टेलिकम र एनसेलको नाममा फेरि सुरु भयो फिशिङ आक्रमण

साउन २०, २०७८ १०:३५

काठमाडौं । दूरसञ्चार सेवाप्रदायक नेपाल टेलिकम र एनसेलको नाममा फेरि फिशिङ आक्रमण भएको पाइएको छ । सामाजिक सञ्जाल फेसबुकमा टेलिकम र एनसेलको नाम, लोगो र भ्रामक विज्ञापनसहितका पोस्टबाट फिशिङ आक्रमण भइरहेकाे हाे ।

यस्त पोस्टमा ‘डेटा फ्री’ भन्दै त्यसका लागि दिइएको लिंकमा क्लिक गर्न अनुरोध गरिएको छ । फिशिङको साधारण ज्ञान नभएका फेसबुक प्रयोगकर्ताले हत्तपत्त त्यस्ता लिंक खोल्ने गर्छन् ।

लिंकअनुसार मागिएको व्यक्तिगत विवरण भर्दा अकाउन्ट नै ह्याक हुने र तपाईंको फेसबुकमा रहेका गोप्य च्याट, फोटो, भिडियो लगायतका सबै विवरण लिक हुन सक्छन् । त्यसैले सकेसम्म यस किसिमका लिङ्क नखोल्न साइबर सुरक्षा विज्ञकाे सुझाव छ ।

यसअघि पनि टेलिकम, एनसेल लगायतका कम्पनीकाे नाममा फेसबुकमा फिशिङ आक्रमण भएकाे थियाे । चर्चित ब्राण्डको नाम प्रयोग गर्दा सहजै लोभ देखाउन र झुक्याउन सकिने भएकाले साइबर अपराधीले यस किसिमको जाल विच्छ्याउने गर्छन् ।

उनीहरूले विभिन्न मुलुकको स्थानीय फेसबुक पोस्ट तथा पेजहरुको नक्कल गरी तिनै मुलुकसँग मिल्ने किसिमका विज्ञापन तथा अफरहरुको लोभमा पारेर मानिसहरुलाई फिशिङको शिकार बनाइरहेका छन् । नेपालमा पनि धेरै प्रयाेगकर्ता भएका कम्पनीकाे नाममा फिशिङ लिंक राखी करिब एक वर्षदेखि फेसबुकमा पाेस्ट भइरहेकाे छ ।

होस्टेड फिशिङ साइटमा प्रयोगकर्ताहरुका लागि लगइन प्यानल राखिने गरेको पाइएको छ । जहाँ लगइन गरिसकेपछि प्रयोगकर्ताहरुको लगइन क्रेडेन्सियल ह्याकरको हातमा पुग्छ ।

त्यसो त फेसबुकले यसअघि नै त्यस्ता किसिमका फिशिङ पेज निर्मुल गर्न एडका लागि अप्रुभ गर्न बन्द गरेको छ । तर स्क्यामरहरुले बिट्ली लिङ्क प्रयोग गर्ने गर्छन्, जुन सुरुमा हेर्दा एउटा इमान्दार पेज जस्तो देखिन्छ । तर अप्रुभ भइसकेपछि ती सबै फिशिङ डोमेनमा परिवर्तन हुन्छन् ।

यसैबीच टेलिकम, एनसेल, नेपाल दूरसञ्चार प्राधिकरण लगायत विभिन्न कम्पनी र संस्थाले आफ्ना ग्राहकलाई आधिकारिक वेबसाइट र सामाजिक सञ्जालबाट मात्र सूचना लिन आग्रह गरेका छन् ।

एनसेलले यस किसिमको कार्य आफ्नो नियन्त्रण बाहिर रहेको भन्दै प्रयोगकर्तालाई सचेत हुन आग्रह गरेको छ । ‘एनसेलको विज्ञापन गरिएको छ भने त्यो पेज आधिकारिक हो कि होइन भनेर ख्याल गर्न जरुरी छ,’ एनसेलका प्रतिनिधिले टेकपानासँग भने, ‘यदि त्यस्ता कुरा ख्याल गरिएन भने फिशिङ आक्रमणमा पर्न सक्ने जोखिम हुनसक्छ ।’

नेपाल टेलिकमले पनि आधिकारिक वेबसाइट र सामाजिक सञ्जाल पेजबाट मात्र आवश्यक जानकारी लिन आग्रह गर्दै अनाधिकृत पेजमा आफ्ना कुनै विवरण, सूचना उपलब्ध नगराउनुहुन ग्राहकलाई आग्रह गरेकाे छ ।

कसरी हुन्छ फिशिङ ?

