यस्तो नयाँ AiTM फिशिङ टेक्निक, जसले व्यर्थ बनाउन सक्छ तपाईँको मल्टिफ्याक्टर अथेन्टिकेसन
बैशाख १८, २०८३ १०:४७
काठमाडौँ । हालैका वर्षहरूमा अनलाइन सुरक्षाका लागि 'मल्टी-फ्याक्टर अथेन्टिकेसन' (MFA) लाई सबैभन्दा भरपर्दो उपाय मानिँदै आएको छ । तर साइबर अपराधीहरूले अहिले यस्तो टेक्निक अपनाउन थालेका छन्, जसले तपाईँको पासवर्ड मात्र होइन, एमएफए कोडलाई समेत सहजै चोर्न सक्छ ।
यसलाई साइबर सुरक्षाको भाषामा Adversary-in-the-Middle (AiTM) अट्याक भनिन्छ । माइक्रोसफ्टको पछिल्लो तथ्याङ्क अनुसार गत वर्ष मात्र एआईटीएम फिशिङ अट्याकहरूमा १४६ प्रतिशतले वृद्धि भएको छ ।यहाँ हामी यो खतरनाक अट्याक कसरी हुन्छ र यसबाट कसरी बच्ने भन्ने बारेमा विस्तृत जानकारी दिँदैछौँ ।
एआईटीएम अट्याक भनेको के हो ?
सरल भाषामा भन्नुपर्दा एआईटीएम एक यस्तो फिशिङ प्रविधि हो, जहाँ आक्रमणकारीले प्रयोगकर्ता र वास्तविक सेवा (जस्तै: माइक्रोसफ्ट ३६५ वा गुगल) को बीचमा एउटा रिभर्स प्रोक्सी सर्भर राखिदिन्छन् ।
माइक्रोसफ्टका सुरक्षा विज्ञ एलेक्स वेइनर्टका अनुसार यो एउटा गलत टिकट काउन्टरमा जानु जस्तै हो । तपाईँलाई लाग्छ कि तपाईँ आधिकारिक वेबसाइटमा हुनुहुन्छ । तर वास्तवमा तपाईँले भर्नुभएका सबै विवरणहरू आक्रमणकारीको सर्भर हुँदै आधिकारिक साइटमा पुगिरहेका हुन्छन् । यसरी बीचमा बसेर आक्रमणकारीले तपाईँको डेटा 'रिले' वा 'फरवार्ड' गरिरहेको हुन्छ ।
एआईटीएम अट्याकको प्रक्रिया अत्यन्तै चलाखीपूर्ण र प्रयोगकर्ताले पत्ता लगाउन नसक्ने खालको हुन्छ । आक्रमणकारीले सुरुमा एउटा फिशिङ ईमेल पठाउँछन्, जसमा कुनै जरुरी काम गर्नुपर्ने भन्दै एउटा लिङ्क दिइएको हुन्छ ।
जब प्रयोगकर्ताले लिङ्कमा क्लिक गर्छन्, उनीहरूले लग-इन पेज देख्छन् । यो कुनै फोटो वा कपी गरिएको पेज होइन । आक्रमणकारीको 'रिभर्स प्रोक्सी' ले वास्तविक वेबसाइटबाटै सामग्रीहरू तानेर देखाइरहेको हुन्छ ।
त्यसपछि प्रयोगकर्ताले आफ्नो युजरनेम र पासवर्ड इन्टर गर्छन् । त्यो विवरण आक्रमणकारीको हातमा पुग्छ र उसले तुरुन्तै वास्तविक साइटमा पठाइदिन्छ । अब वास्तविक साइटले एमएफए कोड माग्छ ।
प्रयोगकर्ताले आफ्नो फोन वा एपबाट कोड राख्छन् । आक्रमणकारीले त्यो कोड पनि चोरी गरेर वास्तविक साइटमा पठाइदिन्छ । त्यसपछि हुन्छ सेसन कुकीको चोरी । यो नै सबैभन्दा खतरनाक पाटो हो । लग-इन सफल भएपछि वेबसाइटले ब्राउजरलाई एउटा सेसन कुकी (Session Cookie) दिन्छ ।
आक्रमणकारीले यो कुकी पनि चोरी गर्छन् । एक पटक सेसन कुकी हात पारेपछि आक्रमणकारीलाई तपाईँको पासवर्ड वा एमएफए कोडको फेरि आवश्यकता पर्दैन । उनीहरूले अब सिधै तपाईँको अकाउन्ट चलाउन सक्छन् ।
एमएफए हुँदाहुँदै यो कसरी सम्भव हुन्छ ?
