बकाया इनभ्वाइस इमेल घोटाला
तत्काल ध्यान दिनुपर्ने अप्रत्याशित इमेलहरूलाई सधैं सावधानीपूर्वक व्यवहार गर्नुपर्छ, विशेष गरी जब तिनीहरूमा बीजक, भुक्तानी, वा कागजातहरूमा हस्ताक्षर गर्न अनुरोधहरू समावेश हुन्छन्। साइबर अपराधीहरूले प्रायः फिशिङ अभियानहरूलाई वैध व्यावसायिक सञ्चारको रूपमा भेष दिन्छन् जसले गर्दा जरुरीताको भावना सिर्जना हुन्छ र प्राप्तकर्ताहरूलाई प्रमाणीकरण बिना नै कार्य गर्न दबाब दिन्छन्। 'आउटस्ट्यान्डिङ इनभ्वाइस' इमेल यस्तै एक घोटाला हो। यद्यपि यसले DocuSign बाट सूचनाको नक्कल गर्छ, यी सन्देशहरू कुनै पनि वैध कम्पनीहरू, संस्थाहरू, वा संस्थाहरूसँग सम्बन्धित छैनन् र संवेदनशील जानकारी चोर्नको लागि मात्र अवस्थित छन्।
'उत्कृष्ट बीजक' धोखा
यो घोटाला 'आउटस्ट्यान्डिङ इनभ्वाइस' विषय रेखाको साथ आउँछ र यसलाई एक प्रामाणिक DocuSign सूचना जस्तै सावधानीपूर्वक डिजाइन गरिएको छ। इमेलले प्राप्तकर्ताहरूलाई सूचित गर्दछ कि एउटा इनभ्वाइस समीक्षा र हस्ताक्षरको लागि पर्खिरहेको छ र यसमा एक प्रमुख 'समीक्षा र कागजातमा हस्ताक्षर गर्नुहोस्' बटन समावेश छ।
सन्देशलाई अझ विश्वस्त पार्नको लागि, स्क्यामरहरूले व्यावसायिक ब्रान्डिङ तत्वहरू र वैध व्यावसायिक पत्राचारको नक्कल गर्ने भाषा प्रयोग गर्छन्। लक्ष्य प्राप्तकर्ताको शंका कम गर्नु र इमेलसँग अन्तर्क्रियालाई प्रोत्साहित गर्नु हो।
कानुनी धम्की मार्फत निर्मित आकस्मिकता
यस फिशिङ अभियानको एउटा प्रमुख विशेषता भनेको यसको डर र आकस्मिकताको प्रयोग हो। इमेलमा 'अडिट अनुपालन' सूचना रहेको छ जसमा भुक्तानीको समयसीमा पहिले नै बितिसकेको दाबी गरिएको छ र यदि बीजकलाई तुरुन्तै सम्बोधन गरिएन भने कानुनी कारबाही हुन सक्ने चेतावनी दिइएको छ।
यो रणनीति जानाजानी आतंक सिर्जना गर्न प्रयोग गरिन्छ। जब व्यक्तिहरूले आफू आर्थिक जरिवाना वा कानुनी परिणामहरूको सामना गरिरहेको विश्वास गर्छन्, तिनीहरूले सन्देशको वैधतालाई राम्ररी जाँच नगरी आवेगपूर्ण प्रतिक्रिया दिने र लिङ्कहरूमा क्लिक गर्ने सम्भावना बढी हुन्छ।
नक्कली लगइन पृष्ठ पासो
प्रदान गरिएको बटनमा क्लिक गर्नाले इनभ्वाइस वा वास्तविक DocuSign कागजात प्राप्त हुँदैन। यसको सट्टा, प्राप्तकर्ताहरूलाई Google को Firebase भण्डारण प्लेटफर्ममा होस्ट गरिएको धोखाधडी वेबमेल लगइन पृष्ठमा रिडिरेक्ट गरिन्छ। यो पृष्ठ cPanel वेबमेल लगइन पोर्टल जस्तै देखिने गरी डिजाइन गरिएको छ र प्रयोगकर्ताको इमेल ठेगाना र पासवर्ड अनुरोध गर्दछ।
यस नक्कली पृष्ठमा प्रविष्ट गरिएको कुनै पनि जानकारी सिधै आक्रमणकारीहरूलाई पठाइन्छ। घोटालाको उद्देश्य सरल छ: इमेल प्रमाणहरू प्राप्त गर्नु र पीडितहरूको खाताहरूमा अनधिकृत पहुँच प्राप्त गर्नु।
चोरी भएका इमेल प्रमाणहरू किन मूल्यवान छन्
एउटा इमेल खाता प्रायः धेरै अनलाइन सेवाहरूको प्रवेशद्वारको रूपमा काम गर्दछ। एक पटक साइबर अपराधीहरूले यसमा पहुँच प्राप्त गरेपछि, तिनीहरूले:
- इमेल ठेगानासँग जोडिएका अन्य खाताहरूको पासवर्ड रिसेट गर्ने प्रयास गर्नुहोस्।
