कैसे सोशल मीडिया स्कैमर्स आपके 2FA कोड चुराने के लिए समय खरीदते हैं

फ़िशिंग घोटाले जो आपको धोखा देने की कोशिश करते हैं ताकि आपका असली पासवर्ड नकली साइट में डाल दिया जाए, दशकों से मौजूद है।

जैसा कि नियमित नग्न सुरक्षा पाठकों को पता होगा, पासवर्ड मैनेजर का उपयोग करने और टू-फैक्टर ऑथेंटिकेशन (2FA) चालू करने जैसी सावधानियां आपको फ़िशिंग दुर्घटनाओं से बचाने में मदद कर सकती हैं, क्योंकि:

• पासवर्ड प्रबंधक उपयोगकर्ता नाम और पासवर्ड को विशिष्ट वेब पेजों से जोड़ते हैं। इससे पासवर्ड प्रबंधकों के लिए गलती से फर्जी वेबसाइटों के लिए आपको धोखा देना कठिन हो जाता है, क्योंकि यदि उनका सामना ऐसी वेबसाइट से होता है जिसे उन्होंने पहले कभी नहीं देखा है तो वे स्वचालित रूप से आपके लिए कुछ भी नहीं डाल सकते हैं। भले ही नकली साइट मूल की एक पिक्सेल-परफेक्ट कॉपी हो, एक सर्वर नाम के साथ जो मानव आंखों के लिए लगभग अप्रभेद्य हो, पासवर्ड प्रबंधक मूर्ख नहीं होगा क्योंकि यह आमतौर पर यूआरएल, पूरे यूआरएल की तलाश में है , और URL के अलावा और कुछ नहीं.
• 2FA चालू होने पर, आपका पासवर्ड आमतौर पर लॉग इन करने के लिए पर्याप्त नहीं होता है। 2FA सिस्टम द्वारा उपयोग किए जाने वाले कोड आमतौर पर केवल एक बार काम करते हैं, चाहे वे आपके फोन पर एसएमएस के माध्यम से भेजे गए हों, मोबाइल ऐप द्वारा उत्पन्न किए गए हों, या एक सुरक्षित हार्डवेयर डोंगल या कीफोब द्वारा गणना की गई हो, जिसे आप अपने कंप्यूटर से अलग से ले जाते हैं। केवल आपका पासवर्ड जानना (या चोरी करना, खरीदना या अनुमान लगाना) अब साइबर अपराधी के लिए झूठा "साबित" करने के लिए पर्याप्त नहीं है कि वे आप हैं।

दुर्भाग्य से, ये सावधानियां आपको फ़िशिंग हमलों के खिलाफ पूरी तरह से प्रतिरक्षित नहीं कर सकती हैं, और साइबर अपराधी एक ही हमले के हिस्से के रूप में एक ही समय में अपने पासवर्ड और उनके 2FA कोड दोनों को सौंपने में निर्दोष उपयोगकर्ताओं को धोखा देने में बेहतर और बेहतर होते जा रहे हैं ...

…जिस बिंदु पर बदमाश तुरंत उपयोगकर्ता नाम + पासवर्ड + वन-टाइम कोड के संयोजन का उपयोग करने का प्रयास करते हैं, इस उम्मीद में कि आपके खाते में जल्दी से लॉग इन करने की उम्मीद है, इससे पहले कि आपको पता चले कि कुछ गड़बड़ चल रहा है।

इससे भी बदतर, बदमाश अक्सर वह बनाने का लक्ष्य रखते हैं जिसे हम "सॉफ्ट डिमाउंट" कहते हैं, जिसका अर्थ है कि वे अपने फ़िशिंग अभियान के लिए एक विश्वसनीय दृश्य निष्कर्ष बनाते हैं।

इससे अक्सर ऐसा लगता है कि जिस गतिविधि को आपने अपना पासवर्ड और 2FA कोड दर्ज करके "अनुमोदित" किया है (जैसे कि शिकायत का विरोध करना या किसी आदेश को रद्द करना) सही ढंग से पूरा हो गया है, और इसलिए आपकी ओर से कोई कार्रवाई आवश्यक नहीं है।