हामीलाई एमएफए छ भने हाम्रो अकाउन्ट सुरक्षित छ भन्ने लाग्छ । तर एआईटीएमले एमएफएलाई बाइपास गर्ने होइन, बरु यसको फाइदा उठाएर सेसन टोकन चोरी गर्ने गर्दछ ।
सेसन टोकन एउटा डिजिटल साँचो जस्तै हो, जसले वेबसाइटलाई भन्छ- "यो प्रयोगकर्ताले पहिले नै प्रमाणीकरण गरिसक्यो, यसलाई भित्र जान देऊ ।" जब अपराधीसँग त्यो साँचो हुन्छ, सुरक्षाको कुनै पनि ढोकाले उसलाई रोक्दैन ।
हन्ट्रेसका विश्लेषकहरूका अनुसार यो अट्याक सफल भएपछि आक्रमणकारीले तपाईँको अकाउन्टमा नयाँ एमएफए डिभाइस दर्ता गर्ने, ईमेलहरू फर्वार्ड गर्ने र कम्पनीको गोप्य कागजातहरू चोरी गर्ने जस्ता कामहरू गर्छन् ।
पत्ता लगाउन किन गाह्रो छ ?
क्लासिक म्यान-इन-द-मिडल (MitM) अट्याकहरू नेटवर्क लेयरमा हुन्छन् । जसलाई केही हदसम्म पत्ता लगाउन सकिन्छ । तर एआईटीएम अट्याक एप्लिकेसन लेयरमा हुने भएकाले यो धेरै जटिल हुन्छ ।
प्रयोगकर्ताका लागि सबै कुरा सामान्य देखिन्छ । वेबसाइटको इन्टरफेस वास्तविक हुन्छ र लग-इन पनि सफल हुन्छ। सेक्युरिटी लगहरूमा पनि सफल लग-इन मात्र देखिने हुँदा कम्पनीहरूले पनि यो आक्रमण भएको कुरा तत्काल थाहा पाउँदैनन् ।
यसबाट कसरी बच्ने ?
विज्ञहरूका अनुसार परम्परागत एमएफए (जस्तै एसएमएस कोड वा ओटीपी) अब पर्याप्त छैनन् । सेन्टिनेल वन र माइक्रोसफ्ट जस्ता संस्थाहरूले निम्न सुरक्षा उपायहरू सुझाएका छन्:
-
पासकीको प्रयोग: प्रविधि जति अगाडि बढ्छ, अपराधीका शैलीहरू पनि त्यति नै परिष्कृत हुँदै जान्छन् । त्यसैले "एमएफए राखेको छु, म सुरक्षित छु" भनेर ढुक्क बस्नुभन्दा सधैँ सतर्क रहनु र आधुनिक सुरक्षा प्रविधिहरू (जस्तै पासकी) अपनाउनु नै आजको आवश्यकता हो । FIDO2 र WebAuthn मा आधारित पासकीहरू एआईटीएम विरुद्ध सबैभन्दा बलियो सुरक्षा उपाय हुन् । यसमा ओरिजिन बाइन्डिङ (Origin Binding) हुन्छ, जसको अर्थ तपाईँको ब्राउजरले आधिकारिक डोमेन बाहेक अरू कतै पनि विवरण पठाउँदैन ।
-
डिभाइस कम्प्लायन्स: कम्पनीहरूले यस्तो नियम बनाउनुपर्छ ताकि केवल अफिसले प्रमाणित गरेका ल्यापटप वा मोबाइलबाट मात्र लग-इन गर्न सकियोस् ।
-
अस्वाभाविक गतिविधि अनुगमन: यदि काठमाडौँबाट लग-इन भएको ५ मिनेटमै कसैले न्युयोर्कबाट त्यही अकाउन्ट चलाउन खोज्छ भने यसलाई इम्पोसिबल ट्राभल (Impossible Travel) मानिन्छ । यस्ता गतिविधिहरूलाई तुरुन्तै ब्लक गर्ने प्रणाली राख्नुपर्ने हुन्छ ।
-
यूआरएल चेक गर्ने: लग-इन गर्नुअघि ब्राउजरको एड्रेस बारमा रहेको स्पेलिङ राम्रोसँग चेक गर्नुहोस् । microsoft.com को सट्टा micros0ft-login.com जस्ता झुक्याउने नामहरू हुन सक्छन् ।
पछिल्लो अध्यावधिक: बैशाख १८, २०८३ १०:४८
