سوشل میڈیا سکیمرز آپ کے 2FA کوڈز کو چرانے کے لیے کس طرح وقت خریدتے ہیں۔

جعل سازی کے گھوٹالے جو آپ کو آپ کے اصلی پاس ورڈ کو جعلی سائٹ میں ڈالنے کے لیے پھنسانے کی کوشش کرتے ہیں کئی دہائیوں سے جاری ہیں۔

جیسا کہ باقاعدگی سے نیکڈ سیکیورٹی کے قارئین کو معلوم ہوگا، احتیاطی تدابیر جیسے کہ پاس ورڈ مینیجر کا استعمال اور ٹو فیکٹر توثیق (2FA) کو آن کرنا آپ کو فشنگ کے حادثات سے بچانے میں مدد دے سکتا ہے، کیونکہ:

• پاس ورڈ مینیجر صارف نام اور پاس ورڈ کو مخصوص ویب صفحات کے ساتھ منسلک کرتے ہیں۔ اس سے پاس ورڈ مینیجرز کے لیے غلطی سے آپ کو بوگس ویب سائٹس کے لیے دھوکہ دینا مشکل ہو جاتا ہے، کیونکہ وہ آپ کے لیے خود بخود کچھ نہیں ڈال سکتے اگر انھیں ایسی ویب سائٹ کا سامنا ہو جس کا انھوں نے پہلے کبھی نہیں دیکھا ہو۔ یہاں تک کہ اگر جعلی سائٹ اصلی کی پکسل پرفیکٹ کاپی ہے، اس سرور کے نام کے ساتھ جو انسانی آنکھ کے لیے تقریباً الگ الگ ہے، پاس ورڈ مینیجر کو بے وقوف نہیں بنایا جائے گا کیونکہ وہ عام طور پر یو آر ایل، پورے یو آر ایل کو تلاش کرتا ہے۔ اور کچھ نہیں سوائے URL کے۔
• 2FA آن ہونے کے ساتھ، آپ کا اکیلا پاس ورڈ لاگ ان کرنے کے لیے عام طور پر کافی نہیں ہوتا ہے۔ 2FA سسٹمز کے ذریعے استعمال کیے جانے والے کوڈز عام طور پر صرف ایک بار کام کرتے ہیں، چاہے وہ SMS کے ذریعے آپ کے فون پر بھیجے گئے ہوں، موبائل ایپ کے ذریعے بنائے گئے ہوں، یا کسی محفوظ ہارڈویئر ڈونگل یا کیفوب کے ذریعے کمپیوٹ کیے گئے ہوں جسے آپ اپنے کمپیوٹر سے الگ رکھتے ہیں۔ سائبر کرائمین کے لیے صرف آپ کا پاس ورڈ جاننا (یا چوری کرنا، خریدنا یا اندازہ لگانا) اب کافی نہیں ہے کہ وہ آپ کو جھوٹا "ثابت" کر سکے۔

بدقسمتی سے، یہ احتیاطی تدابیر آپ کو فشنگ حملوں سے مکمل طور پر محفوظ نہیں بنا سکتیں، اور سائبر کرائمینز بے گناہ صارفین کو ایک ہی وقت میں اپنے پاس ورڈز اور ان کے 2FA کوڈز دونوں حوالے کرنے کے لیے دھوکہ دینے میں بہتر سے بہتر ہو رہے ہیں، اسی حملے کے حصے کے طور پر…

…جس مقام پر بدمعاش فوری طور پر صارف نام + پاس ورڈ + ایک وقتی کوڈ کے امتزاج کو استعمال کرنے کی کوشش کرتے ہیں، اس امید میں کہ آپ کے اکاؤنٹ میں تیزی سے لاگ ان ہونے کی امید ہے اس سے پہلے کہ آپ کو یہ احساس ہو کہ کوئی بھی فشی ہو رہی ہے۔

اس سے بھی بدتر، بدمعاشوں کا مقصد اکثر وہ تخلیق کرنا ہوتا ہے جسے ہم "نرم ڈسماونٹ" کہنا چاہتے ہیں، یعنی وہ اپنی فشنگ مہم کا ایک قابل اعتماد بصری نتیجہ نکالتے ہیں۔

اس سے اکثر ایسا لگتا ہے کہ آپ نے اپنا پاس ورڈ اور 2FA کوڈ (جیسے کہ شکایت کا مقابلہ کرنا یا آرڈر منسوخ کرنا) درج کر کے جس سرگرمی کو آپ نے ابھی "منظور" کیا ہے وہ صحیح طریقے سے مکمل ہو گئی ہے، اور اس لیے آپ کی جانب سے مزید کارروائی کی ضرورت نہیں ہے۔

