बुधवार को ऐसा ही हुआ, जब एक फ़िशिंग योजना का विस्फोट हुआ जिसने एक नापाक वेब ऐप तक पहुंच प्रदान करने के लिए Google की अपनी OAuth प्रमाणीकरण प्रणाली का उपयोग किया। अन्य फ़िशिंग योजनाओं के विपरीत, जो अप्रत्याशित लोगों को लुभाने के लिए नकली इंटरनेट पते का उपयोग करती हैं, यह हमला केवल एक भ्रामक ऐप शीर्षक के साथ एक Google प्राधिकरण अनुरोध को पॉप अप करता है।
अनुशंसित वीडियो
यह नोट करना महत्वपूर्ण है Google ने तुरंत प्रतिक्रिया दी और आपत्तिजनक ऐप हटा दिया, इस प्रकार इस विशेष फ़िशिंग योजना को बंद कर दिया गया। हालाँकि, ऐसा लगता है कि फ़िशिंग पद्धति को ठीक नहीं किया गया है। यहां Google का कथन है:
“हमने उपयोगकर्ताओं को Google डॉक्स का प्रतिरूपण करने वाले ईमेल से बचाने के लिए कार्रवाई की है और आपत्तिजनक खातों को अक्षम कर दिया है। हमने नकली पेज हटा दिए हैं, सुरक्षित ब्राउज़िंग के माध्यम से अपडेट बढ़ा दिए हैं और हमारी दुरुपयोग टीम इस तरह की धोखाधड़ी को दोबारा होने से रोकने के लिए काम कर रही है। हम उपयोगकर्ताओं को जीमेल में फ़िशिंग ईमेल की रिपोर्ट करने के लिए प्रोत्साहित करते हैं।
इस मुद्दे को मूल रूप से Reddit पर हाइलाइट किया गया था, जहां Redditor JakeSteam ने हमले का चरण-दर-चरण मनोरंजन प्रदान किया। हमले को डिजिटल ट्रेंड्स के अपने कर्मचारियों द्वारा जंगल में भी देखा गया है, और इसलिए हम पुष्टि कर सकते हैं कि इन चरणों का सटीक वर्णन किया गया है।
प्रक्रिया अपेक्षाकृत सरल थी. एक संभावित पीड़ित को Google दस्तावेज़ साझा करने की पेशकश करने वाला एक ईमेल प्राप्त हुआ।
जेकस्टीम/रेडिट
"डॉक्स में खोलें" बटन पर क्लिक करने से एक वैध Google खाता चयन स्क्रीन सामने आ गई, जिस पर क्लिक करने पर एक वापस आ गया ऐप को उपयोगकर्ता की जीमेल और Google संपर्क जानकारी तक पहुंचने की अनुमति देने के लिए समान रूप से वैध Google प्रमाणीकरण अनुरोध।
जेकस्टीम/रेडिट
केवल Google डॉक्स के डेवलपर लिंक पर क्लिक करने से ही सामान्य उपयोगकर्ता का संदेह स्तर बढ़ सकता है। यहां समस्या यह है कि बहुत से लोग Google डॉक्स फ़ाइल साझा करने के प्रस्ताव पर भरोसा कर सकते हैं और तब यह सही अर्थ होगा कि Google डॉक्स एक्सेस का अनुरोध करने वाला सिस्टम हो सकता है।
यदि आप पहले ही इस फ़िशिंग योजना का शिकार हो चुके हैं, तो आप उस ऐप को अपने डेटा तक पहुंचने से रोकना चाहेंगे। आप विजिट करके ऐसा कर सकते हैं Google के सुरक्षा पृष्ठ का कनेक्टेड ऐप्स और साइट अनुभाग और "ऐप्स प्रबंधित करें" पर क्लिक करें। फिर सूची में Google डॉक्स ऐप पर क्लिक करें, और "निकालें" बटन दबाएं। अब आपके सभी कनेक्टेड ऐप्स की समीक्षा करने और जो भी वैध नहीं हैं उन्हें हटाने का एक अच्छा समय हो सकता है।
यहां मुख्य रूप से सबक वही है जो लंबे समय से है: यदि आप किसी साझा फ़ाइल की उम्मीद नहीं कर रहे हैं, तो जब कोई फ़ाइल पेश की जाती है तो उस पर क्लिक न करें। यदि आप निश्चित नहीं हैं कि फ़ाइल किसकी है, तो प्रेषक को देखें और सुनिश्चित करें कि यह वही व्यक्ति है जिस पर आप भरोसा करते हैं।
Google संभवतः इस मुद्दे पर गौर करेगा और उम्मीद है कि इसे हल करने का कोई तरीका ढूंढेगा। इस विशेष फ़िशिंग हमले को बंद कर दिया गया था, लेकिन हमलों के लिए Google की वैध प्रमाणीकरण प्रणाली का उपयोग करने की क्षमता चिंताजनक है।
संपादकों की सिफ़ारिशें
- Google अपने कुछ कर्मचारियों के लिए वेब एक्सेस में कटौती क्यों कर रहा है?
- Google ने अभी इस महत्वपूर्ण Gmail सुरक्षा उपकरण को पूरी तरह से निःशुल्क बना दिया है
- Google Chrome के आधे एक्सटेंशन आपका व्यक्तिगत डेटा एकत्र कर सकते हैं
- नए COVID-19 फ़िशिंग ईमेल आपके व्यावसायिक रहस्य चुरा सकते हैं
- यह खतरनाक नया हैकर टूल फ़िशिंग को चिंताजनक रूप से आसान बना देता है
अपनी जीवनशैली को उन्नत करेंडिजिटल ट्रेंड्स पाठकों को सभी नवीनतम समाचारों, मजेदार उत्पाद समीक्षाओं, व्यावहारिक संपादकीय और एक तरह की अनूठी झलक के साथ तकनीक की तेज़ गति वाली दुनिया पर नज़र रखने में मदद करता है।