यदि आपको आंतरिक राजस्व सेवा या फेडरल डिपॉजिट इंश्योरेंस कॉर्पोरेशन से ई-मेल मिला है, तो संभावना है कि यह एक फ़िशिंग प्रयास था। यदि आपको अपने बैंक, पेपाल या फेसबुक से ई-मेल प्राप्त हुआ है, तो आप तुरंत अपने खाते को निलंबित करने वाली जानकारी या जोखिम को सत्यापित करने का आग्रह करते हैं, यह निस्संदेह फ़िशिंग था।
हालिया रिपोर्टों के अनुसार, इस वर्ष फ़िशिंग हमलों में वृद्धि हुई है। एंटी-फ़िशिंग वर्किंग ग्रुप की रिपोर्ट है कि अकेले 2009 की पहली छमाही में 55, 600 से अधिक फ़िशिंग हमले हुए थे। फ़िशिंग विशेष रूप से खतरनाक है क्योंकि एक बार अपराधियों को एक वेब साइट के लिए पीड़ित का पासवर्ड मिल जाता है, वे अक्सर इसका उपयोग अन्य खातों में करने के लिए कर सकते हैं जहां लोगों ने पासवर्ड का फिर से उपयोग किया है।
और किसी को भी खतरा हो सकता है। एफबीआई निदेशक रॉबर्ट मुलर की पत्नी ने उन्हें फ़िशिंग प्रयास के लिए गिरने के करीब आने के बाद ऑनलाइन बैंकिंग करने से प्रतिबंधित कर दिया।
यहाँ कुछ बुनियादी जानकारी है जो लोगों को फ़िशिंग हमलों से बरगलाए जाने से बचाने में मदद कर सकती है।
फ़िशिंग क्या है?
फ़िशिंग एक प्रयास है, आमतौर पर ई-मेल के माध्यम से, लोगों को बैंक या किसी अन्य वैध संस्था के बहाने से उपयोगकर्ता नाम, पासवर्ड और क्रेडिट कार्ड डेटा जैसी संवेदनशील जानकारी प्रकट करने के लिए छल करने के लिए। ई-मेल में आमतौर पर एक वेब साइट का लिंक शामिल होता है जो वैध प्रतीत होता है और जो उपयोगकर्ताओं को जानकारी प्रदान करने के लिए प्रेरित करता है। कभी-कभी, फ़िशिंग ई-मेल को भरने के लिए अनुलग्नक में एक फॉर्म शामिल होगा। एक आम रणनीति तीतर का उपयोग एक वित्तीय संस्थान के धोखाधड़ी विभाग या पेपाल जैसे ऑनलाइन रिटेलर से होने का दिखावा करना है और पहचान धोखाधड़ी को रोकने के लिए जानकारी प्रदान करने के लिए पूछना है। एक मामले में, एक फ़िशिंग ई-मेल एक राज्य लॉटरी आयोग से होने के कारण उसकी बैंकिंग जानकारी प्राप्त करने वालों से पूछती है ताकि उनकी "जीत" उनके खातों में जमा हो सके।
लिंक पर क्लिक करने के लिए लोगों को बरगलाने के लिए फिशर भी समाचार और अन्य लोकप्रिय विषयों में रुचि का शोषण कर रहे हैं। स्वाइन फ्लू के बारे में एक ई-मेल ने लोगों को बीमारी पर एक सर्वेक्षण के भाग के रूप में अपना नाम, पता, फोन नंबर और अन्य जानकारी प्रदान करने के लिए कहा। और सोशल नेटवर्क के उपयोगकर्ता लोकप्रिय लक्ष्य बन रहे हैं। ट्विटर उपयोगकर्ताओं को नकली लॉग-इन पृष्ठों के लिए निर्देशित किया गया है।
हमलावर भी लोगों को अपने जाल में फँसाने के लिए त्वरित संदेश भेज रहे हैं। हाल ही के एक घोटाले में ब्राउज़र के माध्यम से एक लाइव चैट विंडो लॉन्च की गई थी। स्कैमर ने चैट विंडो के माध्यम से पीड़ितों को सूचित किया, जो बैंक से होने का दावा करता है और अतिरिक्त जानकारी मांगता है।
फ़िशिंग हमलों के अन्य हालिया उदाहरण क्या हैं?
हाल ही में एक ई-मेल घोटाले ने पेपल ग्राहकों को सेवा अनुबंध में बदलाव के कारण अतिरिक्त जानकारी या जोखिम प्राप्त करने के लिए कहा। प्राप्तकर्ता एक हाइपरलिंक पर क्लिक करने का आग्रह करता है जो कहता है कि "सत्यापित प्राप्त करें!"
