यदि अतीत में, डिजिटल वॉलेट खोना अक्सर उपयोगकर्ताओं द्वारा गलती से अपनी निजी कुंजी बता देने के कारण होता था, तो अब हैकर्स ने ऐसे उपकरण बना लिए हैं जो उपयोगकर्ताओं को बिना जाने ही अपनी संपत्ति दान करने में "मदद" करते हैं।
हाल ही में हुई दो हाई-प्रोफाइल घटनाएं, जो इस प्रवृत्ति को दर्शाती हैं, वे हैं ब्लॉकचेन उद्योग के कर्मियों को लक्ष्य करने वाले दुर्भावनापूर्ण एक्सटेंशन और एपीटी अभियान का उदय।
TheHackerNews ने बताया कि नवंबर 2025 के मध्य में, सुरक्षा समुदाय "Safery: Ethereum Wallet" नामक एक क्रोम ब्राउज़र एक्सटेंशन की खोज से हैरान रह गया। एक सुरक्षित और लचीले Ethereum वॉलेट के रूप में प्रच्छन्न, यह एक्सटेंशन वास्तव में एक परिष्कृत रूप से डिज़ाइन की गई "खून चूसने वाली मशीन" है।
सुरक्षा शोधकर्ताओं, "सेफरी" के अनुसार, साइबर हमलावर अपने अपराधों को छिपाने के लिए ब्लॉकचेन तकनीक का इस्तेमाल करते हैं। खास तौर पर, जब उपयोगकर्ता इस नकली वॉलेट में रिकवरी वाक्यांश (सीड वाक्यांश) दर्ज करते हैं, तो मैलवेयर उस वाक्यांश को सुई नेटवर्क (सुई ब्लॉकचेन) पर वॉलेट पतों में एन्क्रिप्ट कर देता है।
हमलावर को केवल प्राप्तकर्ता पतों को ट्रैक और डिक्रिप्ट करके मूल बीज वाक्यांश को पुनर्प्राप्त करना होता है और चुपचाप पीड़ित के डिजिटल वॉलेट को खाली कर देना होता है। खतरा इस तथ्य में निहित है कि पूरी डेटा चोरी प्रक्रिया बिल्कुल सामान्य ब्लॉकचेन लेनदेन जैसी ही होती है, जिससे सुरक्षा निगरानी प्रणालियाँ लगभग "अंध" हो जाती हैं।
कैस्परस्की की खोज से पता चलता है कि वे न केवल आम उपयोगकर्ताओं पर हमला कर रहे हैं, बल्कि कुख्यात साइबर अपराध समूह ब्लूनोरॉफ (जिसे सैफायर स्लीट या एपीटी38 के रूप में भी जाना जाता है) ने दो नए लक्षित हमला अभियान, घोस्टकॉल और घोस्टहायर को तैनात किया है, जो सीधे वेब3 क्षेत्र के प्रोग्रामरों और अधिकारियों को निशाना बनाते हैं।
घोस्टकॉल अभियान में, हैकर्स वेंचर कैपिटलिस्ट (वीसी) बनकर टेलीग्राम के ज़रिए अपने लक्ष्यों से संपर्क करते थे। सबसे डरावना पहलू था विस्तृत सोशल इंजीनियरिंग: वे पीड़ितों को ज़ूम या माइक्रोसॉफ्ट टीम्स जैसी नकली वेबसाइटों पर वीडियो मीटिंग में शामिल होने के लिए आमंत्रित करते थे।
भाग लेते समय, पीड़ितों को अन्य प्रतिभागियों के वीडियो दिखाई देंगे। दरअसल, ये डीपफेक नहीं हैं जैसा कि कई लोग ग़लती से मान लेते हैं, बल्कि ये पिछले पीड़ितों की असली ऑडियो/वीडियो रिकॉर्डिंग हैं जिन्हें हैकर्स ने चुरा लिया है।
यह "प्रामाणिकता" पीड़ितों को उनकी सुरक्षा कम करने और दुर्भावनापूर्ण AppleScript (macOS के लिए) या दुर्भावनापूर्ण निष्पादन योग्य फ़ाइलों (Windows के लिए) वाले नकली "अपडेट" को आसानी से डाउनलोड करने के लिए मजबूर करती है।
2025 में फ़िशिंग तकनीकों पर कैस्परस्की की नवीनतम रिपोर्ट के अनुसार, हैकर्स ने कैलेंडर फ़िशिंग चाल को "पुनर्जीवित" किया है, लेकिन व्यावसायिक स्तर (बी2बी) पर।
बड़े पैमाने पर "स्पैम" ईमेल भेजने के बजाय, वे नकली मीटिंग आमंत्रण भेजते हैं जिनके इवेंट विवरण में एक दुर्भावनापूर्ण लिंक होता है। भले ही उपयोगकर्ता ईमेल न खोलें, फिर भी उनके फ़ोन के कैलेंडर ऐप से एक रिमाइंडर उन्हें जिज्ञासावश लिंक पर क्लिक करने के लिए प्रेरित कर सकता है।
इसके अलावा, क्यूआर कोड का उपयोग अब एक नया रूप ले चुका है, जिसमें पीडीएफ़ अटैचमेंट में क्यूआर कोड एम्बेड किए जा रहे हैं। ये पीडीएफ़ कभी-कभी पासवर्ड से सुरक्षित होते हैं (पासवर्ड ईमेल या किसी अलग ईमेल में भेजा जाता है) ताकि स्वचालित वायरस स्कैनिंग टूल से बचा जा सके।
