ব্লগ

19 জানুয়ারি 2017

এই নতুন জিমেইল ফিশিং কেলেঙ্কারী এমনকি ভাল জ্ঞাত ক্লায়েন্টদেরকে প্রতারিত করছে: এখানে এটি স্বীকার করতে গোপন

/
কারো দ্বারা কোন কিছু ডাকঘরে পাঠানো

ওয়ারফফেসের নিরাপত্তা বিশ্লেষকরা নিরাপত্তা যন্ত্রগুলির একটি বিখ্যাত ডিজাইনার যা দেখেছেন তা "স্পষ্টতই বাধ্যতামূলক" ফিশিং কেলেঙ্কারীতে রয়েছে যা গুগল জিমেইলের ক্লায়েন্টদের তাদের লগইন সূক্ষ্ম উপাদানের উদ্দীপ্ত করে তুলেছে। এই স্ক্যামটি ইমেল প্রশাসনের ক্লায়েন্টদের প্রতি সর্বজনীনতা তুলে ধরেছে এবং সহজবোধ্য ফাঁদটি ধারণ করেছে যে এমনকি সবচেয়ে প্রস্তুত চোখেও মনে হবে যে এটি নোটটি গ্রহণ করা কঠিন। এই কেলেঙ্কারীতে পার্থক্য পরে, WordFence তাদের ব্লগে একই ঘোষণা করেছে এবং আক্রমণের সতর্কতা।

কিভাবে এটা কাজ করে

ফিশিং কেলেঙ্কারি নিশ্চিতভাবে একটি অত্যন্ত চিত্তাকর্ষক পরিকল্পনা। হুমকি বা জিমেইল ক্লায়েন্ট প্রথমে গ্রাহককে কোনও যোগাযোগের সাথে যোগাযোগ করার জন্য একটি ইমেল পাবেন। ইমেলের সাথে সংযুক্ত করা হলো এমন জিনিস যা পিডিএফ নকশাতে একটি আদর্শ রেকর্ড হওয়ার সমস্ত কার্যধারা রয়েছে। সংযোগ ডাউনলোডের প্রবণতা আছে সন্দেহভাজন ক্লায়েন্ট নিম্নলিখিত stride মধ্যে অনুপযুক্ত কিছু অনুপযুক্ত আবিষ্কৃত হবে।

সর্বাধিক অংশ আর্কাইভ অঞ্চল উপর লঘুপাত ক্লায়েন্ট রিপোর্ট একটি পর্যালোচনা দেয়। এই সংযোগটি সত্ত্বেও, আর্কাইভ পেতে Google পৃষ্ঠায় আপনাকে সাইন ইন করতে হবে। নিরবচ্ছিন্ন ক্লায়েন্টদের তাদের ইমেল আইডি এবং গোপন কী অন্তর্ভুক্ত এবং অবিরত হবে।

Gmail ডেটা URI

এই সাইন ইন পৃষ্ঠাটি অস্পষ্ট ছদ্মবেশিত স্ক্যামের দ্বিতীয় সময়। এটি সত্যিই ক্লায়েন্টদেরকে কি 'গুগলের সঙ্গে সাইন ইন করুন' পৃষ্ঠায় সৎ হতে সৎ হওয়ার সন্দিহান আছে? ক্লুয়েলস ক্লায়েন্ট তাদের স্বীকৃতিগুলি অন্তর্ভুক্ত করবে না যে এই সূক্ষ্ম উপাদানের অন্তর্নিহিতভাবে একটি ডাটাবেসে পাঠানো হয়।

এটি আলাদা করার জন্য ধাপে নির্দেশাবলীর দ্বারা ধাপ

এখানে একটি ভাল টুকরা তথ্য পৃষ্ঠার URL। এটি "data.text / html.https ..." ব্যবহার করে প্রকৃতপক্ষে ব্লগটি আপগ্রেড করে তথ্য URI এবং URL না বলে। এই পরিকল্পনার একটি অংশ হিসাবে ব্যবহার করা একটি 'তথ্য URI' প্রোগ্রাম এলাকা বার একটি সম্পূর্ণ রেকর্ড অন্তর্ভুক্ত।

বিন্দুতে যখন ক্লায়েন্টটি সে / সে মনে করে সেটি ই-মেইলে রিপোর্ট পর্যালোচনায়ের সাথে সংযোগ করে, এটি অন্য ট্যাবের মধ্যে একটি ডকুমেন্ট খুলে দেয় (ডুপ্লিকেটের সাথে 'গুগল পৃষ্ঠা দিয়ে সাইন ইন করুন') শুধুমাত্র এই এক জাল এবং আক্রমণকারী আপনার তথ্য পাঠায়।

