टु फ्याक्टर अथेन्टिकेसन र बलियो पासवर्ड राख्दा पनि यसरी ह्याक हुन सक्छ तपाईँको अकाउन्ट

इ. रबिनराज गौतम

आफ्नो अनलाइन अकाउन्ट सुरक्षित राख्न बलियो पासवर्ड प्रयोग गर्न र  टु-फ्याक्टर अथेन्टिकेसन (टुएफए) इनेबल गर्न सुझाव दिइन्छ । हुन त यी महत्त्वपूर्ण कदम हुन्, जो कहिल्यै बेवास्ता गर्नु हुँदैन ।

तर यहाँ सत्य केही फरक छ । यदि तपाईँले अकाउन्टका लागि बलियो पासवर्ड राख्नु भएको छ र टुएफए इनेबल गर्नु भएको छ भने पनि तपाईँको अकाउन्ट ह्याक गर्न सकिन्छ, हुन्छ ।

तर, कसरी ? त्यो हो ‘कुक‍िज चोरी’ । यो तपाईँ हामीले सोचेभन्दा धेरै सजिलो छ । आउनुहोस् विस्तृतमा बुझौँ । 

 

के हो कुकिज चोरी ?

तपाईँले कुनै सवेबसाइटमा लग इन गर्दा तपाईँको ब्राउजरले कुकिज भनिने चिज सेभ गर्छ । यी कुकिजमा तपाईँको ‘सेसन आईडी’ समावेश हुन्छ । यो त्यही चिज हो, जसले तपाईँले पहिले नै उक्त वेबसाइटमा लगइन गर्नुभएको थियो भन्ने जानकारी दिन्छ ।

यसलाई ‘गेट पास’को रूपमा बुझ्नुहोस् । जबसम्म तपाईँसँग कुकिज छ, तबसम्म वेबसाइटले तपाईँलाई पुनः पासवर्ड वा टुएफए माग्दैन । सरासर वेबसाइटभित्र प्रवेश गर्ने अनुमति दिन्छ । 

यदि कसैले त्यस्तो कुकिज चोरी गर्‍यो भने त्यस्तो व्यक्तिले तपाईँले जस्तै सजिलै वेबसाइटमा तपाईँकै पहिचान वा हैसियत प्रयोग गर्न सक्छ । त्यस्ता व्यक्तिलाई तपाईँको पासवर्ड आवश्यक पर्दैन, न त टुएफए नै चाहिन्छ । केवल तपाईँको कुकिज भए पुग्छ । 

 

कुकिज चोरीमा प्रयोग हुने केही सामान्य तरिका

 

१. ‘इन्सपेक्ट एलिमेन्ट’ प्रयोग गरेर म्यानुअल कुकिज चोरी

यो विधि एकदमै सरल छ । यसबाट जोगिन यो कहाँ हुन्छ र कसरी लिइन्छ भन्ने कुरा बुझ्नुपर्ने हुन्छ । त्यसका लागि तलको प्रक्रिया अपनाउन सक्नुहुन्छ ।

• सबैभन्दा पहिला ब्राउजरमा अकाउन्ट लगइन भएको कुनै वेबसाइटमा जानुहोस् र डेभलपर टुल खोल्नुहोस् । (यसका लागि माउसको दायाँ बटन क्लिक गरेर इन्सपेक्टको अप्सनमा गएर वा ‘F12’ वा ‘Fn’ सँगै F12 कि थिच्न सक्नुहुन्छ ।)

• त्यसपछि एप्लिकेसन (Application) को ट्याबमा गएर कुकिज (Cookies) को अप्सनमा जानुहोस् ।

• अब लगइन भएको अकाउन्टको सेसन कुकिज (Session Cookies) जस्तै ‘session_id’, ‘auth_token’ कपी गर्नुहोस् ।

• त्यसपछि अर्को ब्राउजरमा सेसन कुकिज पेस्ट गर्नुहोस् । यति गरेपछि तपाईँले अकाउन्ट लगइन नगरेको ब्राउजरमा तपाईँको अकाउन्ट लगइन भएर देखिन्छ ।

यहाँ विन्डोजको क्रोम ब्राउजरमा गिटहबको डेमो देखाइएको छ । 

सबैभन्दा पहिला ‘https://github.com’ मा जानुहोस् र साइन इन गर्नुहोस् । त्यसपछि ‘डेभलपर्स टुल्स’ (Developers Tools) खोल्न एफ १२ (F12) थिच्नुहोस् । त्यसपछि एप्लिकेसनको ट्याबमा गई कुकिज सेक्सनमा जानुहोस् । र ‘https://github.com’ मा क्लिक गर्नुहोस् । हाइलाइट गरिएको नाम (user_session र  saved_user_session ID) फेला पार्नुहोस् र यसको भ्यालु कपी गर्नुहोस् ।
 