फिशिङ एकदमै चलाखीपूर्ण तरिकाले सम्पन्न गरिन्छ । अधिकांश फिशिङहरुमा तपाईंको व्यक्तिगत वित्तीय जानकारीहरु अनलाइनबाट चोरी गरिन्छ ।

त्यसपछि तपाईंको पैसा गैरकानूनी रुपमा झिक्ने गरिन्छ । इन्टरनेटको विश्वमा यस्ता गतिविधि दैनिक भइरहेका हुन्छन् । तर हामी यस्ता गतिविधिबाट अनविज्ञ रहन्छौं ।

हमलाकारीहरुले सधै नयाँ नयाँ र फरक किसिमका टेक्निकहरु प्रयोग गरिरहेका हुन्छन् । यसैले हामी सधै होशियार रहनु अत्यावश्यक छ ।

फिशिङ हमलामा वेबसाइट, ईमेल, सामाजिक सञ्जाल लगायतमा झटो लिंकमार्फत प्रयोगकर्ताको विवरण संकलन गरिन्छ ।

फिशिङ हमलालाई व्यक्तिगत किसिमको बनाउने नयाँ कला हो, ‘स्पेयर फिशिङ’ । एक तिहाइ फिशिङहरु सधै एउटा व्यक्तिमा लक्षित हमला हुने गर्छन् । अन्य बाँकी अट्याकहरु भने १० भन्दा कम व्यक्तिमा केन्द्रित हुन्छन् ।

तपाईंले कुनै कार्यालयमा कामको लागि आवेदन पेश गर्नुभएको छ भने कहिले काहिँ त्यस्ता संस्थाहरुको एचआर डिपार्टमेन्ट ह्याक हुन सक्छ । ह्याक भएको अवस्थामा तपाईंले आफू सर्टलिस्टेड भएको मेल पाउन सक्नुहुन्छ । तर सेलेक्सनका लागि तपाईंलाई शुल्कको माग गर्न सकिन्छ ।

फिशिङ अट्याकर्सहरुले अधिकांश समय प्रयोग गर्ने माध्यम भनेकाे ईमेल हो । सबैभन्दा पहिले हमलकारीहरुले संस्थाको जानकारी संकलन गर्दछ । साना कम्पनीहरु यस्तो मामिलामा एकदमै कमजोर अवस्थामा हुन्छन् ।

त्यसपछि हमलाकारीहरुले आन्तरिक डक्युमेन्ट जस्तो देखिने दस्तावेजहरु अफिस नेटवर्कमा मेल मार्फत सर्कुलेट गर्दछन् । कर्मचारीहरुले त्यसलाई क्लिक गरेपछि सिस्टममा माल्वेयर इन्स्टल भएर वित्तीय विथड्रका सिलसिला सुरु हुन्छन् ।

फिशिङ हमला व्यक्तिगत बन्दै गइरहेको अवस्थामा योबाट बच्न अत्यावश्यक छ ।

फिशिङ एउटा ईमेलबाट हुने साइबर हमला हो, जसले पुरै नेटवर्कलाई एक्सपोज गरेर र्‍यानसम अट्याकमा पुर्‍याउन सक्छ ।

फिशिङ अट्याक गर्ने व्यक्तिले एउटा आधिकारिक वा व्यवसायिक जस्तो देखिने मेल कुनै पनि लक्षित ईमेल एड्रेसमा पठाउँछ । तर त्यस्ता किसिमका मेलहरुको पछाडि एकदमै घातक स्क्याम हुन्छन् ।

त्यस्ता फिसर्सको सञ्चार एकदमै सामान्य र निर्दोष जस्तो देखिन्छ । तर यसले तपाईंलाई तपाईको संवेदनशील सूचना माग गर्न सक्छ । तपाईंको अकाउन्ट कन्फर्म गराउन सक्छ वा कतै लगईन गराउन सक्छ ।

