Facebook 2FA स्कैमर्स की वापसी - इस बार केवल 21 मिनट में

क्या आप कभी संयोगवश किसी फ़िशिंग लिंक पर क्लिक करने के सचमुच करीब आ गए हैं?

हमें कुछ आश्चर्य हुए हैं, जैसे कि जब हमने कुछ साल पहले एक क्लिक-एंड-कलेक्ट स्टोर से एक मोबाइल फोन खरीदा था।

इससे पहले कई वर्षों तक यूके से बाहर रहने के बाद, इस विशेष व्यवसाय से एक दशक से अधिक समय तक यह हमारी पहली खरीदारी थी…

…फिर भी अगली सुबह हमें इसी स्टोर से होने का दावा करने वाला एक एसएमएस संदेश मिला, जिसमें हमें सलाह दी गई थी कि हम अधिक भुगतान करेंगे और धनवापसी की प्रतीक्षा कर रहे हैं।

न केवल यह सदियों से ब्रांड X के साथ हमारी पहली बातचीत थी, बल्कि यह पहला एसएमएस भी था (वास्तविक या अन्यथा) जो हमें कभी भी उस ब्रांड X का उल्लेख मिला था।

ऐसा होने की क्या संभावना है?

(तब से, हमने एक्स से कुछ और खरीदारी की है, विडंबना यह है कि इस खोज के बाद एक और मोबाइल फोन भी शामिल है कि फोन हमेशा साइकिल की चाल में अच्छा नहीं करते हैं, और हमारे पास एक्स को लक्षित करने वाले कई और एसएमएस घोटाले संदेश हैं, लेकिन वे 'इतना विश्वासपूर्वक कभी भी पंक्तिबद्ध नहीं किया।)

चलो अंकगणित करते हैं

यदि आप अंकगणित करते हैं, तो आश्चर्यजनक रूप से, घोटाले-मुलाकात-वास्तविक जीवन के संयोगों की संभावना आश्चर्यजनक रूप से अच्छी है।

आखिरकार, यूके लॉटरी (6 में से 59 नंबर वाली गेंदें) में जीतने वाली संख्याओं का अनुमान लगाने की संभावना लगभग एक-एक-1 मिलियन में लगभग असीम रूप से छोटी है, जिसे सूत्र के रूप में जाना जाता है। 59C6 or 59 choose 6है, जो है 59!/6!(59-6)!, जो के रूप में बाहर आता है 59x56x55x54x53x52/6x5x4x3x2x1 = 45,057,474.

इसीलिए आपने जैकपॉट कभी नहीं जीता...

…भले ही बहुत कम लोगों के पास है, यह कई वर्षों से चल रहा है।

उसी तरह, फ़िशिंग बदमाशों को निशाना बनाने या छल करने की ज़रूरत नहीं है इसलिए आप , लेकिन केवल छल करने के लिए कोई, और एक दिन, हो सकता है, बस हो सकता है, कि कोई आप हो।

हमें इसका एक अजीब याद आया कल रात, जब हम सोफे पर बैठे थे, आलस्य से तकनीकी प्रकाशन में एक लेख पढ़ रहे थे रजिस्टर लगभग 2FA स्कैमिंग।

पहला आश्चर्य यह था कि जिस क्षण हमने सोचा, "अरे, हमने लगभग दो सप्ताह पहले कुछ इस तरह लिखा था," हम पैराग्राफ में पहुंचे एल रजि कहानी जिसने न केवल इतना ही कहा, बल्कि सीधे जुड़ा हुआ है हमारे अपने लेख के लिए!

ऐसा होने की क्या संभावना है?

बेशक, कोई भी लेखक जो कहता है कि उन्हें कोई फर्क नहीं पड़ता कि अन्य लोग उनके काम को नोटिस करते हैं या नहीं, लगभग निश्चित रूप से भरोसा नहीं किया जाना चाहिए, और हम स्वीकार करने के लिए तैयार हैं (अहम) कि हमने प्रासंगिक पैराग्राफ का एक स्क्रीनशॉट लिया और उसे ईमेल किया स्वयं के लिए ("विशुद्ध रूप से पीआर दस्तावेज़ीकरण उद्देश्यों के लिए" वह स्पष्टीकरण था जिस पर हमने निर्णय लिया था)।

अब यह अजीब हो जाता है

यहां संयोगों का संयोग अजीब हो जाता है।

अपने फोन से अपने लैपटॉप पर ईमेल भेजने के बाद, हम अपनी बाईं ओर दो मीटर से भी कम चले गए, और संलग्न छवि को बचाने के लिए उक्त लैपटॉप के सामने बैठ गए, केवल उसे खोजने के लिए कुछ सेकंड के दौरान हम खड़े थे...

...पहले की तरह ही बदमाशों ने हमें एक और ईमेल किया था फेसबुक पेज 2FA घोटाला, जिसमें पिछले वाले के लगभग समान पाठ है:

पिछले संयोग की संभावना के साथ संयुक्त रूप से ऐसा होने की क्या संभावना है जो अभी-अभी तब हुआ जब हम लेख पढ़ रहे थे?