اس طرح حملہ آور نہ صرف آپ کے اکاؤنٹ میں داخل ہو جاتے ہیں، بلکہ آپ کو غیر مشکوک محسوس کرتے ہیں اور یہ دیکھنے کے لیے فالو اپ کرنے کا امکان بھی نہیں رکھتے کہ آیا آپ کا اکاؤنٹ واقعی ہائی جیک ہو گیا ہے۔

مختصر مگر گھومنے والی سڑک

یہاں ایک فیس بک اسکینڈل ہے جو ہمیں حال ہی میں موصول ہوا ہے جو آپ کو بالکل اسی راستے پر لے جانے کی کوشش کرتا ہے، ہر مرحلے پر مختلف سطحوں پر اعتماد کے ساتھ۔

دھوکہ باز:

• دکھاوا کریں کہ آپ کا اپنا Facebook صفحہ Facebook کے استعمال کی شرائط کی خلاف ورزی کرتا ہے۔ بدمعاشوں نے خبردار کیا ہے کہ اس سے آپ کا اکاؤنٹ بند ہو سکتا ہے۔ جیسا کہ آپ جانتے ہیں، اس وقت ٹویٹر پر اور اس کے ارد گرد پھوٹ پڑنے والے بروہا نے اکاؤنٹ کی تصدیق، معطلی اور بحالی جیسے مسائل کو شور شرابے میں بدل دیا ہے۔ نتیجے کے طور پر، سوشل میڈیا صارفین عام طور پر اپنے اکاؤنٹس کی حفاظت کے بارے میں فکر مند ہیں، چاہے وہ خاص طور پر ٹوئٹر کے بارے میں فکر مند ہوں یا نہ ہوں:
  

• a کے ساتھ آپ کو ایک حقیقی صفحہ کی طرف راغب کریں۔ facebook.com یو آر ایل. اکاؤنٹ جعلی ہے، اس مخصوص اسکام مہم کے لیے مکمل طور پر ترتیب دیا گیا ہے، لیکن جو لنک آپ کو موصول ہونے والے ای میل میں ظاہر ہوتا ہے وہ واقعی اس کی طرف لے جاتا ہے۔ facebook.comآپ کی طرف سے یا آپ کے اسپام فلٹر سے شکوک پیدا کرنے کا امکان کم ہو جاتا ہے۔ بدمعاشوں نے اپنے پیج کو ٹائٹل دیا ہے۔ بوددک پراپرٹی (کاپی رائٹ کی شکایات ان دنوں بہت عام ہیں)، اور اس نے قانونی حیثیت کا اضافہ کرنے کے لیے فیس بک کی پیرنٹ کمپنی میٹا کا آفیشل لوگو استعمال کیا ہے:
  

  

• منسوخی کے خلاف اپیل کرنے کے لیے فیس بک سے رابطہ کرنے کے لیے آپ کو URL فراہم کریں۔ مندرجہ بالا URL میں ختم نہیں ہوتا ہے۔ facebook.com، لیکن یہ متن سے شروع ہوتا ہے جو اسے فارم کے ذاتی نوعیت کے لنک کی طرح لگتا ہے۔ facebook-help-nnnnnn، جہاں بدمعاش دعوی کرتے ہیں کہ ہندسے nnnnnn ایک منفرد شناخت کنندہ ہیں جو آپ کے مخصوص کیس کی نشاندہی کرتا ہے:
  

  

• اپنی فیس بک کی موجودگی کے بارے میں بڑی حد تک معصوم آواز والا ڈیٹا اکٹھا کریں۔ کے لیے ایک اختیاری فیلڈ بھی ہے۔ میں عام معلومات جہاں آپ کو اپنے کیس پر بحث کرنے کے لیے مدعو کیا جاتا ہے۔ (اوپر تصویر دیکھیں۔)

اب اپنے آپ کو "ثابت" کریں۔

اس مقام پر، آپ کو کچھ ثبوت فراہم کرنے کی ضرورت ہے کہ آپ واقعی اکاؤنٹ کے مالک ہیں، اس لیے بدمعاش آپ کو بتاتے ہیں:

• اپنے پاس ورڈ سے تصدیق کریں۔ آپ جس سائٹ پر ہیں اس میں متن موجود ہے۔ facebook-help-nnnnnnn ایڈریس بار میں؛ یہ HTTPS استعمال کرتا ہے (محفوظ HTTP، یعنی ایک پیڈلاک دکھا رہا ہے)؛ اور برانڈنگ اسے Facebook کے اپنے صفحات سے ملتی جلتی بناتی ہے:
  

  

