पासकीको सट्टा पासवर्डमै सीमित माइक्रोसफ्ट प्रयोगकर्ता ह्याकरको सिधा निशानामा
बैशाख ७, २०८३ ११:३८
काठमाडौँ । माइक्रोसफ्टले आफ्ना एक अर्ब भन्दा बढी प्रयोगकर्ताहरूलाई एउटा कडा चेतावनी जारी गरेको छ: आफ्ना पासवर्डहरू हटाउनुहोस् र पूर्ण रूपमा पासकी (passkeys) प्रयोग गर्नुहोस् । कम्पनीका अनुसार यदि तपाईंको अकाउन्टमा पासवर्ड अझै बाँकी छ भने त्यो अकाउन्ट आक्रमणको उच्च जोखिममा छ र सजिलै हाइज्याक हुन सक्छ ।
एप्पल र गुगलका विवरणहरू जस्तै माइक्रोसफ्टका अकाउन्ट डिटेल पनि आक्रमणकारीहरूका लागि निकै मूल्यवान् मानिन्छन् । किनभने यसले धेरै महत्त्वपूर्ण सेवाहरूमा पहुँच दिन्छ ।
साइबर सुरक्षा फर्म चेकप्वाइन्टले हालै एउटा नयाँ चेतावनी सार्वजनिक गर्दै भनेको छ, "२०२६ को पहिलो त्रैमासिकमा पनि माइक्रोसफ्ट फिशिङ आक्रमणमा सबैभन्दा बढी नक्कल गरिएको ब्रान्डको रूपमा कायम छ ।" कूल ब्रान्ड नक्कल प्रयासहरूमध्ये २२% माइक्रोसफ्टको नाममा भइरहेका छन् । यो नतिजाले एउटा लामो समयदेखिको प्रवृत्तिलाई पुष्टि गर्दछ । त्यो के भने आक्रमणकारीहरूले व्यक्तिगत र व्यावसायिक वातावरणमा सुरुवाति पहुँच पाउनका लागि निरन्तर रूपमा उच्च विश्वसनीय ब्रान्डहरूको दुरुपयोग गरिरहेका छन् ।
चेकप्वाइन्टले एउटा विशेष मालिसियस (malicious) आक्रमणको पहिचान गरेको छ । जसमा माइक्रोसफ्टको वैध प्रमाणीकरण सेवा (authentication service) को दुरुस्तै नक्कल गरेर प्रयोगकर्ताहरूलाई नक्कली लगइन पेज देखाइन्छ । यसमा प्रयोग गरिएको यूआरएल प्रयोगकर्ताहरूलाई यो माइक्रोसफ्टकै वास्तविक साइट हो भन्ने भ्रममा पार्ने गरी डिजाइन गरिएको हुन्छ ।
चेकप्वाइन्टको रिपोर्ट अनुसार आक्रमणकारीहरूले ब्रान्डको नामलाई एउटा असम्बन्धित प्यारेन्ट डोमेनको 'सब-डोमेन' भित्र लुकाएर राख्छन् । यसको उद्देश्य पूरा यूआरएललाई ध्यान दिएर नहेर्ने प्रयोगकर्ताहरूलाई धोका दिनु हो ।
यदि प्रयोगकर्ताले यस्तो नक्कली पेजमा आफ्नो ईमेल ठेगाना राखेमा 'अथेन्टिकेसन फ्लो' ले एउटा प्रमाणीकरण कोड पठाउँछ । तर त्यसपछि प्रयोगकर्तालाई काम नगर्ने (non-functional) लगइन स्क्रिन मा पठाइन्छ । यो सम्पूर्ण प्रक्रिया केवल तपाईंको ईमेल र पासवर्ड डिटेल चोर्न वा सङ्कलन (harvest) गर्नका लागि मात्र बनाइएको हो ।
यदि तपाईंले यस्तो प्रकारको शङ्कास्पद माइक्रोसफ्ट लगइन पेज देख्नुभयो भने तुरुन्तै त्यहाँबाट बाहिर निस्कनुहोस् । यदि तपाईंले अनजानमा आफ्नो विवरणहरू राखिसक्नु भएको छ भने ढिला नगरी आफ्नो पासवर्ड परिवर्तन गर्नुहोस् । साथै यदि तपाईंले आफ्नो माइक्रोसफ्ट अकाउन्ट वा अन्य कुनै पनि अकाउन्टमा पासकी र गैर-एसएमएस (non-SMS)मा आधारित मल्टी-फ्याक्टर अथेन्टिकेसन (MFA) सेट अप गर्नुभएको छैन भने तत्कालै थाल्नुहोस् ।
चेकप्वाइन्टको तथ्याङ्क अनुसार माइक्रोसफ्ट बाहेक अन्य ठुला ब्रान्डहरू पनि आक्रमणकारीहरूको निशानामा छन् । एप्पल ११% का साथ दोस्रो स्थानमा छ । भुक्तानी, पहिचान र व्यक्तिगत डिभाइसहरूसँग जोडिएको हुने भएकाले एप्पलका प्रयोगकर्ताहरूमाथि आक्रमणकारीको ध्यान बढ्दो छ ।
यसैगरी गुगल ९% का साथ तेस्रो स्थानमा र अमेजन ७% का साथ चौथो स्थानमा छ । यी चारवटा ब्रान्डहरूले मात्र पछिल्लो त्रैमासिकमा देखिएका कुल फिशिङ प्रयासहरूको झन्डै ५०% हिस्सा ओगटेका छन् । यसले विश्वव्यापी रूपमा चिनिएका थोरै प्लेटफर्महरूमा आक्रमणकारीहरूको ठुलो ध्यान केन्द्रित भएको देखाउँछ ।
त्यसैले यदि तपाईंले आफ्ना अकाउन्टहरूबाट पासवर्ड हटाएर पासकीमा स्विच गर्नुभयो भने तपाईं यस्ता फिशिङ आक्रमणहरूबाट सुरक्षित रहनु हुनेछ । तर यदि तपाईंको अकाउन्ट अझै पनि केवल युजरनेम, पासवर्ड र सामान्य एसएमएस कोडमा मात्र निर्भर छ भने तपाईं अहिले आक्रमणकारीहरूको सिधा निसानामा हुनुहुन्छ ।
पछिल्लो अध्यावधिक: बैशाख ७, २०८३ ११:३९