अफसोस की बात है कि जिस आसानी से साइबर अपराधी नए डोमेन नाम पंजीकृत कर सकते हैं, नए सर्वर स्थापित कर सकते हैं और दुनिया भर में लाखों ईमेल का विस्फोट कर सकते हैं…

...संभावना इतनी अधिक है कि अगर इस तरह की सह-घटना कभी नहीं हुई तो यह और भी आश्चर्यजनक होगा।

घोटाले में छोटे बदलाव

दिलचस्प बात यह है कि इन बदमाशों ने अपने घोटाले में मामूली बदलाव किए थे।

पिछली बार की तरह, उन्होंने एक क्लिक करने योग्य लिंक के साथ एक HTML ईमेल बनाया, जो स्वयं एक URL जैसा दिखता था, भले ही वह जिस वास्तविक URL से जुड़ा था, वह टेक्स्ट में दिखाई देने वाला नहीं था।

इस बार, हालांकि, यदि आप ईमेल में नीले पाठ पर होवर करते हैं तो आपने जो लिंक देखा है (द वास्तविक प्रत्यक्ष लक्ष्य के बजाय URL लक्ष्य) वास्तव में इस पर होस्ट किए गए URL का लिंक था facebook.com डोमेन.

अपने ईमेल से सीधे अपने स्कैम साइट से लिंक करने के बजाय, अपने नकली पासवर्ड और 2FA संकेतों के साथ, अपराधी अपने स्वयं के एक फेसबुक पेज से जुड़े, इस प्रकार उन्हें एक facebook.com ईमेल में ही उपयोग करने के लिए लिंक:

यह एक-अतिरिक्त-क्लिक-दूर चाल अपराधियों को तीन छोटे फायदे देती है:

• अंतिम डोडी लिंक ईमेल फ़िल्टरिंग सॉफ़्टवेयर को सीधे दिखाई नहीं देता है, और यदि आप अपने ईमेल क्लाइंट में लिंक पर होवर करते हैं तो पॉप अप नहीं होता है।
• घोटाले की कड़ी स्पष्ट वैधता प्राप्त करती है फेसबुक पर ही दिखने से।
• स्कैम लिंक पर क्लिक करना किसी तरह कम खतरनाक लगता है क्योंकि आप इसे सीधे ईमेल से जाने के बजाय अपने ब्राउज़र से देख रहे हैं, जिसके बारे में हम सभी को सावधान रहना सिखाया गया है।

हमने विडंबना को याद नहीं किया, जैसा कि हम आशा करते हैं कि आप या तो पूरी तरह से फर्जी फेसबुक पेज की स्थापना नहीं करेंगे, विशेष रूप से हमारे अपने फेसबुक पेज की कथित रूप से खराब गुणवत्ता के लिए निंदा करने के लिए!

इस बिंदु से, घोटाला ठीक उसी वर्कफ़्लो का अनुसरण करता है जैसा हमने पिछली बार लिखा था:

सबसे पहले, आपसे आपका नाम और अन्य उचित मात्रा में व्यक्तिगत जानकारी मांगी जाती है।

दूसरे, आपको अपना फेसबुक पासवर्ड दर्ज करके अपनी अपील की पुष्टि करनी होगी।

अंत में, जैसा कि आप अपने पासवर्ड का उपयोग करते समय उम्मीद कर सकते हैं, आपको एक बार का 2FA कोड डालने के लिए कहा जाता है जो आपके मोबाइल फोन ऐप ने अभी-अभी जनरेट किया है, या जो एसएमएस के माध्यम से आया है।

बेशक, जैसे ही आप प्रक्रिया में प्रत्येक डेटा आइटम प्रदान करते हैं, बदमाश फ़िशिंग जानकारी का उपयोग वास्तविक समय में लॉगिन करने के लिए कर रहे हैं जैसे कि वे आप थे, इसलिए वे आपके बजाय आपके खाते तक पहुंच के साथ समाप्त हो जाते हैं।

पिछली बार, घोटाले में इस्तेमाल किए गए नकली डोमेन बनाने वाले बदमाशों के बीच सिर्फ 28 मिनट का समय बीत गया था (जिस लिंक को उन्होंने ईमेल में ही डाला था), जो हमने सोचा था कि बहुत जल्दी था।

इस बार, यह सिर्फ 21 मिनट का समय था, हालांकि, जैसा कि हमने उल्लेख किया है, नकली डोमेन का उपयोग सीधे हमें प्राप्त फर्जी ईमेल में नहीं किया गया था, बल्कि इसके बजाय एक ऑनलाइन वेब पेज पर रखा गया था, विडंबना यह है कि एक पेज के रूप में facebook.com ही.

जैसे ही हमने पाया, हमने फेसबुक को फर्जी पेज की सूचना दी; अच्छी खबर यह है कि अब इसे ऑफलाइन कर दिया गया है, इस प्रकार स्कैम ईमेल और नकली फेसबुक डोमेन के बीच संबंध तोड़ दिया गया है:

क्या करना है?