इस प्रकार हमलावर न केवल आपके खाते में प्रवेश करते हैं, बल्कि आपको संदेहास्पद भी महसूस कराते हैं और यह देखने की संभावना नहीं है कि आपका खाता वास्तव में अपहृत किया गया है या नहीं।

छोटा लेकिन घुमावदार रास्ता

यहाँ हाल ही में प्राप्त एक फेसबुक घोटाला है जो आपको प्रत्येक चरण में विश्वास के विभिन्न स्तरों के साथ ठीक उसी रास्ते पर ले जाने की कोशिश करता है।

घोटालेबाज:

• बहाना करें कि आपका अपना फेसबुक पेज फेसबुक के उपयोग की शर्तों का उल्लंघन करता है। बदमाशों ने चेतावनी दी कि इससे आपका खाता बंद किया जा सकता है। जैसा कि आप जानते हैं, वर्तमान में ट्विटर पर और उसके आसपास जो हो-हल्ला मच रहा है, उसने खाता सत्यापन, निलंबन और बहाली जैसे मुद्दों को शोर-शराबे वाले विवादों में बदल दिया है। परिणामस्वरूप, सोशल मीडिया उपयोगकर्ता सामान्य रूप से अपने खातों की सुरक्षा के बारे में चिंतित हैं, चाहे वे विशेष रूप से ट्विटर के बारे में चिंतित हों या नहीं:
  

• एक के साथ आपको एक वास्तविक पृष्ठ पर आकर्षित करें facebook.com यूआरएल. खाता नकली है, इस विशेष घोटाले अभियान के लिए पूरी तरह से स्थापित है, लेकिन जो लिंक आपको प्राप्त ईमेल में दिखाई देता है वह वास्तव में facebook.com, जिससे आपके या आपके स्पैम फ़िल्टर से संदेह आकर्षित होने की संभावना कम हो जाती है। बदमाशों ने अपने पेज का टाइटल दिया है बौद्धिक सम्पदा (कॉपीराइट शिकायतें इन दिनों बहुत आम हैं), और वैधता का स्पर्श जोड़ने के लिए, फेसबुक की मूल कंपनी मेटा के आधिकारिक लोगो का उपयोग किया है:
  

  

• रद्दीकरण के विरुद्ध अपील करने के लिए Facebook से संपर्क करने के लिए आपको एक URL प्रदान करें। ऊपर दिए गए URL के अंत में नहीं है facebook.com, लेकिन यह टेक्स्ट से शुरू होता है जो इसे फॉर्म के एक वैयक्तिकृत लिंक की तरह दिखता है facebook-help-nnnnnn, जहां बदमाशों का दावा है कि अंक nnnnnn एक अद्वितीय पहचानकर्ता हैं जो आपके विशिष्ट मामले को दर्शाता है:
  

  

• अपनी फेसबुक उपस्थिति के बारे में काफी हद तक निर्दोष दिखने वाला डेटा एकत्र करें। के लिए एक वैकल्पिक क्षेत्र भी है अतिरिक्त जानकारी जहां आपको अपने मामले पर बहस करने के लिए आमंत्रित किया जाता है। (ऊपर चित्र देखें।)

अब खुद को "साबित" करें

इस बिंदु पर, आपको कुछ प्रमाण देने की आवश्यकता है कि आप वास्तव में खाते के स्वामी हैं, इसलिए बदमाश आपको यह बताते हैं:

• अपने पासवर्ड से प्रमाणित करें। आप जिस साइट पर हैं उसमें टेक्स्ट है facebook-help-nnnnnnn पता बार में; यह HTTPS का उपयोग करता है (सुरक्षित HTTP, यानी एक पैडलॉक दिखा रहा है); और ब्रांडिंग इसे फेसबुक के अपने पेजों के समान दिखती है:
  

  

