खाता अपहरण किसी और के खाते पर नियंत्रण करने की क्रिया है। यह आम तौर पर व्यक्तिगत जानकारी चुराने, पीड़ित का रूप धारण करने या उन्हें ब्लैकमेल करने की उम्मीद में किया जाता है। खाता अपहरण एक आम समस्या है लेकिन इसे करना आसान नहीं है। सफल होने के लिए, हमलावर को स्पष्ट रूप से पीड़ित के पासवर्ड का पता लगाना होगा।
शोधकर्ताओं ने एक नए प्रकार के हमले की खोज की है जिसे अकाउंट प्री-हाइजैकिंग के रूप में जाना जाता है। इसमें ऐसे खाते शामिल हैं जो अभी तक नहीं बनाए गए हैं और हमलावरों को पासवर्ड तक पहुंच के बिना समान लक्ष्य प्राप्त करने की अनुमति देता है।
तो अकाउंट प्री-हाइजैकिंग क्या है और आप इससे अपनी सुरक्षा कैसे कर सकते हैं?
खाता पूर्व अपहरण क्या है?
अकाउंट प्री-हाइजैकिंग एक नए प्रकार का साइबर अटैक है। हमलावर किसी अन्य व्यक्ति के ईमेल पते का उपयोग करके एक लोकप्रिय सेवा पर एक खाता बनाता है।
जब पीड़ित उसी ईमेल पते का उपयोग करके खाता बनाने का प्रयास करता है, तो हमलावर खाते पर नियंत्रण रखता है। पीड़ित द्वारा प्रदान की गई कोई भी जानकारी तब हमलावर के लिए सुलभ होती है, और वे बाद की तारीख में खाते का अनन्य नियंत्रण ले सकते हैं।
अकाउंट प्री-हाइजैकिंग कैसे काम करता है?
अपहरण पूर्व करने के लिए, हमलावर को पहले एक ईमेल पते तक पहुंच की आवश्यकता होती है। ये डार्क वेब पर व्यापक रूप से उपलब्ध हैं। जब एक डेटा उल्लंघन होता है, ईमेल पतों के बड़े बैचों को आमतौर पर डेटा डंप के रूप में प्रकाशित किया जाता है।
फिर हमलावर एक लोकप्रिय सेवा पर एक खाता बनाता है जिसका ईमेल पते के स्वामी ने अभी तक उपयोग नहीं किया है। कई बड़े सेवा प्रदाताओं पर यह हमला संभव है, इसलिए यह भविष्यवाणी करना कि पीड़ित किसी बिंदु पर ऐसा खाता चाहते हैं, जरूरी नहीं कि मुश्किल हो।
यह सब थोक में किया जाता है, इस उम्मीद में कि निश्चित संख्या में हमले अंततः सफल होंगे।
जब पीड़ित लक्षित सेवा पर खाता बनाने का प्रयास करता है, तो उन्हें बताया जाएगा कि उनके पास पहले से ही एक खाता है और उन्हें अपना पासवर्ड रीसेट करने के लिए कहा जाएगा। कई पीड़ित यह मानकर अपना पासवर्ड रीसेट कर देंगे कि यह एक त्रुटि है।
फिर हमलावर को नए खाते के बारे में सूचित किया जाएगा और वह उस तक पहुंच बनाए रखने में सक्षम हो सकता है।
जिस विशिष्ट तंत्र से यह हमला होता है वह भिन्न होता है, लेकिन पांच अलग-अलग प्रकार होते हैं।
क्लासिक-फ़ेडरेटेड मर्ज अटैक
कई ऑनलाइन प्लेटफ़ॉर्म आपको एक फ़ेडरेटेड पहचान का उपयोग करके साइन इन करने का विकल्प देते हैं जैसे कि आपका जीमेल खाता या अपने जीमेल पते का उपयोग करके एक नया खाता बनाना। यदि हमलावर आपके जीमेल पते का उपयोग करके साइन अप करता है और आप अपने जीमेल खाते का उपयोग करके साइन इन करते हैं, तो संभव है कि आप दोनों के पास एक ही खाते तक पहुंच हो।
असमाप्त सत्र पहचानकर्ता हमला
हमलावर पीड़ित के ईमेल पते का उपयोग करके एक खाता बनाता है और वे एक सक्रिय सत्र रखते हैं। जब पीड़ित एक खाता बनाता है और अपना पासवर्ड रीसेट करता है, तो हमलावर खाते पर नियंत्रण रखता है क्योंकि प्लेटफॉर्म ने उन्हें उनके सक्रिय सत्र से लॉग आउट नहीं किया था।
ट्रोजन पहचानकर्ता हमला
हमलावर एक खाता बनाता है और एक और खाता पुनर्प्राप्ति विकल्प जोड़ता है। यह कोई अन्य ईमेल पता या फ़ोन नंबर हो सकता है। पीड़ित खाते का पासवर्ड रीसेट कर सकता है लेकिन हमलावर अभी भी खाता पुनर्प्राप्ति विकल्प का उपयोग करके इसे नियंत्रित कर सकता है।
असमाप्त ईमेल परिवर्तन हमला
हमलावर एक खाता बनाता है और ईमेल पते में बदलाव की पहल करता है। उन्हें खाते का ईमेल पता बदलने के लिए एक लिंक प्राप्त होता है, लेकिन वे इस प्रक्रिया को पूरा नहीं करते हैं। पीड़ित खाते का पासवर्ड रीसेट कर सकता है लेकिन यह जरूरी नहीं कि हमलावर को प्राप्त लिंक को निष्क्रिय कर दे। फिर हमलावर खाते को नियंत्रित करने के लिए लिंक का उपयोग कर सकता है।
गैर-सत्यापन पहचान प्रदाता हमला
हमलावर एक पहचान प्रदाता का उपयोग करके एक खाता बनाता है जो ईमेल पतों को सत्यापित नहीं करता है। जब पीड़ित एक ही ईमेल पते का उपयोग करके साइन अप करता है, तो संभव है कि उन दोनों की एक ही खाते तक पहुंच हो।
खाता पूर्व अपहरण कैसे संभव है?
