ڈیجیٹل بٹوے اب محفوظ جگہ نہیں ہیں۔

اگر ماضی میں، ڈیجیٹل والیٹ کھونے کی وجہ اکثر صارفین غلطی سے اپنی نجی کلید کو ظاہر کر دیتے تھے، اب ہیکرز نے صارفین کو اپنے اثاثوں کو جانے بغیر عطیہ کرنے میں "مدد" کرنے کے لیے ٹولز بنائے ہیں۔

دو حالیہ ہائی پروفائل واقعات جو اس رجحان کو واضح کرتے ہیں وہ ہیں بدسلوکی پر مبنی توسیعات اور APT مہمات کا ظہور جو Blockchain انڈسٹری کے اہلکاروں کو نشانہ بناتے ہیں۔

TheHackerNews نے اطلاع دی کہ نومبر 2025 کے وسط میں، سیکیورٹی کمیونٹی "Safery: Ethereum Wallet" نامی کروم براؤزر ایکسٹینشن کی دریافت سے حیران رہ گئی۔ ایک محفوظ اور لچکدار Ethereum والیٹ کے طور پر بھیس میں، یہ توسیع دراصل ایک نفیس ڈیزائن کردہ "خون چوسنے والی مشین" ہے۔

سیکیورٹی محققین "سیفری" کے مطابق سائبر حملہ آور اپنے جرائم کو چھپانے کے لیے بلاک چین ٹیکنالوجی کا استعمال کرتے ہیں۔ خاص طور پر، جب صارفین اس جعلی والیٹ میں ریکوری کا جملہ (بیج کا جملہ) داخل کرتے ہیں، تو میلویئر اس جملے کو سوئی نیٹ ورک (Sui blockchain) پر والیٹ ایڈریسز میں انکرپٹ کر دے گا۔

Kaspersky کی دریافت سے پتہ چلتا ہے کہ وہ نہ صرف عام صارفین پر حملہ کر رہے ہیں، بدنام زمانہ سائبر کرائم گروپ BlueNoroff (جسے Sapphire Sleet یا APT38 بھی کہا جاتا ہے) نے دو نئی ٹارگٹڈ حملہ مہمات، GhostCall اور GhostHire کو تعینات کیا ہے، جس کا مقصد براہ راست Web3 فیلڈ میں پروگرامرز اور ایگزیکٹوز پر ہے۔

گھوسٹ کال مہم میں، ہیکرز نے ٹیلی گرام کے ذریعے اہداف تک رسائی حاصل کی، وینچر کیپیٹلسٹ (VCs) کی نقالی۔ خوفناک حصہ وسیع سوشل انجینئرنگ تھا: انہوں نے متاثرین کو زوم یا مائیکروسافٹ ٹیمز جیسی جعلی ویب سائٹس پر ویڈیو میٹنگز میں شامل ہونے کی دعوت دی۔

شرکت کرتے وقت، متاثرین دوسرے شرکاء کی ویڈیوز دیکھیں گے۔ درحقیقت، یہ ڈیپ فیکس نہیں ہیں جیسا کہ بہت سے لوگ غلطی سے مانتے ہیں، بلکہ پچھلے متاثرین کی حقیقی آڈیو/ویڈیو ریکارڈنگز ہیں جنہیں ہیکرز نے چوری کر لیا تھا۔

یہ "صداقت" متاثرین کو اپنے محافظوں کو مایوس کرنے دیتی ہے اور آسانی سے جعلی "اپ ڈیٹس" کو ڈاؤن لوڈ کرتی ہے جس میں نقصان دہ AppleScript (macOS کے لیے) یا بدنیتی پر مبنی ایگزیکیوٹیبل فائلیں (ونڈوز کے لیے) ہوتی ہیں۔

مزید برآں، QR کوڈز کے استعمال نے ایک نئی شکل اختیار کر لی ہے، QR کوڈز کو پی ڈی ایف اٹیچمنٹ میں سرایت کرنا۔ خودکار وائرس اسکیننگ ٹولز کو نظرانداز کرنے کے لیے یہ پی ڈی ایف بعض اوقات پاس ورڈ سے محفوظ ہوتے ہیں (پاس ورڈ ای میل یا علیحدہ ای میل میں بھیجا جاتا ہے)۔

QR کوڈز کو اسکین کرنا صارفین کو اپنے ذاتی موبائل آلات استعمال کرنے پر مجبور کرتا ہے - جن میں اکثر کارپوریٹ کمپیوٹرز جیسی مضبوط حفاظتی تحفظات کی کمی ہوتی ہے - جعلی، فشنگ سائٹس تک رسائی حاصل کرنے کے لیے۔

کاسپرسکی کے سیکیورٹی محققین نے ایک قابل ذکر تکنیک دکھائی جہاں ہیکرز جعلی لاگ ان پیجز بناتے ہیں (مثال کے طور پر پی کلاؤڈ اسٹوریج سروس کی نقالی کرنا) جو API کے ذریعے حقیقی سروس کے ساتھ حقیقی وقت میں تعامل کرنے کے قابل ہیں۔

جب کوئی صارف اپنی لاگ ان معلومات اور OTP کوڈ کو جعلی سائٹ میں داخل کرتا ہے، تو سائٹ فوری طور پر اس ڈیٹا کو حقیقی سروس میں بھیج دیتی ہے۔ اگر معلومات درست ہیں تو، ہیکر لاگ ان سیشن پر قبضہ کر لے گا اس سے پہلے کہ صارف کو اس کا احساس ہو جائے۔

اس کے علاوہ، فشنگ ویب سائٹس کے لیے سیکیورٹی فلٹرز کے ذریعے پتہ لگانے اور تجزیہ کیے جانے سے بچنے کے لیے، ہیکرز نے "تصدیق کی زنجیریں" قائم کی ہیں۔ جب صارفین لنک پر کلک کرتے ہیں، تو انہیں منزل کے صفحہ (جعلی گوگل/مائیکروسافٹ لاگ ان صفحہ) پر پہنچنے سے پہلے کیپچا تصدیقی کوڈز یا جعلی تصدیقی صفحات کی کئی پرتوں سے گزرنا ہوگا۔ یہ دونوں خودکار تصدیقی بوٹس کو فلٹر کرتے ہیں اور صارفین کے لیے اعتماد کا غلط احساس پیدا کرتے ہیں کہ ویب سائٹ مکمل طور پر محفوظ ہے۔

فشنگ کے خطرات کو "Phishing-as-a-Service" ماڈل کے ذریعے بڑھا دیا گیا ہے، جیسا کہ Lighthouse پلیٹ فارم کے پیچھے موجود ہیکرز کے خلاف Google کے حالیہ مقدمہ سے ظاہر ہوتا ہے۔

سرمایہ کاروں کے لیے، "اپنی نجی چابیاں شیئر نہ کریں" کا مشورہ اب کافی نہیں ہے۔ کاسپرسکی ماہرین کا کہنا ہے کہ ایکسٹینشنز کی اصلیت کو احتیاط سے جانچنا، کسی بھی آن لائن میٹنگ کے دعوت نامے یا غیر متوقع ملازمت کی پیشکشوں سے ہوشیار رہنا، اور ای میلز سے لاگ ان کی درخواستوں سے محتاط رہنا (یہاں تک کہ پی ڈی ایف یا کیپچا تحفظ کے ساتھ) اس ڈیجیٹل دور میں بقا کی لازمی مہارتیں ہیں۔

ماخذ: https://www.sggp.org.vn/vi-tien-so-khong-con-la-noi-an-toan-post826686.html