• اپنے پاس ورڈ کے ساتھ جانے کے لیے 2FA کوڈ فراہم کریں۔ یہاں کا ڈائیلاگ خود فیس بک کے استعمال کردہ ڈائیلاگ سے بہت ملتا جلتا ہے، جس میں الفاظ کو براہ راست فیس بک کے اپنے صارف انٹرفیس سے کاپی کیا گیا ہے۔ یہاں آپ جعلی ڈائیلاگ (اوپر) اور اصلی ڈائیلاگ دیکھ سکتے ہیں جو خود Facebook کی طرف سے دکھایا جائے گا (نیچے):
  

  

  

• اس امید میں پانچ منٹ تک انتظار کریں کہ "اکاؤنٹ بلاک" خود بخود ہٹا دیا جائے گا۔ بدمعاش یہاں دونوں سرے کھیلتے ہیں، آپ کو اکیلے چھوڑنے کی دعوت دیتے ہوئے تاکہ کسی ممکنہ فوری حل میں خلل نہ پڑے، اور مشورہ دیا جائے کہ مزید معلومات کی درخواست کی صورت میں آپ کو ہاتھ پر ہاتھ دھرے رہنا چاہیے:

جیسا کہ آپ دیکھ سکتے ہیں، جو بھی اس اسکینڈل میں پھنس گیا ہے اس کا ممکنہ نتیجہ یہ ہے کہ وہ بدمعاشوں کو پانچ منٹ کی پوری ونڈو دیں گے جس کے دوران حملہ آور اپنے اکاؤنٹ میں لاگ ان کرکے اسے اپنے قبضے میں لینے کی کوشش کر سکتے ہیں۔

مجرموں کی طرف سے اپنی بوبی ٹریپ سائٹ پر استعمال ہونے والی جاوا اسکرپٹ یہاں تک کہ ایک پیغام پر مشتمل دکھائی دیتی ہے جس کو متحرک کیا جا سکتا ہے اگر متاثرہ کا پاس ورڈ صحیح طریقے سے کام کرتا ہے لیکن اس نے جو 2FA کوڈ فراہم کیا ہے وہ ایسا نہیں کرتا ہے:

   The login code you entered doesn't  match the one sent to your phone.
   Please check the number and try again.

اسکام کا انجام شاید سب سے کم یقین کرنے والا حصہ ہے، لیکن اس کے باوجود یہ آپ کو خود بخود اسکام والی سائٹ سے دور کرنے اور آپ کو مکمل طور پر حقیقی، یعنی فیس بک کے آفیشل کے مقام پر واپس لانے کا کام کرتا ہے۔ مدداور تعاون کا مرکز:

کیا کیا جائے؟

یہاں تک کہ اگر آپ خاص طور پر سنجیدہ سوشل میڈیا صارف نہیں ہیں، اور یہاں تک کہ اگر آپ کسی ایسے تخلص سے کام کرتے ہیں جو ظاہری طور پر اور عوامی طور پر آپ کی حقیقی زندگی کی شناخت سے منسلک نہیں ہوتا ہے، تب بھی آپ کے آن لائن اکاؤنٹس سائبر کرائمینلز کے لیے تین اہم وجوہات کی بنا پر قیمتی ہیں:

• آپ کے سوشل میڈیا اکاؤنٹس تک مکمل رسائی بدمعاشوں کو آپ کے پروفائل کے نجی پہلوؤں تک رسائی دے سکتی ہے۔ چاہے وہ اس معلومات کو ڈارک ویب پر بیچیں، یا خود اس کا غلط استعمال کریں، اس کا سمجھوتہ آپ کی شناخت کی چوری کا خطرہ بڑھا سکتا ہے۔
• آپ کے اکاؤنٹس کے ذریعے پوسٹ کرنے کی اہلیت بدمعاشوں کو آپ کے اچھے نام سے غلط معلومات اور جعلی خبریں پھیلانے دیتی ہے۔ آپ پلیٹ فارم کو ختم کر سکتے ہیں، آپ کے اکاؤنٹ سے لاک آؤٹ ہو سکتے ہیں، یا عوامی پریشانی میں، جب تک کہ آپ یہ نہیں دکھا سکتے کہ آپ کا اکاؤنٹ ٹوٹ گیا ہے۔
• آپ کے منتخب کردہ رابطوں تک رسائی کا مطلب ہے کہ بدمعاش آپ کے دوستوں اور خاندان والوں کو جارحانہ طور پر نشانہ بنا سکتے ہیں۔ آپ کے اپنے رابطوں میں نہ صرف آپ کے اکاؤنٹ سے آنے والے پیغامات دیکھنے کا زیادہ امکان ہوتا ہے، بلکہ ان پر سنجیدگی سے نظر ڈالنے کا بھی زیادہ امکان ہوتا ہے۔

