रांकन

ओटीपी बॉट का इस्तेमाल करने के लिए, स्कैमर को पहले पीड़ित के लॉगिन क्रेडेंशियल चुराने होंगे। वे अक्सर ऐसी फ़िशिंग वेबसाइटों का इस्तेमाल करते हैं जो बैंकों, ईमेल सेवाओं या अन्य ऑनलाइन खातों के वैध लॉगिन पेजों की तरह ही डिज़ाइन की जाती हैं। जब पीड़ित अपना यूज़रनेम और पासवर्ड डालता है, तो स्कैमर तुरंत (वास्तविक समय में) यह जानकारी अपने आप इकट्ठा कर लेता है।

1 मार्च से 31 मई, 2024 के बीच, कैस्परस्की सुरक्षा समाधानों ने बैंकों को निशाना बनाकर बनाई गई फ़िशिंग किट द्वारा बनाई गई वेबसाइटों पर जाने के 653,088 प्रयासों को रोका। इन वेबसाइटों से चुराए गए डेटा का इस्तेमाल अक्सर ओटीपी बॉट हमलों में किया जाता है। इसी अवधि के दौरान, विशेषज्ञों ने 4,721 फ़िशिंग वेबसाइटों का पता लगाया, जो रीयल-टाइम टू-फैक्टर ऑथेंटिकेशन को दरकिनार करने के उद्देश्य से बनाई गई किट द्वारा बनाई गई थीं।

सामान्य पासवर्ड न बनाएं

कैस्परस्की की सुरक्षा विशेषज्ञ ओल्गा स्विस्टुनोवा ने कहा: "सोशल इंजीनियरिंग हमलों को बेहद परिष्कृत धोखाधड़ी के तरीके माना जाता है, खासकर ओटीपी बॉट्स के उभरने के साथ, जो सेवा प्रतिनिधियों के कॉल की वैध नकल करने की क्षमता रखते हैं। सतर्क रहने के लिए, सावधानी बरतना और सुरक्षा उपायों का पालन करना ज़रूरी है।"

हैकर्स आसानी से पासवर्ड का पता लगाने के लिए स्मार्ट प्रेडिक्शन एल्गोरिदम का इस्तेमाल करते हैं। चित्रांकन

जून की शुरुआत में स्मार्ट गेसिंग एल्गोरिदम का उपयोग करके कैस्परस्की विशेषज्ञों द्वारा किए गए 19.3 करोड़ पासवर्डों के विश्लेषण से पता चला कि ये वे पासवर्ड भी हैं जिन्हें सूचना चोरों द्वारा डार्कनेट पर बेचा और बेचा जाता है। इससे पता चलता है कि 45% (8.7 करोड़ पासवर्ड के बराबर) पासवर्ड एक मिनट के भीतर सफलतापूर्वक क्रैक किए जा सकते हैं; केवल 23% (4.4 करोड़ पासवर्ड के बराबर) पासवर्ड संयोजन ही हमलों का प्रतिरोध करने के लिए पर्याप्त मज़बूत माने जाते हैं, और इन पासवर्डों को क्रैक करने में एक वर्ष से अधिक समय लगेगा। हालाँकि, शेष अधिकांश पासवर्ड अभी भी 1 घंटे से लेकर 1 महीने तक के समय में क्रैक किए जा सकते हैं।

इसके अलावा, साइबर सुरक्षा विशेषज्ञों ने उपयोगकर्ताओं द्वारा पासवर्ड सेट करते समय सबसे अधिक उपयोग किए जाने वाले वर्ण संयोजनों का भी खुलासा किया, जैसे: नाम: "अहमद", "न्गुयेन", "कुमार", "केविन", "डैनियल"; लोकप्रिय शब्द: "फॉरएवर", "लव", "गूगल", "हैकर", "गेमर"; मानक पासवर्ड: "पासवर्ड", "qwerty12345", "एडमिन", "12345", "टीम"।