• अपने पासवर्ड के साथ जाने के लिए 2FA कोड प्रदान करें। यहां संवाद फेसबुक द्वारा उपयोग किए जाने वाले संवाद के समान ही है, सीधे फेसबुक के अपने यूजर इंटरफेस से कॉपी किए गए शब्दों के साथ। यहां आप फर्जी डायलॉग (ऊपर) और असली डायलॉग देख सकते हैं, जिसे फेसबुक खुद दिखाएगा (नीचे):
  

  

  

• इस उम्मीद में पाँच मिनट तक प्रतीक्षा करें कि "खाता ब्लॉक" अपने आप हट जाएगा। संभावित तत्काल समाधान को बाधित न करने के लिए आपको अकेला छोड़ने के लिए आमंत्रित करके, और आगे की जानकारी के अनुरोध के मामले में आपको हाथ में रहने का सुझाव देकर बदमाश यहां दोनों छोर खेलते हैं:

जैसा कि आप देख सकते हैं, इस घोटाले में पहली बार फंसने वाले किसी भी व्यक्ति के लिए संभावित परिणाम यह है कि वे बदमाशों को पूरे पांच मिनट का समय देंगे, जिसके दौरान हमलावर उनके खाते में लॉग इन करने और इसे अपने कब्जे में लेने का प्रयास कर सकते हैं।

अपराधियों द्वारा उनके फंसी हुई साइट पर उपयोग की जाने वाली जावास्क्रिप्ट में एक संदेश भी शामिल है, जो पीड़ित के पासवर्ड के सही तरीके से काम करने पर ट्रिगर किया जा सकता है, लेकिन उनके द्वारा प्रदान किया गया 2FA कोड नहीं है:

   आपके द्वारा दर्ज किया गया लॉगिन कोड आपके फ़ोन पर भेजे गए लॉगिन कोड से मेल नहीं खाता है। कृपया संख्या जांचें और पुनः प्रयास करें।

घोटाले का अंत शायद सबसे कम आश्वस्त करने वाला हिस्सा है, लेकिन फिर भी यह आपको घोटाले वाली साइट से स्वचालित रूप से स्थानांतरित करने और आपको पूरी तरह से वास्तविक, अर्थात् फेसबुक के आधिकारिक स्थान पर वापस लाने के लिए कार्य करता है। सहायता केंद्र:

क्या करना है?

भले ही आप विशेष रूप से गंभीर सोशल मीडिया उपयोगकर्ता नहीं हैं, और भले ही आप एक छद्म नाम के तहत काम करते हैं जो स्पष्ट रूप से और सार्वजनिक रूप से आपकी वास्तविक जीवन की पहचान से लिंक नहीं करता है, आपके ऑनलाइन खाते तीन मुख्य कारणों से साइबर अपराधियों के लिए मूल्यवान हैं:

• आपके सोशल मीडिया खातों तक पूर्ण पहुंच बदमाशों को आपकी प्रोफ़ाइल के निजी पहलुओं तक पहुंच प्रदान कर सकती है। चाहे वे इस जानकारी को डार्क वेब पर बेचते हों, या स्वयं इसका दुरुपयोग करते हों, इसका समझौता आपकी पहचान की चोरी के जोखिम को बढ़ा सकता है।
• आपके खातों के माध्यम से पोस्ट करने की क्षमता बदमाशों को आपके अच्छे नाम के तहत गलत सूचना और नकली समाचार देने देती है। जब तक और जब तक आप यह नहीं दिखा सकते कि आपके खाते में सेंध लगाई गई है, तब तक आप प्लेटफ़ॉर्म से बाहर हो सकते हैं, अपने खाते से बाहर हो सकते हैं, या सार्वजनिक परेशानी में पड़ सकते हैं।
• आपके चुने हुए संपर्कों तक पहुंच का मतलब है कि बदमाश आक्रामक रूप से आपके मित्रों और परिवार को निशाना बना सकते हैं। आपके अपने संपर्कों को न केवल आपके खाते से आने वाले संदेशों को देखने की अधिक संभावना है, बल्कि उन पर गंभीरता से विचार करने की भी अधिक संभावना है।

सीधे शब्दों में कहें तो साइबर अपराधियों को अपने सोशल मीडिया अकाउंट में आने की अनुमति देकर, आप अंततः न केवल खुद को बल्कि अपने दोस्तों और परिवार को भी, और यहां तक ​​कि प्लेटफॉर्म पर हर किसी को भी जोखिम में डाल देते हैं।

क्या करना है?

