2-कारक प्रमाणीकरण को दरकिनार करने के लिए फ़िशिंग हमलों के बारे में चेतावनी

[विज्ञापन_1]

2-कारक प्रमाणीकरण को दरकिनार करने के लिए फ़िशिंग हमलों के बारे में चेतावनी — दो-कारक प्रमाणीकरण को दरकिनार करने के लिए फ़िशिंग हमले तेज़ी से जटिल होते जा रहे हैं। फोटो: कैस्परस्की

फ़िशिंग हमले का नया रूप बढ़ रहा है

साइबर सुरक्षा में द्वि-कारक प्रमाणीकरण एक मानक सुरक्षा सुविधा बन गई है। इसके लिए उपयोगकर्ताओं को एक दूसरे प्रमाणीकरण चरण, आमतौर पर टेक्स्ट संदेश, ईमेल या प्रमाणीकरण ऐप के माध्यम से भेजे गए वन-टाइम पासवर्ड (OTP) के माध्यम से अपनी पहचान सत्यापित करनी होती है।

सुरक्षा की यह अतिरिक्त परत उपयोगकर्ताओं के खातों की सुरक्षा के लिए है, भले ही उनके पासवर्ड चोरी हो जाएँ। हालाँकि, स्कैमर्स ने उपयोगकर्ताओं को ये ओटीपी बताने के लिए परिष्कृत तरीकों का इस्तेमाल किया है, जिससे वे ओटीपी बॉट्स के ज़रिए 2FA सुरक्षा को दरकिनार कर सकते हैं।

ओटीपी बॉट एक परिष्कृत उपकरण है जिसका इस्तेमाल धोखेबाज़ सोशल इंजीनियरिंग हमलों के ज़रिए ओटीपी कोड को इंटरसेप्ट करने के लिए करते हैं। हमलावर अक्सर फ़िशिंग जैसे तरीकों का इस्तेमाल करके या डेटा की कमज़ोरियों का फायदा उठाकर जानकारी चुराने के लिए पीड़ितों के लॉगिन क्रेडेंशियल चुराने की कोशिश करते हैं।

फिर वे पीड़ित के खाते में लॉग इन करते हैं, जिससे पीड़ित के फ़ोन पर एक ओटीपी कोड भेजा जाता है। इसके बाद, ओटीपी बॉट स्वचालित रूप से पीड़ित को कॉल करता है, किसी विश्वसनीय संगठन के कर्मचारी का रूप धारण करके, एक पूर्व-प्रोग्राम्ड वार्तालाप स्क्रिप्ट का उपयोग करके पीड़ित को ओटीपी कोड बताने के लिए राज़ी करता है। अंत में, हमलावर बॉट के माध्यम से ओटीपी कोड प्राप्त करता है और इसका उपयोग पीड़ित के खाते तक अनधिकृत पहुँच प्राप्त करने के लिए करता है।

धोखेबाज़ टेक्स्ट मैसेज की बजाय वॉयस कॉल को ज़्यादा पसंद करते हैं क्योंकि पीड़ित इस तरीके पर ज़्यादा तेज़ी से प्रतिक्रिया देते हैं। इसलिए, ओटीपी बॉट विश्वास और विश्वास की भावना पैदा करने के लिए मानवीय कॉल के लहजे और तात्कालिकता का अनुकरण करते हैं।

ओटीपी बॉट का इस्तेमाल करने के लिए, स्कैमर को पहले पीड़ित के लॉगिन क्रेडेंशियल चुराने होंगे। वे अक्सर ऐसी फ़िशिंग वेबसाइटों का इस्तेमाल करते हैं जो बैंकों, ईमेल सेवाओं या अन्य ऑनलाइन खातों के वैध लॉगिन पेजों की तरह ही डिज़ाइन की जाती हैं। जब पीड़ित अपना यूज़रनेम और पासवर्ड डालता है, तो स्कैमर तुरंत (वास्तविक समय में) यह जानकारी अपने आप इकट्ठा कर लेता है।

हालाँकि 2FA को कई वेबसाइटों द्वारा व्यापक रूप से अपनाया गया है और संगठनों द्वारा अनिवार्य किया गया है, साइबर हमलावरों ने साइबर हमलों के अधिक परिष्कृत रूपों की ओर रुख किया है। फोटो: कैस्परस्की

कैस्परस्की के आंकड़ों के अनुसार, 1 मार्च से 31 मई, 2024 तक, उनके सुरक्षा समाधानों ने बैंकों को लक्षित करने वाले फ़िशिंग टूलकिट द्वारा बनाई गई वेबसाइटों पर 653,088 विज़िट को रोका।

इन साइटों से चुराए गए डेटा का इस्तेमाल अक्सर ओटीपी बॉट हमलों में किया जाता है। इसी अवधि के दौरान, साइबर सुरक्षा फर्म ने 4,721 फ़िशिंग साइटों का भी पता लगाया, जो ऐसे टूलकिट द्वारा बनाई गई थीं जिन्हें वास्तविक समय में दो-कारक प्रमाणीकरण को दरकिनार करने के लिए डिज़ाइन किया गया था।

समाधान

हालाँकि 2FA एक महत्वपूर्ण सुरक्षा उपाय है, लेकिन यह कोई रामबाण उपाय नहीं है। उपयोगकर्ताओं को इन जटिल घोटालों से बचाने के लिए, साइबर सुरक्षा विशेषज्ञ निम्नलिखित सुझाव देते हैं:

- संदिग्ध ईमेल संदेशों में दिए गए लिंक पर क्लिक करने से बचें। अगर आपको किसी संगठन में अपने खाते में लॉग इन करना है, तो उसका सटीक वेबसाइट पता टाइप करें या बुकमार्क का इस्तेमाल करें।

- सुनिश्चित करें कि वेबसाइट का पता सही है और उसमें कोई टाइपिंग त्रुटि नहीं है। वेबसाइट पंजीकरण जानकारी की जाँच के लिए आप Whois टूल का उपयोग कर सकते हैं। अगर वेबसाइट हाल ही में पंजीकृत हुई है, तो यह एक घोटाला हो सकता है।

- फ़ोन पर कभी भी ओटीपी कोड न बताएँ, चाहे कॉल करने वाला कितना भी विश्वसनीय क्यों न लगे। बैंक और अन्य प्रतिष्ठित संगठन कभी भी उपयोगकर्ताओं से उनकी पहचान सत्यापित करने के लिए फ़ोन पर ओटीपी कोड पढ़ने या दर्ज करने के लिए नहीं कहते हैं।

[विज्ञापन_2]
स्रोत: https://laodong.vn/cong-nghe/canh-bao-ve-cac-hinh-thuc-tan-cong-gia-mao-de-vuot-xac-thuc-2-yeu-to-1351735.ldo