यदि कोई हमलावर आपके ईमेल पते का उपयोग करके किसी खाते के लिए साइन अप करता है, तो उसे आमतौर पर ईमेल पते को सत्यापित करने के लिए कहा जाएगा। यह मानते हुए कि उन्होंने आपका ईमेल खाता हैक नहीं किया है, यह संभव नहीं होगा।
समस्या यह है कि कई सेवा प्रदाता उपयोगकर्ताओं को उस ईमेल के सत्यापित होने से पहले सीमित कार्यक्षमता के साथ खाता खुला रखने की अनुमति देते हैं। यह हमलावरों को सत्यापन के बिना इस हमले के लिए एक खाता तैयार करने की अनुमति देता है।
कौन से प्लेटफॉर्म कमजोर हैं?
शोधकर्ताओं ने परीक्षण किया एलेक्सा के मुताबिक टॉप 150 में से 75 अलग-अलग प्लेटफॉर्म। उन्होंने पाया कि इनमें से 35 प्लेटफॉर्म संभावित रूप से कमजोर थे। इसमें लिंक्डइन, इंस्टाग्राम, वर्डप्रेस और ड्रॉपबॉक्स जैसे बड़े नाम शामिल हैं।
असुरक्षित पाई गई सभी कंपनियों को शोधकर्ताओं द्वारा सूचित किया गया था। लेकिन यह ज्ञात नहीं है कि इन हमलों को रोकने के लिए पर्याप्त कार्रवाई की गई है या नहीं।
पीड़ित के साथ क्या होता है?
यदि आप इस हमले के शिकार हो जाते हैं, तो आपके द्वारा प्रदान की जाने वाली कोई भी जानकारी हमलावर के लिए सुलभ होगी। खाते के प्रकार के आधार पर, इसमें व्यक्तिगत जानकारी शामिल हो सकती है। यदि यह हमला किसी ईमेल प्रदाता के विरुद्ध किया जाता है, तो हमलावर आपका प्रतिरूपण करने का प्रयास कर सकता है। यदि खाता मूल्यवान है, तो यह चोरी भी हो सकता है, और आपसे इसकी वापसी के लिए फिरौती मांगी जा सकती है।
अकाउंट प्री-हाईजैकिंग से कैसे बचाव करें
इस खतरे के खिलाफ प्राथमिक सुरक्षा यह जानना है कि यह मौजूद है।
यदि आप एक खाता स्थापित करते हैं और कहा जाता है कि एक खाता पहले से मौजूद है, तो आपको एक अलग ईमेल पते के साथ साइन अप करना चाहिए। यदि आप अपने सभी सबसे महत्वपूर्ण खातों के लिए अलग-अलग ईमेल पतों का उपयोग करते हैं तो यह हमला असंभव है।
यह हमला उस उपयोगकर्ता पर भी निर्भर करता है जो उपयोग नहीं कर रहा है दो-कारक प्रमाणीकरण (2FA). यदि आप एक खाता सेट करते हैं और 2FA चालू करते हैं, तो खाते तक पहुंच रखने वाला कोई भी अन्य व्यक्ति लॉग इन नहीं कर पाएगा। अन्य ऑनलाइन खतरों से सुरक्षा के लिए 2FA की भी अनुशंसा की जाती है जैसे फ़िशिंग और डेटा उल्लंघनों।
खाता पूर्व अपहरण से बचना आसान है
खाता अपहरण एक आम समस्या है। लेकिन अकाउंट प्री-हाइजैकिंग एक नया खतरा है और अब तक काफी हद तक सैद्धांतिक है। कई ऑनलाइन सेवाओं के लिए साइन अप करते समय यह एक संभावना है, लेकिन यह अभी तक एक नियमित घटना नहीं माना जाता है।
जबकि इस हमले के शिकार लोग खाता एक्सेस खो सकते हैं और उनकी व्यक्तिगत जानकारी चोरी हो सकती है, इससे बचना भी आसान है। यदि आप एक नए खाते के लिए साइन अप करते हैं और कहा जाता है कि आपके पास पहले से ही एक है, तो आपको एक अलग ईमेल पते का उपयोग करना चाहिए।