 

अब, यी सेसन आईडीहरू अर्को डिभाइस वा त्यही डिभाइसको अर्को ब्राउजरमा एउटै फिल्डमा पेस्ट गर्नुहोस् र, रिफ्रेश गर्नुहोस् । यसरी हामी लगइन नगरी प्रयोगकर्ताको अकाउन्टमा एक्सेस पाउन सक्छौँ ।
यो उदाहरणले के देखाउँछ भने कसैले डिभाइस प्रयोग गरेर म्यानुअल रूपमा सेसन चोरी गर्न सक्छ ।

 

२. जोखिमयुक्त ब्राउजर एक्सटेन्सन

केही ब्राउजर एक्स्टेन्सन तपाईँका लागि उपयोगी देखिए पनि ती भित्रभित्रै गोप्य रूपमा तपाईँको कुकिज चोर्ने काम गरिरहेका हुन सक्छन् । 

• यी एक्स्टेन्सनले तपाईँको सबै सेसन कुकिज चुपचाप सङ्कलन गरी बाहिर पठाउन सक्छन् ।

• ह्याकरले त्यसपछि ति सङ्कलित कुकिजलाई आफ्नो ब्राउजरमा इन्जेक्ट गर्छन् ।

• तिनीहरू अब तपाईँको अकाउन्टमा सहजै पहुँच पाउँछन् । यसमा उनीहरूलाई तपाईँको पासवर्ड वा टुएफए केही आवश्यक पर्दैन ।

त्यसैले विश्वसनीय डेभलपरले तयार पारेका एक्स्टेन्सन मात्र प्रयोग गर्नुपर्ने हुन्छ । तिनीहरूले कुन अनुमति लिइरहेका छन् भन्ने कुरा सधैँ चेकजाँच गर्न सक्नुहुन्छ । अनावश्यक एक्सेस मागेको छ भने तत्कालै हटाउन सक्नुहुन्छ ।

 

३. प्रत्यक्ष रूपमा कुकिज फाइल चोरी

तपाईँ हामीले प्रयोग गर्ने प्रमुख ब्राउजरहरूले सिस्टमभित्र फाइलमा कुकिज भण्डारण गरेर राख्छन् ।

फायरफक्सः (C:\Users\<तपाईंको_युजरनेम>\AppData\Roaming\Mozilla\Firefox\Profiles\<प्रोफाइल_नाम>\cookies.sqlite)

क्रोमः (C:\Users\<तपाईंको_युजरनेम>\AppData\Local\Google\Chrome\User Data\Default\Cookies

)

कुकिज चोरीको प्रक्रिया 

• सुरुमा ह्याकरले भौतिक रूपमा पहुँच बनाएर वा म्यालवेयर प्रयोग गरी तपाईँको कम्प्युटरमा पहुँच प्राप्त गर्छ ।

• सम्बन्धित कुकिज फाइलहरू (जस्तै cookies.sqlite वा Cookies) कपी गर्छ  ।

• त्यसपछि उसले अर्को कम्प्युटरको ब्राउजरबाट तपाईँको सेसन प्रयोग गर्न सक्छ । 

• ब्राउजरले ती कुकिज पढ्छ । 

• र, ह्याकरले पासवर्ड वा टुएफए बिनै तपाईँको एक्टिभ सेसनलाई पुनः निर्माण गरी सिधा तपाईँको अकाउन्टमा प्रवेश गर्न सक्छ । 

 

४. मालवेयर र स्क्रिप्टेड आक्रमण

ह्याकरहरूले क्रोम, फायरफक्स र एज जस्ता ब्राउजरबाट कुकिज र पासवर्डहरू चोर्न मालवेयरको प्रयोग पनि उत्तिकै गर्ने गर्छन् । केही मालवेयर एन्टिभाइरस प्रोग्रामलाई बाइपास गर्न र चुपचाप तपाईँको डेटा ह्याकरलाई पठाउन सक्ने किसिमका हुन्छन् ।

यही कारणले गर्दा तपाईँले अनधिकृत, अज्ञात वा अपरिचित सफ्टवेयर कहिल्यै इन्स्टल गर्नु हुँदैन । खासगरी अनियमित वेबसाइट वा टोरेन्टहरूबाट सफ्टवेयर इन्स्टल गर्दा यस्तो जोखिम हुन्छ ।​

टुएफएले किन कुकिज चोरीलाई रोक्न सक्दैन ?

