खाता सत्यापन अनुरोध ईमेल घोटाला

साइबर अपराधी संवेदनशील जानकारी चुराने के अपने तरीकों में लगातार सुधार कर रहे हैं, और ऐसी ही एक रणनीति में 'खाता सत्यापन अनुरोध' ईमेल घोटाला शामिल है। ये भ्रामक संदेश किसी भी वैध कंपनी, सेवा प्रदाता या संगठन से संबद्ध नहीं होते। इसके बजाय, इनका उद्देश्य ईमेल वितरण समस्याओं के समाधान के नाम पर अनजान उपयोगकर्ताओं से व्यक्तिगत डेटा और लॉग-इन क्रेडेंशियल प्राप्त करने के लिए उन्हें ठगना होता है।

तत्काल खाता सूचना के रूप में प्रच्छन्न

यह घोटाला एक ईमेल अलर्ट से शुरू होता है जिसमें दावा किया जाता है कि SSL प्रमाणपत्र त्रुटि के कारण कई संदेश प्राप्तकर्ता के इनबॉक्स तक नहीं पहुँच पाए हैं। इस मनगढ़ंत समस्या को हल करने के लिए, उपयोगकर्ताओं से अपने ईमेल खातों को सत्यापित करने का आग्रह किया जाता है। 'अभी पुनः सत्यापित करें' शीर्षक वाला एक लिंक आसानी से दिया जाता है। यह एक सामान्य अनुरोध जैसा प्रतीत होता है, वास्तव में एक सुनियोजित फ़िशिंग प्रयास है।

क्लिक करने पर, लिंक एक नकली ईमेल लॉगिन पेज पर रीडायरेक्ट हो जाता है जो एक वैध ईमेल प्रदाता जैसा दिखता है। दर्ज किए गए सभी क्रेडेंशियल्स को कैप्चर करके सीधे स्कैमर्स को भेज दिया जाता है।

घोटालेबाज चोरी किए गए खातों का कैसे फायदा उठाते हैं

इस घोटाले के शिकार होने के परिणाम गंभीर हो सकते हैं। साइबर अपराधी कई तरह के दुर्भावनापूर्ण उद्देश्यों के लिए हैक किए गए खातों का फायदा उठाते हैं। एक ही ईमेल पते तक पहुँच कई प्लेटफ़ॉर्म और सेवाओं के लिए प्रवेश द्वार का काम कर सकती है:

• सोशल मीडिया, मैसेजिंग ऐप, मनोरंजन प्लेटफॉर्म, ऑनलाइन बैंकिंग और डिजिटल वॉलेट को हाईजैक करना।
• पीड़ित का रूप धारण करके अपने संपर्कों से ऋण या दान मांगना।
• दुर्भावनापूर्ण फ़ाइलें या लिंक वितरित करके मैलवेयर फैलाना।
• अनधिकृत खरीद और धोखाधड़ीपूर्ण वित्तीय लेनदेन करना।

इन घोटालों की पहुँच शुरुआती उल्लंघन से कहीं आगे तक फैली होती है। पहचान की चोरी और वित्तीय नुकसान आम बात है, खासकर जब एक ही ईमेल अकाउंट पीड़ित की डिजिटल पहचान की कुंजी बन जाता है।

ध्यान देने योग्य लाल झंडे

स्पैम ईमेल में व्याकरण की त्रुटियों और टाइपिंग की गलतियों की भरमार होने की आम धारणा के बावजूद, यह हमेशा सच नहीं होता। कई फ़िशिंग अभियान पेशेवर रूप से इस तरह डिज़ाइन किए जाते हैं कि वे प्रतिष्ठित संस्थानों से आने वाली प्रामाणिक सूचनाओं की तरह दिखाई दें। फ़िशिंग के प्रयासों के संकेतों को पहचानने के लिए सावधानीपूर्वक ध्यान देने की आवश्यकता होती है। यहाँ कुछ सामान्य लाल निशान दिए गए हैं:

• तत्काल कार्रवाई का अनुरोध करने वाले अनचाहे संदेश।
• सामान्य अभिवादन या संदेश जिनमें निजीकरण का अभाव हो।

यदि आपको निशाना बनाया गया है तो कैसे प्रतिक्रिया दें

अगर आपने पहले ही किसी फ़िशिंग पेज पर अपने लॉगिन क्रेडेंशियल दर्ज कर लिए हैं या कोई संदिग्ध फ़ाइल डाउनलोड कर ली है, तो तुरंत कार्रवाई ज़रूरी है। नुकसान कम करने के लिए निम्नलिखित कदम उठाएँ:

• ईमेल खाते से शुरू करते हुए, सभी संभावित रूप से प्रभावित खातों के पासवर्ड बदलें।
• जहां भी संभव हो, दो-कारक प्रमाणीकरण (2FA) सक्षम करें।
• प्रभावित सेवाओं के बारे में आधिकारिक सहायता टीम को सूचित करें।
• अनधिकृत गतिविधि के लिए वित्तीय खातों की निगरानी करें।
• यदि कोई धोखेबाज आपका रूप धारण करने का प्रयास करे तो अपने संपर्कों को सचेत कर दें।

मैलवेयर वितरण वाहन के रूप में घोटाले वाले ईमेल

क्रेडेंशियल चोरी के अलावा, इस तरह के स्कैम ईमेल व्यापक मैलवेयर वितरण अभियानों का भी हिस्सा हो सकते हैं। ऐसे ईमेल में अक्सर दुर्भावनापूर्ण अटैचमेंट या लिंक होते हैं जो आपके डिवाइस पर हानिकारक फ़ाइलें डाउनलोड करते हैं। ये फ़ाइलें कई फ़ॉर्मेट में आ सकती हैं:

• निष्पादनयोग्य (उदाहरणार्थ, .exe, .run)
• अभिलेखागार (उदाहरण के लिए, .zip, .rar)
• दस्तावेज़ (उदाहरण के लिए, मैक्रो सक्रियण की आवश्यकता वाली Microsoft Office फ़ाइलें, PDF, एम्बेडेड सामग्री वाली OneNote फ़ाइलें)
• स्क्रिप्ट (उदाहरण के लिए, जावास्क्रिप्ट)

इन अनुलग्नकों को खोलने से मैलवेयर इंस्टालेशन सक्रिय हो सकता है, जिससे संभवतः आपके सिस्टम पर खतरा उत्पन्न हो सकता है और आपका व्यक्तिगत या वित्तीय डेटा उजागर हो सकता है।

सतर्क रहें और क्लिक करने से पहले सोचें

'खाता सत्यापन अनुरोध' घोटाला इस बात का एक उदाहरण मात्र है कि कैसे हमलावर निजी जानकारी तक पहुँचने के लिए धोखाधड़ी का सहारा लेते हैं। उपयोगकर्ताओं को सभी प्रकार के संचार, ईमेल, प्रत्यक्ष संदेश, एसएमएस, या अन्य किसी भी प्रकार से सावधान रहना चाहिए। कोई भी कार्रवाई करने से पहले हमेशा स्रोत की पुष्टि करें, और जब तक आप प्रेषक की प्रामाणिकता के बारे में पूरी तरह आश्वस्त न हों, तब तक कभी भी क्रेडेंशियल दर्ज न करें या फ़ाइलें डाउनलोड न करें।