सावधान! रीयल-टाइम ईमेल सत्यापन से फ़िशिंग हमले ज़्यादा स्मार्ट हो जाते हैं

साइबर अपराधी क्रेडेंशियल चोरी पर एक परेशान करने वाले नए मोड़ के साथ बार बढ़ा रहे हैं, फ़िशिंग हमलों को अधिक कुशल और पता लगाने में कठिन बनाने के लिए वास्तविक समय ईमेल सत्यापन का उपयोग कर रहे हैं। कोफ़ेंस के शोधकर्ताओं ने इस विकसित रणनीति की पहचान की है और इसे "सटीक-सत्यापन फ़िशिंग" नाम दिया है - एक ऐसी विधि जो लक्ष्य सूची को केवल उन ईमेल पतों तक सीमित करती है जिन्हें सक्रिय और मूल्यवान माना जाता है।

पारंपरिक फ़िशिंग अभियानों के विपरीत, जो एक विस्तृत जाल बिछाते हैं और कुछ लोगों को फंसाने की उम्मीद करते हैं, यह नया तरीका सटीक और जानबूझकर है। यादृच्छिक उपयोगकर्ताओं को धोखाधड़ी वाले लॉगिन पृष्ठ भेजने के बजाय, हमलावर पहले यह सत्यापित करते हैं कि फ़िशिंग पृष्ठ पर दर्ज ईमेल पता उनके पूर्व-कटाई वाले लक्ष्यों के डेटाबेस में मौजूद है। यदि यह सही है, तो पीड़ित को क्रेडेंशियल चुराने के लिए डिज़ाइन की गई एक नकली लॉगिन स्क्रीन दिखाई जाती है। यदि नहीं, तो उन्हें विकिपीडिया जैसी सौम्य साइट पर पुनर्निर्देशित किया जाता है, जो फ़िशिंग साइट को स्वचालित सुरक्षा स्कैनर द्वारा पता लगाने से बचने में मदद करता है।

यह वास्तविक समय सत्यापन फ़िशिंग किट में API या जावास्क्रिप्ट-आधारित ईमेल सत्यापन उपकरण एम्बेड करके संभव बनाया गया है। परिणाम? उच्च गुणवत्ता वाला चुराया गया डेटा, कम बर्बाद प्रयास, और एक फ़िशिंग अभियान जिसे साइबर सुरक्षा उपकरणों के लिए पहचानना और बंद करना अधिक कठिन है।

अधिकतम प्रभाव के लिए पीड़ितों को छांटना

कोफेंस ने चेतावनी दी है कि इस तकनीक से न केवल वास्तविक, उपयोग में आने वाले खातों से क्रेडेंशियल्स चुराने की संभावना बढ़ जाती है, बल्कि दुर्भावनापूर्ण वेबसाइटों को पकड़ने के लिए डिज़ाइन किए गए स्वचालित सैंडबॉक्स और क्रॉलर टूल का काम भी जटिल हो जाता है। ये सिस्टम अक्सर सत्यापन जांच में विफल हो जाते हैं, जिससे फ़िशिंग पेज लंबे समय तक सक्रिय रहता है और संदिग्ध के रूप में चिह्नित होने से बच जाता है।

फ़िल्टरिंग का यह स्तर ख़तरा पैदा करने वाले लोगों को एक बड़ा फ़ायदा देता है। सत्यापित लक्ष्यों पर ध्यान केंद्रित करके, वे अपने जोखिम को कम करते हैं और निवेश पर अपने रिटर्न को बढ़ाते हैं। यह रणनीति फ़िशिंग अभियानों के जीवनकाल को बढ़ाने में भी मदद करती है, जिससे बचाव करने वालों के लिए इसे बनाए रखना कठिन हो जाता है।

फ़ाइल डिलीट करने की फ़िशिंग ट्रिक में दो-तरफ़ा हमला होता है

खतरे को और बढ़ाते हुए, हमलावर इन उन्नत युक्तियों को सोशल इंजीनियरिंग रणनीतियों के साथ जोड़ रहे हैं। हाल ही में देखे गए एक अभियान में फ़ाइल हटाने के अनुस्मारक को प्रलोभन के रूप में इस्तेमाल किया जाता है। पीड़ितों को एक ईमेल प्राप्त होता है जो एक वैध फ़ाइल होस्टिंग प्लेटफ़ॉर्म, files.fm से हटाए जाने के लिए शेड्यूल किए गए PDF से लिंक होता है। लिंक पर क्लिक करने से वे वास्तव में वास्तविक होस्टिंग सेवा पर पहुँच जाते हैं, जहाँ वे PDF फ़ाइल जैसी दिखने वाली चीज़ तक पहुँच सकते हैं।