इस तरह के घोटालों के झांसे में न आएं।

• सोशल मीडिया साइटों पर आधिकारिक "अपील" पृष्ठों तक पहुंचने के लिए ईमेल में लिंक का उपयोग न करें। जानें कि स्वयं कहां जाना है, और एक स्थानीय रिकॉर्ड (कागज पर या अपने बुकमार्क में) रखें, ताकि आपको कभी भी ईमेल वेब लिंक का उपयोग करने की आवश्यकता न पड़े, चाहे वे वास्तविक हों या नहीं।
• ईमेल URL को ध्यान से देखें। टेक्स्ट के साथ एक लिंक जो स्वयं एक यूआरएल जैसा दिखता है जरूरी नहीं कि वह यूआरएल है जिस पर लिंक आपको निर्देशित करता है। सही गंतव्य लिंक खोजने के लिए, अपने माउस से लिंक पर होवर करें (या अपने मोबाइल फोन पर लिंक को टच-एंड-होल्ड करें)।
• यह न मानें कि एक प्रसिद्ध डोमेन वाले सभी इंटरनेट पते किसी न किसी तरह सुरक्षित हैं। डोमेन जैसे facebook.com, outlook.com or play.google.com वैध सेवाएं हैं, लेकिन उन सेवाओं का उपयोग करने वाले प्रत्येक व्यक्ति पर भरोसा नहीं किया जा सकता है। वेबमेल सर्वर पर व्यक्तिगत ईमेल खाते, सोशल मीडिया प्लेटफॉर्म पर पेज, या ऑनलाइन सॉफ्टवेयर स्टोर में ऐप्स सभी विश्वसनीय डोमेन नाम वाले प्लेटफॉर्म द्वारा होस्ट किए जाते हैं। लेकिन अलग-अलग उपयोगकर्ताओं द्वारा प्रदान की गई सामग्री न तो उस प्लेटफ़ॉर्म द्वारा बनाई गई है और न ही विशेष रूप से दृढ़ता से जाँच की गई है (चाहे प्लेटफ़ॉर्म कितना भी स्वचालित सत्यापन करने का दावा करे)।
• वेबसाइट डोमेन नामों को ध्यान से देखें। प्रत्येक वर्ण मायने रखता है, और किसी भी सर्वर नाम का व्यावसायिक हिस्सा अंत में होता है (यूरोपीय भाषाओं में दाईं ओर जो बाएं से दाएं जाता है), शुरुआत में नहीं। अगर मैं डोमेन का मालिक हूं dodgy.example फिर मैं शुरुआत में कोई भी ब्रांड नाम रख सकता हूं जो मुझे पसंद हो, जैसे कि visa.dodgy.example or whitehouse.gov.dodgy.example. वे केवल मेरे कपटपूर्ण डोमेन के उप डोमेन हैं, और के किसी अन्य भाग की तरह ही अविश्वसनीय हैं dodgy.example.
• यदि आपके मोबाइल फोन पर डोमेन नाम स्पष्ट रूप से दिखाई नहीं दे रहा है, जब तक आप एक नियमित डेस्कटॉप ब्राउज़र का उपयोग नहीं कर सकते, तब तक प्रतीक्षा करने पर विचार करें, जिसमें URL के वास्तविक स्थान को प्रकट करने के लिए आमतौर पर बहुत अधिक स्क्रीन स्थान होता है।
• एक पासवर्ड मैनेजर पर विचार करें। पासवर्ड प्रबंधक उपयोगकर्ता नाम और लॉगिन पासवर्ड को विशिष्ट सेवाओं और URL के साथ जोड़ते हैं। यदि आप एक धोखेबाज साइट पर समाप्त हो जाते हैं, तो यह कितना भी आश्वस्त करने वाला क्यों न हो, आपके पासवर्ड मैनेजर को मूर्ख नहीं बनाया जाएगा क्योंकि यह साइट को उसके यूआरएल से पहचानता है, न कि उसकी उपस्थिति से।
• अपना 2FA कोड डालने में जल्दबाजी न करें। अपने वर्कफ़्लो में व्यवधान का उपयोग करें (उदाहरण के लिए, कोड जेनरेटर ऐप तक पहुंचने के लिए आपको अपने फ़ोन को अनलॉक करने की आवश्यकता है) एक कारण के रूप में उस URL को दूसरी बार जाँचने के लिए, बस सुनिश्चित करने के लिए, सुनिश्चित करने के लिए।
• फेसबुक को स्कैम पेज की रिपोर्ट करने पर विचार करें। ऐसा करने के लिए आपके पास अपना खुद का एक फेसबुक अकाउंट होना चाहिए (गैर-फेसबुक उपयोगकर्ता अधिक समुदाय की मदद करने के लिए रिपोर्ट सबमिट करने में असमर्थ हैं, जो एक दया है), या एक दोस्त है जो आपके लिए रिपोर्ट भेजेगा। . लेकिन इस मामले में हमारा अनुभव यह था कि रिपोर्टिंग ने काम किया, क्योंकि फेसबुक ने जल्द ही आपत्तिजनक पेज तक पहुंच को रोक दिया।

याद रखें, जब व्यक्तिगत डेटा की बात आती है, विशेष रूप से पासवर्ड और 2FA कोड…

...यदि संदेह है/इसे न दें.

---