विश्लेषण में पाया गया कि केवल 19% पासवर्ड में ही मज़बूत पासवर्ड का संयोजन था, जिसमें शब्दकोश से बाहर का कोई शब्द, बड़े और छोटे अक्षर, साथ ही संख्याएँ और प्रतीक शामिल थे। साथ ही, अध्ययन में यह भी पाया गया कि 39% मज़बूत पासवर्ड का अनुमान स्मार्ट एल्गोरिदम द्वारा एक घंटे से भी कम समय में लगाया जा सकता था।

दिलचस्प बात यह है कि हमलावरों को पासवर्ड क्रैक करने के लिए किसी विशेष ज्ञान या उन्नत उपकरण की आवश्यकता नहीं होती। उदाहरण के लिए, एक समर्पित लैपटॉप प्रोसेसर केवल सात मिनट में आठ छोटे अक्षरों या संख्याओं के पासवर्ड संयोजन को सटीक रूप से ब्रूट-फोर्स कर सकता है। एक एकीकृत ग्राफ़िक्स कार्ड यही काम 17 सेकंड में कर सकता है। इसके अतिरिक्त, स्मार्ट पासवर्ड-अनुमान लगाने वाले एल्गोरिदम अक्सर वर्णों ("3" के लिए "e", "!" के लिए "1" या "@" के लिए "a") और सामान्य स्ट्रिंग्स ("qwerty", "12345", "asdfg") को प्रतिस्थापित कर देते हैं।

आपको यादृच्छिक वर्णों वाले पासवर्ड का उपयोग करना चाहिए ताकि हैकर्स के लिए अनुमान लगाना मुश्किल हो जाए। चित्रांकन

कैस्परस्की में डिजिटल फुटप्रिंट इंटेलिजेंस की प्रमुख यूलिया नोविकोवा ने कहा, "अनजाने में लोग बहुत सरल पासवर्ड बना लेते हैं, अक्सर अपनी मूल भाषा के शब्दकोष के शब्दों का उपयोग करते हैं, जैसे नाम और संख्याएं... यहां तक ​​कि मजबूत पासवर्ड संयोजन भी शायद ही कभी इस प्रवृत्ति से विचलित होते हैं, इसलिए वे एल्गोरिदम द्वारा पूरी तरह से पूर्वानुमानित होते हैं।"

इसलिए, सबसे विश्वसनीय समाधान आधुनिक और विश्वसनीय पासवर्ड मैनेजरों का उपयोग करके पूरी तरह से यादृच्छिक पासवर्ड बनाना है। ऐसे एप्लिकेशन बड़ी मात्रा में डेटा को सुरक्षित रूप से संग्रहीत कर सकते हैं, जिससे उपयोगकर्ता की जानकारी की व्यापक और मज़बूत सुरक्षा सुनिश्चित होती है।

पासवर्ड को मज़बूत बनाने के लिए, उपयोगकर्ता निम्नलिखित सरल उपाय अपना सकते हैं: पासवर्ड प्रबंधन सॉफ़्टवेयर का उपयोग करें; विभिन्न सेवाओं के लिए अलग-अलग पासवर्ड का उपयोग करें। इस तरह, यदि आपका एक खाता हैक भी हो जाए, तो भी अन्य सुरक्षित रहेंगे; पासवर्ड भूल जाने पर पासफ़्रेज़ उपयोगकर्ताओं को खाता पुनः प्राप्त करने में मदद करते हैं, और कम प्रचलित शब्दों का उपयोग करना अधिक सुरक्षित है। इसके अलावा, वे अपने पासवर्ड की मज़बूती की जाँच के लिए किसी ऑनलाइन सेवा का उपयोग कर सकते हैं।

जन्मदिन, परिवार के सदस्यों के नाम, पालतू जानवर या उपनाम जैसी व्यक्तिगत जानकारी को पासवर्ड के रूप में इस्तेमाल करने से बचें। पासवर्ड तोड़ने की कोशिश करते समय हमलावर अक्सर सबसे पहले इन्हीं चीज़ों का इस्तेमाल करते हैं।