سیدھے الفاظ میں، سائبر جرائم پیشہ افراد کو اپنے سوشل میڈیا اکاؤنٹ میں جانے کی اجازت دے کر، آپ بالآخر نہ صرف اپنے آپ کو بلکہ اپنے دوستوں اور خاندان کو، اور یہاں تک کہ پلیٹ فارم پر موجود ہر فرد کو بھی خطرے میں ڈال دیتے ہیں۔

کیا کیا جائے؟

یہاں تین فوری آگ کی تجاویز ہیں:

• ٹپ 1. آپ جو سوشل نیٹ ورک استعمال کرتے ہیں ان کے آفیشل "اپنے اکاؤنٹ کو غیر مقفل کریں" اور "انٹلیکچوئل پراپرٹی چیلنجز سے کیسے نمٹا جائے" کا ریکارڈ رکھیں۔ اس طرح، آپ کو مستقبل میں اپنا راستہ تلاش کرنے کے لیے کبھی بھی ای میل کے ذریعے بھیجے گئے لنکس پر انحصار کرنے کی ضرورت نہیں پڑے گی۔ حملہ آوروں کے ذریعہ استعمال کی جانے والی عام چالوں میں نقل شدہ کاپی رائٹ کی خلاف ورزیاں شامل ہیں۔ شرائط و ضوابط کی خلاف ورزیاں (جیسا کہ اس معاملے میں)؛ جعلی لاگ ان کے جعلی دعوے جن کا آپ کو جائزہ لینے کی ضرورت ہے۔ اور آپ کے اکاؤنٹ کے ساتھ دیگر جعلی "مسائل"۔ بدمعاشوں میں اکثر وقت کا دباؤ شامل ہوتا ہے، جیسا کہ اس گھوٹالے میں دعویٰ کیا گیا 24 گھنٹے کی حد میں، صرف کلک کرکے وقت بچانے کی مزید حوصلہ افزائی کے طور پر۔
• ٹپ 2۔ اس حقیقت سے دھوکہ نہ کھائیں کہ "کلک ٹو کنٹیکٹ" کے لنکس جائز سائٹس پر ہوسٹ کیے گئے ہیں۔ اس اسکینڈل میں، ابتدائی رابطہ صفحہ فیس بک کی طرف سے ہوسٹ کیا گیا ہے، لیکن یہ ایک دھوکہ دہی پر مبنی اکاؤنٹ ہے، اور فشنگ صفحات کی میزبانی کی جاتی ہے، گوگل کے ذریعے ایک درست HTTPS سرٹیفکیٹ کے ساتھ مکمل، لیکن جو مواد پیش کیا جاتا ہے وہ جعلی ہے۔ ان دنوں، مواد کی میزبانی کرنے والی کمپنی شاذ و نادر ہی ایسی ہوتی ہے جو افراد اسے تخلیق اور پوسٹ کرتے ہیں۔
• ٹپ 3۔ اگر شک ہو تو اسے نہ دیں۔ کسی لین دین کو جلد مکمل کرنے کے لیے خطرہ مول لینے کے لیے کبھی دباؤ محسوس نہ کریں کیونکہ اگر آپ وقت نکالتے ہیں تو آپ کو نتائج سے ڈر لگتا ہے۔ روک، پر لگتا ہے کہ، اور صرف اس کے بعد متصل. اگر آپ کو یقین نہیں ہے تو، کسی ایسے شخص سے پوچھیں جسے آپ جانتے ہیں اور حقیقی زندگی میں بھروسہ کرتے ہیں، تاکہ آپ اس پیغام کے بھیجنے والے پر بھروسہ نہ کریں جس پر آپ کو یقین نہیں ہے کہ آپ اعتماد کر سکتے ہیں۔ (اور اوپر TIP 1 دیکھیں۔)

یاد رکھیں، اس ہفتے کے آخر میں بلیک فرائیڈے اور سائبر پیر کے آنے کے ساتھ، آپ کو ممکنہ طور پر بہت ساری حقیقی پیشکشیں، بہت ساری دھوکہ دہی، اور خاص طور پر سال کے اس وقت کے لیے اپنی سائبرسیکیوریٹی کو بہتر بنانے کے طریقے کے بارے میں بہت ساری اچھی انتباہات موصول ہوں گی۔

…لیکن براہ کرم ذہن میں رکھیں کہ سائبرسیکیوریٹی کو سارا سال سنجیدگی سے لینے کی چیز ہے: کل شروع کرو، آج کرو، اور کل اسے جاری رکھو!

---