एफडीआईसी से आने वाले ई-मेलों में एक विषय पंक्ति शामिल होती है जिसमें कहा जाता है कि "अपने बैंक डिपॉजिट इंश्योरेंस कवरेज की जांच करें" या "एफडीआईसी ने आधिकारिक तौर पर आपके बैंक को एक असफल बैंक का नाम दिया है।" ई-मेल में एक नकली FDIC साइट का लिंक शामिल है, जहां आगंतुकों को फॉर्म भरने के लिए खोलने के लिए प्रेरित किया जाता है। फॉर्म लिंक पर क्लिक करने से ज़ीउस वायरस डाउनलोड होता है, जिसे बैंक पासवर्ड और अन्य जानकारी चुराने के लिए डिज़ाइन किया गया है।
आईआरएस से आने वाले ई-मेल देखने वालों को यह बताते हैं कि वे टैक्स रिफंड पाने के योग्य हैं और ई-मेल में लिंक पर क्लिक करके पैसे का दावा किया जा सकता है। लिंक आगंतुकों को एक नकली आईआरएस साइट पर निर्देशित करता है जो व्यक्तिगत और वित्तीय जानकारी के लिए संकेत देता है।
एक वैध दिखने वाला फेसबुक ई-मेल लोगों को सामाजिक नेटवर्क को अपने लॉग-इन सिस्टम को अपडेट करने में मदद करने के लिए जानकारी प्रदान करने के लिए कहता है। ई-मेल में "अपडेट" बटन पर क्लिक करने से उपयोगकर्ताओं को एक फर्जी फेसबुक लॉग-इन स्क्रीन पर ले जाया जाता है जहां उपयोगकर्ता का नाम भरा जाता है और आगंतुकों को अपना पासवर्ड प्रदान करने के लिए संकेत दिया जाता है। जब पासवर्ड टाइप किया जाता है, तो लोग एक पृष्ठ पर समाप्त होते हैं जो "अपडेट टूल" प्रदान करता है, लेकिन जो वास्तव में ज़ीउस बैंक ट्रोजन है।
फ़िशिंग प्रयास के कुछ टेल-स्टोरी संकेत क्या हैं?
कई फ़िशिंग प्रयास अमेरिका के बाहर से उत्पन्न होते हैं, इसलिए उनके पास अक्सर गलत वर्तनी और व्याकरण संबंधी त्रुटियां होती हैं। कुछ के पास एक जरूरी लहजा है और वे संवेदनशील जानकारी चाहते हैं जो वैध कंपनियां आमतौर पर ई-मेल के माध्यम से नहीं पूछती हैं।
मुझे ई-मेल में क्या देखना चाहिए?
यह देखने के लिए कि क्या यह वैध लगता है, प्रेषक जानकारी की जाँच करें। अपराधी उन पतों का चयन करेंगे, जो उनके फेक हैं। उदाहरण के लिए, फिशर्स ने "[email protected]" का उपयोग किया है। हालाँकि, US में वैध पेपाल संदेश [email protected] से आते हैं और इसमें एक मुख्य आइकन शामिल होता है। अधिकांश फ़िशिंग ई-मेल अमेरिका के बाहर से आते हैं, इसलिए ".uk" या ".com" के अलावा कुछ और पता समाप्त हो सकता है। यह एक फ़िशिंग प्रयास है।
ई-मेल पता भी अस्पष्ट हो सकता है। "सभी का उत्तर दें" छोड़ने से ई-मेल पता सही हो सकता है। आप पूर्ण ई-मेल पता और अन्य जानकारी देखने के लिए "पूर्ण हेडर" दिखाने के लिए अपनी ई-मेल प्राथमिकताएं भी सेट कर सकते हैं। यदि आप सभी अनिश्चित हैं कि क्या ई-मेल वैध है, तो सूचीबद्ध पते को देखने के लिए कंपनी की वेब साइट पर जाएं।
वैध कंपनियां ई-मेल में ग्राहक के नाम या उपयोगकर्ता नाम का उपयोग करती हैं, और बैंकों में अक्सर एक खाता संख्या का हिस्सा शामिल होता है। फ़िशिंग ईमेल आमतौर पर "प्यारे पेपल ग्राहक" की तरह सामान्य अभिवादन प्रदान करते हैं।
ई-मेल के शरीर के अंदर हाइपरलिंक्स का निरीक्षण करें। फ़िशर्स आमतौर पर कंपनी के नाम से पहले उप-डोमेन या पत्र या संख्या का उपयोग करेंगे, और कभी-कभी लिंक में शब्द गलत वर्तनी वाले होते हैं। उदाहरण के लिए, www.BankA.security.com 'सुरक्षा' वेब साइट के 'BankA' अनुभाग से जुड़ेगा। अक्सर, यह बताना मुश्किल होता है कि क्या लिंक सिर्फ देखने से ही वैध है। लिंक पर मूस करके आप अधिकांश वेब ब्राउज़र के निचले भाग पर वास्तविक पता देख सकते हैं।
इसके अलावा, पेपाल, अमेज़ॅन, बैंक और कई अन्य व्यवसाय एसएसएल (सिक्योर सॉकेट्स लेयर) प्रोटोकॉल का उपयोग करते हैं जो यह सुनिश्चित करने के लिए डिज़ाइन किया गया है कि ग्राहक वास्तविक साइट पर जा रहे हैं। इसका मतलब है कि // URL एड्रेस बार में सिर्फ // के बजाय देखा जाएगा और आमतौर पर एड्रेस बार में कुछ अन्य बदलाव होंगे। उदाहरण के लिए, PayPal "P" प्रदर्शित करता है और इसका नाम URL के सामने हरे रंग में हाइलाइट किया गया है। दुर्भावनापूर्ण साइटों का पता लगाने के लिए प्रमुख ब्राउज़रों के पास एंटीफिशिंग उपाय हैं। कुछ फ़िशर URL की छोटी सेवाओं का उपयोग करके पीड़ितों को भेजने वाले वास्तविक वेब पते को छिपाने का प्रयास करते हैं।
यदि ई-मेल में कोई अनुलग्नक है, तो .exe फ़ाइलों से सावधान रहें। स्कैमर वहां वायरस और अन्य मैलवेयर छिपाना पसंद करते हैं इसलिए इसे खोलने पर निष्पादित होता है।
आपके द्वारा निर्देशित की जा सकने वाली वेब साइट के लुक से मूर्ख मत बनो। वेब साइट वास्तविक लोगो और ब्रांडिंग सहित वास्तविक बैंक या पेपाल पेज की तरह दिख सकती है। यह एक अच्छा नकली पेज हो सकता है या यह शीर्ष पर फ़िशिंग पॉप-अप विंडो के साथ एक वैध पेज हो सकता है।
फ़िशिंग हमलों से कैसे बचा जा सकता है?