क्यूआर कोड को स्कैन करने से उपयोगकर्ताओं को अपने निजी मोबाइल उपकरणों का उपयोग करने के लिए मजबूर होना पड़ता है - जिनमें अक्सर कॉर्पोरेट कंप्यूटरों के समान मजबूत सुरक्षा का अभाव होता है - जिससे वे नकली, फ़िशिंग साइटों तक पहुंच सकते हैं।
कैस्परस्की के सुरक्षा शोधकर्ताओं ने एक उल्लेखनीय तकनीक दिखाई है, जिसमें हैकर्स नकली लॉगिन पेज बनाते हैं (उदाहरण के लिए, pCloud स्टोरेज सेवा का प्रतिरूपण करते हुए) जो API के माध्यम से वास्तविक सेवा के साथ वास्तविक समय में इंटरेक्शन करने में सक्षम होते हैं।
जब कोई उपयोगकर्ता अपनी लॉगिन जानकारी और ओटीपी कोड नकली साइट पर डालता है, तो साइट तुरंत उस डेटा को असली सेवा को भेज देती है। अगर जानकारी सही है, तो हैकर उपयोगकर्ता को पता चलने से पहले ही लॉगिन सत्र पर कब्ज़ा कर लेगा।
इसके अलावा, फ़िशिंग वेबसाइटों के सुरक्षा फ़िल्टरों द्वारा पहचाने और विश्लेषण किए जाने से बचने के लिए, हैकर्स ने "सत्यापन श्रृंखलाएँ" स्थापित कर दी हैं। जब उपयोगकर्ता लिंक पर क्लिक करते हैं, तो उन्हें गंतव्य पृष्ठ (नकली Google/Microsoft लॉगिन पृष्ठ) तक पहुँचने से पहले कैप्चा प्रमाणीकरण कोड या नकली सत्यापन पृष्ठों की कई परतों से गुजरना पड़ता है। यह स्वचालित सत्यापन बॉट को फ़िल्टर करता है और उपयोगकर्ताओं में यह विश्वास पैदा करता है कि वेबसाइट पूरी तरह से सुरक्षित है।
फ़िशिंग के खतरे "फ़िशिंग-एज़-ए-सर्विस" मॉडल द्वारा बढ़ा दिए गए हैं, जैसा कि लाइटहाउस प्लेटफ़ॉर्म के पीछे के हैकर्स के खिलाफ गूगल के हालिया मुकदमे से स्पष्ट होता है।
2025 में, क्रिप्टोकरेंसी की दुनिया में सुरक्षा और खतरे के बीच की रेखा पहले से कहीं अधिक पतली हो जाएगी।
साइबर अपराधी अब केवल मैलवेयर लेखक नहीं रह गए हैं, बल्कि वे "मनोवैज्ञानिक" हैं जो उपयोगकर्ता के व्यवहार को समझते हैं और "इंजीनियर" हैं जो जानते हैं कि अपने पीड़ितों पर हमला करने के लिए सुरक्षा प्रौद्योगिकी (जैसे ब्लॉकचेन, 2-कारक प्रमाणीकरण) का लाभ कैसे उठाया जाए।
निवेशकों के लिए, "अपनी निजी कुंजियाँ साझा न करें" की सलाह अब पर्याप्त नहीं है। कैस्परस्की के विशेषज्ञों का कहना है कि एक्सटेंशन की उत्पत्ति की सावधानीपूर्वक जाँच करना, किसी भी ऑनलाइन मीटिंग आमंत्रण या अप्रत्याशित नौकरी के प्रस्तावों से सावधान रहना, और ईमेल से आने वाले लॉगिन अनुरोधों (यहाँ तक कि PDF या CAPTCHA सुरक्षा के साथ भी) से सावधान रहना, इस डिजिटल युग में, जो जालों से भरा है, अनिवार्य अस्तित्व कौशल हैं।
कैस्परस्की विशेषज्ञों के अनुसार, विंडोज लैपटॉप से लेकर मैकबुक तक महत्वपूर्ण उपकरणों पर हमेशा फायरवॉल के साथ सुरक्षा उपकरणों का उपयोग करें, और यह भी न भूलें कि स्मार्टफोन, जिन्हें लघु कंप्यूटर माना जाता है, को भी सुरक्षा अनुप्रयोगों की आवश्यकता होती है।
निवेश परिसंपत्तियों वाले डिजिटल वॉलेट को वास्तव में आपके विश्वास को सौंपने के लिए एक "योग्य" सुरक्षा एप्लिकेशन की आवश्यकता होती है।
स्रोत: https://www.sggp.org.vn/vi-tien-so-khong-con-la-noi-an-toan-post826686.html
![[फोटो] कैट बा - हरा-भरा द्वीप स्वर्ग](/_next/image?url=https%3A%2F%2Fvphoto.vietnam.vn%2Fthumb%2F1200x675%2Fvietnam%2Fresource%2FIMAGE%2F2025%2F12%2F04%2F1764821844074_ndo_br_1-dcbthienduongxanh638-jpg.webp&w=3840&q=75)
![[VIMC 40 दिन बिजली की गति से] दा नांग पोर्ट: एकता - बिजली की गति - अंतिम रेखा तक सफलता](https://vphoto.vietnam.vn/thumb/402x226/vietnam/resource/IMAGE/2025/12/04/1764833540882_cdn_4-12-25.jpeg)
टिप्पणी (0)