टुएफएले त्यतिबेला मात्र काम गर्छ, जतिबेला कसैले तपाईँको अकाउन्ट युजरनेम र पासवर्ड राखेर लगइन गर्ने प्रयास हुन्छ । तर, ह्याकरले तपाईँको सेसन कुकिज पायो भने उनीहरूलाई लगइन गरिरहनु पर्दैन । सेसन आईडी हुने बित्तिकै वेबसाइटले त्यो व्यक्ति तपाईँ नै हो भन्ने ठान्छ र, लगइन गरिदिन्छ । त्यसैले कुकिज चोरीले पावसर्ड र टुएफए सहजै बाइपास गरिदिन्छ । 

 

उसो भए कुकिज चोरीबाट कसरी सुरक्षित रहने ?

• विश्वसनीय ब्राउजर एक्सटेन्सनहरू मात्र प्रयोग गर्नुहोस् ।

• अज्ञात सफ्टवेयर डाउनलोड वा इन्स्टल नगर्नुहोस् ।

• टाढा हुँदा आफ्नो कम्प्युटर लक गर्नुहोस् ।

• नियमित रूपमा आफ्नो कुकिज खाली गर्नुहोस् 

• नयाँ सुरक्षा जोखिमको बारेमा जानकारी राख्नुहोस् ।

• भीपीएन बिना संवेदनशील लेनदेनको लागि सार्वजनिक वाईफाई प्रयोग नगर्नुहोस् ।

• आफ्नो काम पुरा गरिसकेपछि एप्लिकेसनबाट साइन आउट गर्नुहोस् ।

• कसैले कम्प्युटरको रिमोट एक्सेस मागेको छ भने त्यो व्यक्ति कत्तिको भरपर्दो र विश्वसनीय हो भन्ने यकिन गर्नुहोस् । जोकोहीले रिमोट एक्सेस मागेको छ भने भरसक नदिनुहोस् ।

• यदि तपाईँ फेसबुक पेज चलाउनु हुन्छ भने केहीले तपाईँको पेज मेन्सन गर्दै पेज बन्द हुन लागेको र जोगाउन भन्दै युजर आईडी र कुकिज आईडी माग्छन् । त्यस्तोमा सेसन कुकिज नदिनुहोस् । कुनै पनि व्यक्तिलाई त्यस्तो सेसन कुकिज कपी गरेर उपलब्ध गराउने गल्ती पनि नगर्नुहोस् । 

• यदि तपाईँ डेभलपर हुनुहुन्छ भने कुकिज दुरुपयोग रोक्न ‘HttpOnly’, ‘Secure’ र ‘SameSite’ जस्ता सुरक्षित कुकिज सेटिङहरू प्रयोग गर्न सक्नु हुन्छ ।

कुकिज चोरी एक डरलाग्दो साइबर आक्रमण हो, जुन प्रायः बेवास्ता गर्ने गरिन्छ । तपाईँ साइबर सुरक्षाका विषयमा जानकार हुनुहुन्छ, कडा पासवर्ड राख्नुहुन्छ, टुएफए अन गर्नुहुन्छ भने पनि चोरी भएको कुकिजले तपाईँको अकाउन्टमा पहुँच दिन सकिन्छ ।

यस्ता साइबर आक्रमणका घटनाबाट जोगिन बलिया पासवर्डहरू प्रयोग गर्नुहोस् र टुएफए (2FA) इनेबल गर्नुहोस् । तर यो पनि याद राख्नुहोस्: तपाईँका सेसन कुकिज तपाईँका पासवर्ड जत्तिकै महत्त्वपूर्ण छन् ।

(काठमाडौँ इन्जिनियरिङ कलेजबाट स्नातकमा कम्प्युटर इन्जिनियरिङ उत्तिर्ण लेखक गौतमले पुल्चोक क्याम्पसबाट कम्प्युटर सिस्टम र नलेज इन्जिनियरिङमा स्नातकोत्तर समेत पास गरेका छन् । यहाँ क्लिक गरी उनको लिंक्डइनमा रहेको अङ्ग्रेजी लेख समेत पढ्न सक्नु हुनेछ ।)

 

पछिल्लो अध्यावधिक: बैशाख ४, २०८२ ११:१७

टिप्पणीहरू