धेरै अनलाइन सेवाहरू इमेल-आधारित पासवर्ड रिकभरीमा भर पर्ने भएकाले, एउटै इमेल खाताको सम्झौताले चाँडै नै धेरै व्यापक सुरक्षा घटनामा परिणत हुन सक्छ।
DocuSign को प्रतिष्ठाको दुरुपयोग गर्दै
DocuSign एक वैध र व्यापक रूपमा प्रयोग हुने इलेक्ट्रोनिक हस्ताक्षर प्लेटफर्म हो। यद्यपि, यसको 'आउटस्ट्यान्डिङ इनभ्वाइस' इमेलहरूसँग कुनै सम्बन्ध छैन। स्क्यामरहरूले जालसाजीपूर्ण सन्देशहरूलाई विश्वसनीय देखाउन कम्पनीको नाम, ब्रान्डिङ र प्रतिष्ठाको मात्र शोषण गर्छन्।
यो प्रतिरूपण प्रविधि फिसिङ अभियानहरूमा अत्यन्तै सामान्य छ। प्रख्यात कम्पनीहरूलाई प्रायः भेषको रूपमा प्रयोग गरिन्छ किनभने प्राप्तकर्ताहरूले परिचित ब्रान्डहरूलाई चिन्ने र विश्वास गर्ने सम्भावना बढी हुन्छ।
लुकेको मालवेयर जोखिम
यद्यपि यस अभियानको प्राथमिक उद्देश्य प्रमाण चोरी हो, यस प्रकारका फिसिङ इमेलहरू प्रायः मालवेयर वितरणसँग पनि सम्बन्धित हुन्छन्। साइबर अपराधीहरूले सामान्यतया संक्रमित संलग्नकहरू वा हानिकारक लिङ्कहरू मार्फत मालिसियस सफ्टवेयर डेलिभर गर्न स्पाम सन्देशहरू प्रयोग गर्छन्।
सामान्यतया दुरुपयोग हुने फाइल प्रकारहरूमा समावेश छन्:
- कार्यान्वयनयोग्य फाइलहरू र अभिलेखहरू।
- दुर्भावनापूर्ण म्याक्रोहरू भएका कार्यालय कागजातहरू।
- PDF फाइलहरू र स्क्रिप्ट-आधारित संलग्नकहरू।
- दुर्भावनापूर्ण सफ्टवेयरको डाउनलोड ट्रिगर गर्ने लिङ्कहरू।
धेरैजसो अवस्थामा, उपकरण ह्याक हुनुभन्दा पहिले कुनै प्रकारको प्रयोगकर्ता अन्तरक्रिया आवश्यक पर्दछ, जस्तै संलग्नक खोल्ने, म्याक्रोहरू सक्षम पार्ने, वा म्यानुअल रूपमा फाइल डाउनलोड गर्ने।
'उत्कृष्ट बीजक' इमेलको जवाफ कसरी दिने
यदि त्यस्तो इमेल इनबक्समा देखा पर्यो भने, यसलाई बेवास्ता गर्नुपर्छ र मेटाउनुपर्छ। प्राप्तकर्ताहरूले कुनै पनि लिङ्कमा क्लिक गर्न, संलग्नकहरू खोल्न वा लगइन प्रमाणहरू प्रदान गर्नबाट जोगिनु पर्छ। नक्कली वेबसाइटमा पहिले नै आफ्नो जानकारी प्रविष्ट गरिसकेका जो कोहीले तुरुन्तै प्रभावित इमेल खाताको पासवर्ड परिवर्तन गर्नुपर्छ र उही प्रमाणहरू प्रयोग गर्ने अन्य कुनै पनि सेवाहरूको लागि पासवर्डहरू अद्यावधिक गर्नुपर्छ। सम्भव भएसम्म बहु-कारक प्रमाणीकरण सक्षम गर्नाले थप खाता सम्झौताको जोखिमलाई पनि उल्लेखनीय रूपमा कम गर्न सक्छ।
अन्तिम विचारहरू
'आउटस्ट्यान्डिङ इनभ्वाइस' इमेल एक फिसिङ घोटाला हो जसले प्राप्तकर्ताहरूलाई उनीहरूको इमेल प्रमाणहरू समर्पण गर्न ठग्न DocuSign को नक्कल गर्दछ। त्यहाँ कुनै बाँकी रहेको इनभ्वाइस छैन, हस्ताक्षरको लागि पर्खिरहेको कुनै वैध कागजात छैन, र वास्तविक DocuSign सेवासँग कुनै सम्बन्ध छैन। सम्पूर्ण सन्देश संवेदनशील जानकारी चोर्न र सम्भावित रूपमा थप साइबर आक्रमणहरूलाई सहज बनाउन डिजाइन गरिएको सावधानीपूर्वक बनाइएको ठगी हो। अप्रत्याशित इमेलहरूप्रति शंकालु रहनु र स्वतन्त्र रूपमा अनुरोधहरू प्रमाणित गर्नु फिसिङ खतराहरू विरुद्ध सबैभन्दा प्रभावकारी प्रतिरक्षाहरू मध्ये एक हो।
System Messages
The following system messages may be associated with बकाया इनभ्वाइस इमेल घोटाला:
Subject: Outstanding Invoice |