त्यस्तो समय हतारमा तपाईंले जतासुकै लगईन गर्नसक्नुहुन्छ, जुन अपेक्षा फिसरले पनि गरेको हुन्छ । त्यस्ता मेलभित्र कुनै लिङ्क वा एक्जिक्युटेबल फाइलहरु हुन्छन् । जसले तपाईंको नेटवर्कलाई टेकओभर गर्न वा रेन्समवेयर इन्स्टल गरिदिनसक्छ ।

यसरी रेन्समवेयर इन्स्टल भएपछि त्यसले तपाईंको सूचनालाई कपी गरेर पूर्वनिर्धारित ठेगानामा पुर्‍याउन सक्छ ।

यस्ता फिशिङ हमला दिनमा असंख्यौं हुने गर्छन्, जुन दैनिक अत्याधुनिक र जटिल बन्दै गइरहेको छ । त्यो आधिकारिक हो वा फिशिङ हो भन्ने कुरामा आफैं झुक्किन सक्नुहुन्छ ।

यस्तो बेला तपाईंको हतारो नै ह्याकरको लागि महत्वपूर्ण ब्रेकिङ प्वाइन्ट बनिदिन सक्छ । यदि कुनै कुरा हेर्दा लोभलाग्दो, आकर्षक छ भने त्यसलाई हेर्न र खोल्न नआत्तिनुहोस् ।

तपाईंको सानो निर्णायक भुलले सिङ्गो कम्पनी वा सिस्टमलाई नै गलत व्याक्तिको हातमा सुम्पिदिन सक्छ ।

फिशिङ अट्याकमा सामान्यतय धेरै देखिने गल्ती हो नाममा हुने त्रुटि । उदाहरणका लागि तपाईंको हाकिमकाे नाममा तपाईंलाई मेल आएको छ भने न अत्तालिनुहोस् ।

सानो नामको बीचमा एउटा अक्षरले पनि तपाईंलाई यो फिशिङ हो भनेर शंका गर्न पर्याप्त आधार दिन सक्छ । मानिसहरुले हतारमा सुक्ष्म कुराहरु ख्याल गर्दैनन्, जसको फाइदा अट्याकरहरुले सजिलै उठाउँछन् ।

स्पेयर फिशिङ

तपाईं कुनै कुरामा रुचि राख्नुहुन्छ र अट्याकरलाई त्यसबारेमा पूर्वजानकारी छ भने त्यो पनि एउटा बलियो आधार बन्न सक्छ । अट्याकरले तपाईंको रुचिको क्षेत्र तथा निकायबाट तपाईंलाई फिशिङ मेल पठाउन सक्छ ।

उदाहरणका लागि तपाईं कारप्रेमी हुनुहुन्छ भने कारसँग सम्बन्धित इभेन्टको लोभ देखाएर तपाईंलाई इन्भिटेसन मेल पठाउन सक्छ । जसलाई खोल्ने बित्तिकै तपाईंको सिस्टम खराब हुन सक्छ ।

अट्याकरले विशेष मानिसहरुमाथि अनुसन्धान गरेर उसको कमजोरीमाथि खेल्न सक्छ ।

यसो भए कसरी पहिचान गर्ने त फिशिङ अट्याक ?

कतिपय फिशिङहरु पहिचान गर्न पनि गाह्रो हुन्छ । यस्तो बेला कसरी पहिचान गर्ने त फिशिङ अट्याकलाई ?

१. आशंका र होशियारपूर्ण सतर्कता

अट्याकरले सधैं तपाईंको हतार र विश्वास गर्ने कमजोरीको फाइदा उठाइरहेको हुन्छ । यस्तो व्यवहारलाई नियन्त्रण गर्नुहोस् । ईमेल पढ्दै गर्दा सतर्क रहनुहोस् ।

२. क्रेडिन्सियल चेक गर्नुहोस्

यदि तपाईंलाई मेल पठाउने ईमेलको कन्फिग्रेसन तपाईंको जस्तो छैन भने थाहा पाउनुहोस् त्यो तपाईंको कम्पनीबाट आएको मेल होइन ।

३. लिङ्क राम्रोसँग विचार गर्नुहोस्

आफ्नो माउस लिएर लिङ्कमा राम्रोसँग हेर्नुहोस् । त्यो सही डोमेनमा जान्छ वा जाँदैन राम्रोसँग हेर्नुहोस् । संस्थाको नाम डोमेनमा हुनुपर्छ । यदि चाहिनेभन्दा धेरै कुरा छ भने सशंकित हुनुहोस् ।