यहां तीन त्वरित-अग्नि युक्तियां दी गई हैं:

• टिप 1. आपके द्वारा उपयोग किए जाने वाले सामाजिक नेटवर्क के आधिकारिक "अपना खाता अनलॉक करें" और "बौद्धिक संपदा चुनौतियों से कैसे निपटें" पृष्ठों का रिकॉर्ड रखें। इस तरह, आपको भविष्य में अपना रास्ता खोजने के लिए ईमेल के माध्यम से भेजे गए लिंक पर भरोसा करने की आवश्यकता नहीं है। हमलावरों द्वारा उपयोग की जाने वाली सामान्य तरकीबों में मनगढ़ंत कॉपीराइट उल्लंघन शामिल हैं; नियमों और शर्तों का बनावटी उल्लंघन (जैसा कि इस मामले में है); कपटपूर्ण लॉगिन के फर्जी दावे जिनकी आपको समीक्षा करने की आवश्यकता है; और अन्य नकली "मुद्दे" आपके खाते के साथ। बदमाश अक्सर कुछ समय के दबाव को शामिल करते हैं, जैसा कि इस घोटाले में दावा की गई 24-घंटे की सीमा में, केवल क्लिक करके समय बचाने के लिए और प्रोत्साहन के रूप में।
• टिप 2. इस तथ्य से धोखा न खाएं कि "क्लिक-टू-कॉन्टैक्ट" लिंक वैध साइटों पर होस्ट किए गए हैं। इस घोटाले में, प्रारंभिक संपर्क पृष्ठ फेसबुक द्वारा होस्ट किया जाता है, लेकिन यह एक धोखाधड़ी खाता है, और फ़िशिंग पेज Google के माध्यम से एक मान्य HTTPS प्रमाणपत्र के साथ होस्ट किए जाते हैं, लेकिन जो सामग्री दिखाई जाती है वह फर्जी है। इन दिनों, सामग्री को होस्ट करने वाली कंपनी शायद ही कभी वैसी ही होती है, जैसा कि इसे बनाने और पोस्ट करने वाले व्यक्ति करते हैं।
• टिप 3. यदि संदेह हो, तो इसे दूर न करें। लेन-देन को जल्दी पूरा करने के लिए कभी भी जोखिम लेने के लिए दबाव महसूस न करें क्योंकि यदि आप समय लेते हैं तो आप परिणाम से डरते हैं रुकें, करने के लिए सोचना, और उसके बाद ही कनेक्ट. यदि आप निश्चित नहीं हैं, तो सलाह के लिए किसी ऐसे व्यक्ति से पूछें जिसे आप जानते हैं और वास्तविक जीवन में भरोसा करते हैं, ताकि आप उस संदेश के प्रेषक पर भरोसा न करें जिस पर आप भरोसा नहीं कर सकते हैं। (और ऊपर टिप 1 देखें।)

याद रखें, इस सप्ताह के अंत में ब्लैक फ्राइडे और साइबर मंडे आने के साथ, आपको संभवतः बहुत सारे वास्तविक प्रस्ताव, बहुत सारे धोखाधड़ी वाले, और विशेष रूप से वर्ष के इस समय के लिए अपनी साइबर सुरक्षा को बेहतर बनाने के बारे में अच्छी तरह से चेतावनियां प्राप्त होंगी।

...लेकिन कृपया ध्यान रखें कि साइबर सुरक्षा को पूरे साल गंभीरता से लेना चाहिए: कल से शुरू करो, आज करो, और कल इसे जारी रखो!

---