फ़िशिंग एक व्यापक रूप से लोकप्रिय साइबर क्राइम रणनीति है जिसका उपयोग दुनिया भर के खतरे वाले अभिनेताओं द्वारा किया जाता है। पिछले कुछ वर्षों में, फ़िशिंग ने सहमति फ़िशिंग सहित विभिन्न प्रकारों की श्रेणी में विविधता ला दी है। लेकिन वास्तव में सहमति से फ़िशिंग कैसे काम करती है, और क्या यह आपके लिए ख़तरा है?

सहमति फ़िशिंग क्या है?

सहमति फ़िशिंग एक फ़िशिंग युक्ति है जिसे सफल होने के लिए प्रमाणीकरण के कुछ स्तर की आवश्यकता होती है। इन हमलों में सफल होने के लिए दुर्भावनापूर्ण ऐप्स का उपयोग शामिल है, जिसमें OAuth ऐप्स विशेष रूप से लोकप्रिय विकल्प हैं। प्रक्रिया कैसे काम करती है, यह समझने के लिए हानिकारक OAuth ऐप के साथ सहमति फ़िशिंग का एक उदाहरण देखें।

जैसा कि अक्सर फ़िशिंग के मामले में होता है, सहमति वाले फ़िशिंग हमले एक ईमेल से शुरू होते हैं, जिसमें हमलावर एक आधिकारिक इकाई होने का दावा करता है। क्योंकि एक्सेस करने के लिए कंसेंट फिशिंग का इस्तेमाल किया जाता है क्लाउड स्टोरेज खाते, हम एक उदाहरण के रूप में Google Workspace का उपयोग करेंगे। ध्यान दें कि जो खाते पहले से लॉग इन हैं, वे सहमति फ़िशिंग में लक्षित हैं।

instagram viewer

मान लें कि एक हमलावर Google कर्मचारी होने का दावा करने वाले लक्ष्य को ईमेल करता है। इस ईमेल में, हमलावर टारगेट को बताएगा कि उसे किसी तरह का काम करने के लिए अपने Google Workspace खाते में लॉग इन करना होगा. उदाहरण के लिए, लक्ष्य को बताया जा सकता है कि उन्हें अपनी पहचान सत्यापित करने के लिए लॉग इन करने की आवश्यकता है।

हमलावर अपने ईमेल में एक लिंक प्रदान करेगा, जिसके बारे में उनका दावा है कि वह Google Workspace के लॉगिन पेज पर ले जाता है. यदि लक्ष्य घोटाले से अनजान रहता है, तो वे लिंक पर क्लिक कर सकते हैं।

यह वह बिंदु है जिस पर सहमति फ़िशिंग विशिष्ट क्रेडेंशियल फ़िशिंग से भिन्न होती है। हमले के अगले चरण में, धमकी देने वाला पीड़ित के डेटा तक पहुंचने के लिए एक वैध प्रदाता द्वारा होस्ट किए गए दुर्भावनापूर्ण ऐप का उपयोग करेगा। जब पीड़ित दुर्भावनापूर्ण लिंक पर क्लिक करता है, तो उन्हें एक अनुमति पृष्ठ पर ले जाया जाएगा, जहां उनसे प्रदाता को निश्चित पहुंच प्रदान करने के लिए कहा जाएगा।

क्योंकि पीड़ित का मानना ​​है कि वे एक वैध पेज के साथ काम कर रहे हैं, इसलिए संभावना है कि वे ये अनुमतियां प्रदान करेंगे। हालांकि, इस समय हमलावर को पीड़ित के Google Workspace खाते का एक्सेस दे दिया गया है.

लेकिन कोई हमलावर किसी के क्लाउड स्टोरेज खाते तक क्यों पहुंचना चाहेगा?

सहमति फ़िशिंग के प्रभाव

साइबर अपराध के खेल में, डेटा अमूल्य हो सकता है। ऐसी कई प्रकार की जानकारी हैं जिनका एक हमलावर अपने लाभ के लिए लाभ उठा सकता है, जैसे कि भुगतान जानकारी। लेकिन यह संभावना नहीं है कि क्लाउड अकाउंट में ऐसा डेटा होगा। तो, सहमति फ़िशिंग का क्या मतलब है?

बहुत सारे हमलावर कंपनी डेटा तक पहुँचने के लिए संगठनात्मक क्लाउड स्टोरेज खातों को लक्षित करते हैं। ऐसा डेटा कई तरह से उपयोगी हो सकता है।

सबसे पहले, हमलावर सक्षम हो सकता है डार्क वेब मार्केटप्लेस पर संगठनात्मक डेटा बेचते हैं. इंटरनेट के ऐसे अवैध कोने साइबर अपराधियों के बीच बेहद लोकप्रिय हैं, क्योंकि डेटा की बिक्री के जरिए भारी मुनाफा कमाया जा सकता है। साइबर अपराधी कंपनी का डेटा भी चुरा सकते हैं और फिरौती की मांग कर सकते हैं, जो उस डेटा को केवल डार्क वेब पर बेचने की तुलना में अधिक लाभदायक साबित हो सकता है। यानी अगर वे ऐसा नहीं करते हैं...

सहमति फ़िशिंग को कैसे रोकें

सहमति फ़िशिंग का उपयोग अक्सर व्यक्तियों के बजाय संगठनों के विरुद्ध किया जाता है (इसलिए गूगल वर्कप्लेस एक अच्छा उदाहरण है; यह कंपनियों के लिए आदर्श है)। इसलिए यह महत्वपूर्ण है कि कंपनी के प्रमुख अपने कर्मचारियों को इस बारे में शिक्षित करें कि सहमति फ़िशिंग कैसे काम करती है। बहुत से लोग फ़िशिंग और उन लाल झंडों से पूरी तरह अपरिचित हैं, जिन पर उन्हें नज़र रखनी चाहिए, इसलिए कर्मचारियों को यह दिखाना कि संभावित घोटाले वाले ईमेल की पहचान कैसे की जाए, कंपनी की सुरक्षा के लिए अमूल्य हो सकता है।

इसके अतिरिक्त, यह पूर्व-अधिकृत ऐप्स की एक सूची होने के लायक हो सकता है, जो एक कर्मचारी अपने कार्य उपकरणों पर एक्सेस कर सकता है। यह कर्मचारियों के किसी भी सदस्य द्वारा अनजाने में किसी दुर्भावनापूर्ण ऐप को अनुमति देने की संभावना को समाप्त कर सकता है।

अन्य सुरक्षा उपायों को नियोजित करना भी फायदेमंद हो सकता है, जैसे एंटी-स्पैम फ़िल्टर और टू-फैक्टर ऑथेंटिकेशन (2FA).

क्या देखना है यह जानकर अपने डेटा को सुरक्षित रखें

सहमति फ़िशिंग और सामान्य रूप से फ़िशिंग के विनाशकारी परिणाम हो सकते हैं। ठगी के शिकार लोगों पर इस तरह का साइबर हमला चिंताजनक रूप से प्रभावी है। हालाँकि, सहमति फ़िशिंग पर लेने और इसे अपने ट्रैक में रोकने के तरीके हैं। शिक्षा और सतर्कता के माध्यम से, आप अपने डेटा को दुर्भावनापूर्ण अभिनेताओं के हाथों से बचाकर प्रभावी ढंग से सुरक्षित रख सकते हैं।