एथेरियम फ़ाउंडेशन के प्रमुख डेवलपर, निक जॉनसन, को निशाना बनाकर Google सेवाओं का दुरुपयोग करने वाले एक बेहद परिष्कृत फ़िशिंग हमले की हालिया रिपोर्ट यह साबित करती है कि इंटरनेट उपयोगकर्ताओं को फ़िशिंग जैसी सोशल इंजीनियरिंग रणनीतियों से खुद को बचाने के लिए और अधिक सावधानी बरतने की ज़रूरत है।
इस हमले की ख़ासियत यह है कि हैकर्स हर तत्व को बेहद वैध दिखाने की क्षमता रखते हैं। इस हमले में, हैकर्स ने DomainKeys Identified Mail (DKIM) हस्ताक्षर जाँच को दरकिनार कर दिया, जो यह सत्यापित करने के लिए डिज़ाइन किया गया है कि कोई ईमेल वास्तव में प्रशंसित डोमेन से है या नहीं। इस बाईपास के कारण, Google आपको किसी भी आसन्न साइबर हमले के बारे में चेतावनी नहीं देगा। निक के मामले में, फ़िशिंग no-reply@accounts.google.com से आई थी, जो एक वैध डोमेन वाला ईमेल था। हालाँकि, फ़िशिंग लिंक के URL में “sites.google.com” है।
यह कैसे संभव हो सकता है? हैकर्स ने sites.google.com के साथ एक नकली सहायता पोर्टल पेज बनाया, जिसे मूल रूप से Google खाता धारकों को बुनियादी वेबसाइट बनाने में मदद करने के लिए डिज़ाइन किया गया था। फिर फ़िशिंग ईमेल में सहायता पृष्ठ का एक लिंक एम्बेड कर दिया जाता है ताकि अनजान पीड़ितों को यह विश्वास दिलाया जा सके कि वे बस Google के साथ बातचीत कर रहे हैं। सहायता पृष्ठ पर, पीड़ितों को उनके Google खाते के क्रेडेंशियल देने के लिए फुसलाया जाता है, जिसका इस्तेमाल हमलावर बाद में उनके खातों तक पहुँचने के लिए करते हैं।
यह उल्लेखनीय है कि Google भी इस बात के लिए ज़िम्मेदार हो सकता है कि उसने किसी के लिए भी Google.com वाली साइट को अपने पते में प्रदर्शित करना संभव बनाया। यह और भी चिंताजनक है कि वह स्क्रिप्ट और मनमाने एम्बेड की अनुमति देता है, जबकि उसे पता है कि दुर्भावनापूर्ण तत्व इन सुविधाओं का उपयोग क्रेडेंशियल-हार्वेस्टिंग साइटें बनाने के लिए आसानी से कर सकते हैं। हालाँकि Google अपनी सेवाओं का उपयोग करते समय उपयोगकर्ताओं के अनुभव को बेहतर बनाने पर केंद्रित प्रतीत होता है, लेकिन ऐसी सेवाओं से जुड़े सुरक्षा जोखिम उनके लाभों से कहीं अधिक प्रतीत होते हैं। शायद Google इस बारे में अपने रुख पर पुनर्विचार करे।
हमले की जटिलता के बावजूद, एक तथ्य सत्य है: साइबर हमला चाहे कितना भी वैध क्यों न लगे, साइबर अपराधी शायद ही कभी कोई निशान छोड़े बिना काम करते हैं। निक ने नीचे दिए गए ट्विटर थ्रेड में इस हमले के पीछे की चाल को समझने में आपकी मदद करने के लिए मुख्य बिंदु दिए हैं।
यह हमला स्पष्ट करता है कि दुर्भावनापूर्ण तत्वों की हरकतों का शिकार होने से बचने के लिए आपको कभी भी बहुत ज़्यादा सावधानी नहीं बरतनी चाहिए। हालाँकि आप बुनियादी सुरक्षा जाँच के तौर पर ईमेल भेजने वाले के डोमेन और उनके ईमेल में मौजूद URL की जाँच जारी रख सकते हैं, लेकिन आपको प्राप्त ईमेल से जुड़े सभी ईमेल पतों की सावधानीपूर्वक जाँच करनी चाहिए। ऐसा करने के बाद भी, अतिरिक्त सावधानी बरतने की ज़रूरत है, खासकर जब आपसे अपने क्रेडेंशियल दर्ज करने के लिए कहा जाए। उम्मीद है कि Google इन हमलों में इस्तेमाल की गई कमज़ोरियों को ठीक कर देगा ताकि आगे भी इसी तरह के हमले या उनके संशोधित संस्करण का इस्तेमाल न किया जा सके।
स्रोत: हॉट हार्डवेयर / डिग्पू न्यूज़टेक्स