2-कारक प्रमाणीकरण को दरकिनार करने के लिए फ़िशिंग हमलों के बारे में चेतावनी

[विज्ञापन_1]

फ़िशिंग हमलों के नए रूप बढ़ रहे हैं

साइबर सुरक्षा में द्वि-कारक प्रमाणीकरण एक मानक सुरक्षा सुविधा बन गई है। इसके लिए उपयोगकर्ताओं को एक दूसरे प्रमाणीकरण चरण के माध्यम से अपनी पहचान सत्यापित करनी होती है, जो आमतौर पर टेक्स्ट संदेश, ईमेल या प्रमाणीकरण ऐप के माध्यम से भेजा जाने वाला एक वन-टाइम पासवर्ड (OTP) होता है।

सुरक्षा की यह अतिरिक्त परत उपयोगकर्ताओं के खातों की सुरक्षा के लिए है, भले ही उनके पासवर्ड चोरी हो जाएँ। हालाँकि, स्कैमर्स ने उपयोगकर्ताओं को ये ओटीपी बताने के लिए परिष्कृत तरीकों का इस्तेमाल किया है, जिससे वे ओटीपी बॉट्स के ज़रिए 2FA सुरक्षा को दरकिनार कर सकते हैं।

ओटीपी बॉट एक परिष्कृत उपकरण है जिसका इस्तेमाल स्कैमर्स सोशल इंजीनियरिंग हमलों के ज़रिए ओटीपी कोड को इंटरसेप्ट करने के लिए करते हैं। हमलावर अक्सर फ़िशिंग या डेटा की कमज़ोरियों का फायदा उठाकर पीड़ितों के लॉगिन क्रेडेंशियल चुराने की कोशिश करते हैं।

फिर वे पीड़ित के खाते में लॉग इन करते हैं, जिससे पीड़ित के फ़ोन पर एक ओटीपी कोड भेजा जाता है। इसके बाद, ओटीपी बॉट स्वचालित रूप से पीड़ित को कॉल करता है, किसी विश्वसनीय संगठन के कर्मचारी का रूप धारण करके, एक पूर्व-प्रोग्राम्ड वार्तालाप स्क्रिप्ट का उपयोग करके पीड़ित को ओटीपी कोड बताने के लिए राज़ी करता है। अंत में, हमलावर बॉट के माध्यम से ओटीपी कोड प्राप्त करता है और इसका उपयोग पीड़ित के खाते तक अवैध रूप से पहुँचने के लिए करता है।

धोखेबाज़ टेक्स्ट मैसेज की बजाय वॉयस कॉल को ज़्यादा पसंद करते हैं क्योंकि पीड़ित इस तरीके पर ज़्यादा तेज़ी से प्रतिक्रिया देते हैं। ओटीपी बॉट विश्वास और विश्वास की भावना पैदा करने के लिए मानवीय कॉल के लहजे और तात्कालिकता की नकल करते हैं।

ओटीपी बॉट का इस्तेमाल करने के लिए, स्कैमर को पहले पीड़ित के लॉगिन क्रेडेंशियल चुराने होते हैं। वे अक्सर ऐसी फ़िशिंग वेबसाइटों का इस्तेमाल करते हैं जो बैंकों, ईमेल सेवाओं या अन्य ऑनलाइन खातों के असली लॉगिन पेजों जैसी ही दिखती हैं। जब पीड़ित अपना यूज़रनेम और पासवर्ड डालता है, तो स्कैमर तुरंत (वास्तविक समय में) यह जानकारी अपने आप इकट्ठा कर लेता है।

हालाँकि 2FA को कई वेबसाइटों द्वारा व्यापक रूप से अपनाया गया है और संगठनों द्वारा अनिवार्य किया गया है, साइबर हमलावरों ने साइबर हमलों के अधिक परिष्कृत रूपों की ओर रुख किया है। फोटो: कैस्परस्की

कैस्परस्की के आंकड़ों के अनुसार, 1 मार्च से 31 मई, 2024 तक, उनके सुरक्षा समाधानों ने बैंकों को लक्षित करने वाले फ़िशिंग टूलकिट द्वारा बनाई गई वेबसाइटों पर 653,088 विज़िट को रोका।

इन साइटों से चुराए गए डेटा का इस्तेमाल अक्सर ओटीपी बॉट हमलों में किया जाता है। इसी अवधि के दौरान, साइबर सुरक्षा फर्म ने 4,721 फ़िशिंग साइटों का भी पता लगाया, जो ऐसे टूलकिट द्वारा बनाई गई थीं जिन्हें वास्तविक समय में दो-कारक प्रमाणीकरण को दरकिनार करने के लिए डिज़ाइन किया गया था।

समाधान

हालाँकि 2FA एक महत्वपूर्ण सुरक्षा उपाय है, लेकिन यह कोई रामबाण उपाय नहीं है। उपयोगकर्ताओं को इन जटिल घोटालों से बचाने के लिए, साइबर सुरक्षा विशेषज्ञ निम्नलिखित सुझाव देते हैं:

- संदिग्ध ईमेल संदेशों में दिए गए लिंक पर क्लिक करने से बचें। अगर आपको किसी संगठन के खाते में लॉग इन करना है, तो उसका सटीक वेबसाइट पता टाइप करें या बुकमार्क का इस्तेमाल करें।

- सुनिश्चित करें कि वेबसाइट का पता सही है और उसमें कोई टाइपिंग त्रुटि नहीं है। वेबसाइट पंजीकरण जानकारी की जाँच के लिए आप Whois टूल का उपयोग कर सकते हैं। अगर वेबसाइट हाल ही में पंजीकृत हुई है, तो यह एक धोखाधड़ी वाली वेबसाइट हो सकती है।

- फ़ोन पर कभी भी ओटीपी कोड न बताएँ, चाहे कॉल करने वाला कितना भी विश्वसनीय क्यों न लगे। बैंक और अन्य प्रतिष्ठित संगठन कभी भी उपयोगकर्ताओं से उनकी पहचान सत्यापित करने के लिए फ़ोन पर ओटीपी कोड पढ़ने या दर्ज करने के लिए नहीं कहते हैं।

[विज्ञापन_2]
स्रोत: https://laodong.vn/cong-nghe/canh-bao-ve-cac-hinh-thuc-tan-cong-gia-mao-de-vuot-xac-thuc-2-yeu-to-1351735.ldo