यह एक फ़िशिंग स्कीम है जिसमें मल्टीपरेटर ऑथेंटिकेशन भी है और आपका पासवर्ड बदलना ठीक नहीं होगा।
बुधवार को, एक विशाल Google डॉक्स फ़िशिंग हमला जीमेल में फैल गया, लोगों के खातों को अपहृत किया और खुद पीड़ितों की संपर्क सूची में स्पैमिंग कर दी। Google ने हमले को तुरंत बंद कर दिया, जिससे जीमेल के लगभग 0.1 प्रतिशत उपयोगकर्ता प्रभावित हुए।
यहां तक कि कम संख्या में, 1 बिलियन जीमेल उपयोगकर्ताओं के साथ, यह अभी भी कम से कम 1 मिलियन लोगों द्वारा समझौता किया जा रहा है। और जीमेल द्वारा प्रदान किए जाने वाले विशिष्ट फ़िशिंग डिटेक्शन इसे ब्लॉक नहीं कर सकते क्योंकि हमले को पीड़ितों को अपने पासवर्ड में टाइप करने की आवश्यकता नहीं थी।
फ़िशिंग घोटाला Outh शोषण पर निर्भर था, एक दुर्लभ योजना जिसने बुधवार को खुद को दुनिया के सामने उजागर कर दिया। ओउथ, जो ओपन ऑथराइजेशन के लिए खड़ा है, एप्स और सेवाओं को आपके खातों में प्रवेश किए बिना एक-दूसरे को "बात" करने देता है। इस बारे में सोचें कि आपका अमेज़ॅन एलेक्सा आपके Google कैलेंडर ईवेंट को कैसे पढ़ सकता है, या आपके फेसबुक मित्र कैसे देख सकते हैं कि आप Spotify पर क्या गाना सुन रहे हैं। सिस्को क्लाउडलॉक के अनुसार, पिछले तीन वर्षों में, OAuth का उपयोग करने वाले ऐप 5, 500 से 276, 000 तक कूद गए।
"अब जब यह तकनीक व्यापक रूप से ज्ञात है, तो यह एक महत्वपूर्ण समस्या पैदा करने की संभावना है - बहुत सारी ऑनलाइन सेवाएं हैं जो OAuth का उपयोग करती हैं और उनके लिए वहाँ से बाहर होने वाले सभी तृतीय-पक्ष अनुप्रयोगों को पूरी तरह से तैयार करना मुश्किल है, " ग्रेग मार्टिन ने कहा एक ईमेल में साइबरसिटी फर्म जस्क के सीईओ।
Google डॉक्स विशिष्ट फ़िशिंग हमलों से कैसे अलग था?
एक विशिष्ट फ़िशिंग हमला एक वेबसाइट को पॉपअप करने के लिए है जो आपको अपना पासवर्ड टाइप करने, चोर को संवेदनशील जानकारी भेजने या डेटाबेस में लॉग इन करने के लिए प्रेरित करता है।
OAuth कारनामों के साथ, जैसे कि Google डॉक्स घोटाले के मामले में, कुछ भी उपयोगकर्ता टाइप किए बिना खातों को अपहृत किया जा सकता है। Google डॉक्स योजना में, हमलावर ने Google डॉक्स का एक नकली संस्करण बनाया और पीड़ित के ईमेल को पढ़ने, लिखने और उपयोग करने की अनुमति मांगी।
OAuth शोषण की अनुमति देकर, आपने प्रभावी रूप से बुरे लोगों को पासवर्ड की आवश्यकता के बिना आपके खाते तक पहुंच प्रदान की है।
मैं सिर्फ अपना पासवर्ड क्यों नहीं बदल सकता?
OAuth पासवर्ड के माध्यम से काम नहीं करता है, यह अनुमति टोकन के माध्यम से काम करता है। यदि पासवर्ड आपके खाते के दरवाजों को बंद करने वाली एक कुंजी है, तो OAuth एक डोरमैन है, जिसके पास चाबी है और जो अन्य लोगों को अंदर जाने में धोखा देता है।
आपको घुसपैठियों को बाहर निकालने के लिए अनुमतियों को रद्द करना होगा।
मल्टीएक्टर प्रमाणीकरण OAuth कारनामों को क्यों नहीं रोकता है?
जब आप पासवर्ड के माध्यम से लॉगिंग करने का प्रयास करते हैं, तो मल्टीफ़ॉर्मर प्रमाणीकरण आपको सुरक्षा कोड दर्ज करने के लिए संकेत देकर काम करते हैं।
फिर, इस शोषण में, पासवर्ड प्रविष्टि बिंदु नहीं हैं। इसलिए जब हैकर OAuth कारनामों का उपयोग करते हैं, तो उन्हें पासवर्ड दर्ज करने की आवश्यकता नहीं है - पीड़ित ने पहले से ही अनुमति देने में धोखा दिया।
सिस्को के शोध के अनुसार, "उपयोगकर्ता द्वारा अनुमतियाँ प्राप्त करने के बाद एप्लिकेशन को स्वयं एक दूसरे कारक की आवश्यकता नहीं होती है।"
तो, मुझे क्या करना चाहिए अगर मैं जीमेल फ़िशिंग घोटाले जैसी किसी चीज़ के लिए गिर गया?
सौभाग्य से, यह तय करना आसान है कि क्या आप मानक फ़िशिंग शोषण के लिए गिर गए हैं। Google के मामले में, आप //myaccount.google.com/permissions पर जाकर अनुमतियों को रद्द कर सकते हैं। यदि नकली ऐप बंद हो जाता है, जैसा कि Google ने Google डॉक्स के साथ किया था, तो अनुमति भी स्वतः निरस्त हो जाएगी।
OAuth का उपयोग करने वाली अन्य सेवाओं के लिए, यह उतना सरल नहीं हो सकता है। OAuth पर भरोसा करने वाली अधिकांश सेवाओं में एक पृष्ठ होगा जहां आप अपनी अनुमतियों को प्रबंधित कर सकते हैं, जैसे ट्विटर के एप्लिकेशन पेज। Android 6.0 उपकरणों पर, आप अपनी सेटिंग में एप्लिकेशन प्रबंधक पर अनुमतियों को रद्द कर सकते हैं।
दुर्भाग्य से, सैकड़ों हजारों ऐप हैं जो OAuth का उपयोग करते हैं, और अधिकांश लोगों के लिए पर्याप्त समय नहीं है कि वे उनके लिए सभी अनुमति पृष्ठ ढूंढ सकें।
CNET मैगज़ीन: CNET के न्यूज़स्टैंड संस्करण में आपको मिलने वाली कहानियों का एक नमूना देखें।
यह जटिल है: यह क्षुधा की उम्र में डेटिंग है। अभी तक मज़ा आ रहा है? इन कहानियों से मामले की आहट मिलती है।
अपनी टिप्पणी छोड़ दो