स्पैम सूचियों से दूर रहने का प्रयास करें। सार्वजनिक साइटों पर अपना ई-मेल पता पोस्ट न करें। एक ई-मेल पता बनाएं जो स्पैम सूचियों में शामिल होने की संभावना कम है। उदाहरण के लिए, [email protected] के बजाय, [email protected] का उपयोग करें।
यदि आपको ई-मेल प्राप्त होता है तो ई-मेल सीधे कंपनी से संपर्क करें। किसी लिंक पर क्लिक करने के बजाय सीधे एड्रेस बार में कंपनी का पता टाइप करें। या उन्हें कॉल करें, लेकिन ई-मेल में दिए गए किसी भी फोन नंबर का उपयोग न करें।
ई-मेल के माध्यम से अनुरोधित व्यक्तिगत जानकारी न दें। वैध कंपनियां और एजेंसियां महत्वपूर्ण संचार के लिए नियमित मेल का उपयोग करेंगी और ग्राहकों से कभी भी ई-मेल में लिंक पर क्लिक करके लॉग-इन या पासवर्ड की पुष्टि करने के लिए नहीं कहेंगी।
वेब पते को ध्यान से देखें एक लिंक डायरेक्ट करता है और यदि आप अनिश्चित हैं तो व्यवसायों के लिए ब्राउज़र में पते टाइप करें।
ई-मेल अटैचमेंट न खोलें जो आपको प्राप्त होने की उम्मीद नहीं थी। IM में डाउनलोड लिंक न खोलें। और एक पॉप-अप विंडो या ई-मेल में व्यक्तिगत जानकारी दर्ज न करें।
सुनिश्चित करें कि आप वित्तीय और संवेदनशील जानकारी सबमिट करते समय एक सुरक्षित वेब साइट का उपयोग कर रहे हैं।
बार-बार पासवर्ड बदलें। कई साइटों पर एक ही पासवर्ड का उपयोग न करें।
गतिविधि की निगरानी करने और बयानों की जांच करने के लिए नियमित रूप से ऑनलाइन खातों में प्रवेश करें।
एंटीवायरस, एंटीस्पैम और फ़ायरवॉल सॉफ़्टवेयर का उपयोग करें और अपने ऑपरेटिंग सिस्टम और एप्लिकेशन को अद्यतित रखें।
अगर मुझे लगता है कि मैं फ़िशिंग का शिकार हो गया हूं तो मैं क्या कर सकता हूं?
एंटी-फ़िशिंग वर्किंग ग्रुप के पास एक व्यापक साइट है जो यह बताती है कि लोगों को किस प्रकार की जानकारी के आधार पर कदम उठाने चाहिए।
मैं फ़िशिंग प्रयासों की रिपोर्ट कहां कर सकता / सकती हूं?
आप संदिग्ध फ़िशिंग ई-मेलों को [email protected] और [email protected] पर अग्रेषित कर सकते हैं। कंपनियों के पास आमतौर पर फ़िशिंग उदाहरणों को अग्रेषित करने के लिए एक पता होता है, जैसे कि "[email protected]।" हमेशा संपूर्ण फ़िशिंग ई-मेल शामिल करें। एफबीआई में इंटरनेट अपराध शिकायत केंद्र के साथ शिकायत दर्ज की जा सकती है।
यहां अतिरिक्त संसाधन हैं।
//apwg.org/consumer_recs.html
//www.irs.gov/newsroom/article/0,, id=154848, 00.html
//www.microsoft.com/mscorp/safety/technologies/antiphishing/guidance.mspx
अपनी टिप्पणी छोड़ दो