यहाँ पर समस्या यह है: उपयोगकर्ताओं को दो विकल्प दिए जाते हैं- पूर्वावलोकन या डाउनलोड। पूर्वावलोकन करने से एक नकली Microsoft लॉगिन पेज खुलता है जिसका उद्देश्य क्रेडेंशियल प्राप्त करना है, जबकि डाउनलोड करने से Microsoft OneDrive के रूप में एक निष्पादन योग्य की स्थापना शुरू हो जाती है। यह प्रोग्राम वास्तव में ScreenConnect है, जो ConnectWise का एक वैध रिमोट डेस्कटॉप टूल है, जिसका अक्सर अनधिकृत पहुँच के लिए धमकी देने वाले अभिनेताओं द्वारा दुरुपयोग किया जाता है।

कोफेंस के अनुसार, यह हमला उपयोगकर्ता के व्यवहार में हेरफेर करने के लिए चतुराई से डिज़ाइन किया गया है। पीड़ितों को दो समान रूप से खतरनाक विकल्पों में से एक को चुनने के लिए मजबूर किया जाता है, जिनमें से प्रत्येक उनके सिस्टम को अलग-अलग तरीकों से खतरे में डालता है। यह दो-आयामी सेटअप सुनिश्चित करता है कि खतरा पैदा करने वाला व्यक्ति अपना लक्ष्य हासिल कर ले, चाहे वह क्रेडेंशियल चोरी हो या मैलवेयर तैनाती।

रिमोट एक्सेस और विशिंग रणनीति के साथ मिश्रित फ़िशिंग

एक अन्य चौंकाने वाली घटना में, साइबर सुरक्षा शोधकर्ताओं ने एक बहु-चरणीय हमला अभियान का खुलासा किया है जो फ़िशिंग को फ़ोन स्कैम (विशिंग), रिमोट एक्सेस टूल और "लिविंग-ऑफ-द-लैंड" तकनीकों के साथ मिलाता है। यह परिष्कृत ऑपरेशन थ्रेट एक्टर ग्रुप स्टॉर्म-1811 (जिसे STAC5777 के नाम से भी जाना जाता है) से जुड़ा हुआ है।

हमला एक Microsoft Teams संदेश से शुरू होता है जिसमें दुर्भावनापूर्ण PowerShell पेलोड होता है। एक बार प्रारंभिक पहुँच प्राप्त हो जाने के बाद, हमलावर सिस्टम को दूरस्थ रूप से नियंत्रित करने के लिए Microsoft की त्वरित सहायता सुविधा का उपयोग करते हैं। वहाँ से, वे एक साइडलोडेड दुर्भावनापूर्ण DLL के साथ TeamViewer जैसे वैध सॉफ़्टवेयर को इंस्टॉल करते हैं, और अंत में Node.js का उपयोग करके JavaScript-आधारित कमांड-एंड-कंट्रोल बैकडोर को तैनात करते हैं।

ये घटनाएँ आज के फ़िशिंग खतरों की बढ़ती जटिलता और रचनात्मकता को उजागर करती हैं। तकनीकी परिष्कार और मनोवैज्ञानिक हेरफेर को मिलाकर बनाई गई रणनीतियों के साथ, हमलावर पारंपरिक बचावों को दरकिनार करने और सतर्क उपयोगकर्ताओं को भी धोखा देने में सफल हो रहे हैं।

सबसे अच्छा बचाव सतर्कता ही है। संगठनों को इन उभरते खतरों के बारे में जानकारी रखनी चाहिए, और उपयोगकर्ताओं को लिंक पर क्लिक करने, क्रेडेंशियल दर्ज करने या फ़ाइलें डाउनलोड करने से पहले दो बार सोचना चाहिए - चाहे वे कितने भी वैध क्यों न लगें।