এই ফিশিং স্ক্যামকে পৃথক করার জন্য তথ্যটির দ্বিতীয় অংশটি নিম্নরূপ একটি টুইটে প্রদর্শিত হয়েছে। এটি উত্থাপিত হয়, এটি স্বীকার করার সবচেয়ে ভাল উপায় হল যে আপনি একটি উচ্চ দৃঢ় সংকল্প পর্দায় আছে যে দেখাবে যে আর্কাইভ পর্যালোচনা সংযোগ সত্যিই একটি fluffy ছবি (এটি স্কেল না হয়) যে নথি প্রর্দশিত হবে এটি একটি নিখুঁত সংযোগ ছিল অফ সুযোগ, এটা সঠিকভাবে স্কেল হবে, এখনো এই আবার কয়েকটি ক্লায়েন্ট লক্ষ্য করবে এবং কিছু জন্য একটি বড় সুযোগ পাস হবে কিছু।

বন্ধ সুযোগ যে আপনি এখনও inquisitive, ব্লগ যে আপনি beibeenpwned.com যান এবং এই নির্ভরযোগ্য সাইট আপনার ইমেল সঙ্গে চেক করতে পারেন মনোযোগ।

এই ঘাঁটি কত আউট আছে সেখানে?

ওয়ার্ডফেন্সের সিইও মার্ক মাউডারের পয়েন্ট ব্লগ অনুসারে বিন্দু অনুযায়ী, সম্প্রতি সাম্প্রতিক সপ্তাহগুলোতে কেলেঙ্কারির হিসাব করা হয়েছে। কিছুটা গুরুত্ব দিচ্ছে যে এটি মৌলিক ক্লায়েন্টের দ্বারা নয়, বরং বিশেষত বা ক্লায়েন্টদের দ্বারা নিখুঁতভাবে সংঘটিত হয়েছে যারা এর দ্বারা আঘাতপ্রাপ্ত হওয়ার কথা বলেছে। সত্য বলা হবে, গুগল থেকে ঘোষণা পর্যন্ত আনা যেমন আক্রমণ মোকাবেলা করতে এমনকি গুগল করতে পারেন সংক্ষিপ্ত:

"আমরা এই সমস্যাটির প্রতি মনোযোগ দিচ্ছি এবং এর বিরুদ্ধে আমাদের স্থিরতা জোরদার করছি। আমরা ফিশিং আক্রমণ থেকে ক্লায়েন্টরা উপায়গুলির ভাণ্ডারে সাহায্য করি, যার মধ্যে রয়েছে: ফিশিং বার্তাগুলির মেশিন লার্নিং ভিত্তিক সনাক্তকরণ, নিরাপদ ব্রাউজিং নোটিশ যা বার্তাগুলি এবং প্রোগ্রামগুলিতে বিপজ্জনক সংযোগগুলির ক্লায়েন্টদের পরামর্শ দেয়, সন্দেহজনক রেকর্ড সাইন ইনগুলি এড়ানো এবং আকাশ সীমা সেখান থেকে. ক্লায়েন্ট এছাড়াও অনুরূপ রেকর্ড রেকর্ড নিরাপত্তা জন্য দুই পর্যায়ে নিশ্চিত করতে পারেন। "

আপনি কিভাবে এই ধরনের আক্রমণ থেকে নিজেকে রক্ষা করবেন?

যে ঘটনাটি আপনি মনে করেন যে আপনি হতাশ হয়েছেন, আপনার গোপন কীটি পরিবর্তন করার জন্য সর্বোত্তম জিনিসটি এই আতঙ্কজনক ব্যক্তিকে দেওয়া হয়েছে যেটি এখন পর্যন্ত আপনার নিজের রেকর্ডের বাইরে না রেখে একইভাবে তার শেষে আপনি অন্য কোনও ব্যক্তির আপনার রেকর্ডে চিহ্নিত করেছেন কিনা তা দেখতে আপনার রেকর্ড অ্যাকশন লগের জন্য একটি বেলেলাইন করতে পারেন। আপনি আপনার Gmail রেকর্ডটি খোলার মাধ্যমে এটি করতে পারেন এবং তারপরে বেসের ডানদিকে, বিবরণগুলিতে আলতো চাপুন।

যে ঘটনাটি আপনাকে আক্রমণ করা হয়নি, এবং সন্দেহজনক যে আপনি সাম্প্রতিক সপ্তাহে এই ধরনের সংযোগের উপর চাপ দিয়েছেন, তবে এখন সেই গোপন কীটি পরিবর্তন করার জন্য উপযুক্ত সময় হবে।

গুগল যখন মনোযোগের দিকে মনোযোগ দেয়, নিরাপদভাবে নির্ভরযোগ্য থাকা সবচেয়ে আদর্শ পদ্ধতিটি, দুটি স্তর নিশ্চিতকরণের ক্ষমতায়ন করা বা অতিরিক্ত রেকর্ড নিরাপত্তা পরীক্ষা করার জন্য।

ক্লায়েন্টের ইমেইল আইডি এবং গোপন শব্দ দিয়ে, হামলাকারী সেগুলির সাথে সার্টিফিকেশনগুলির সাথে যেকোনো কিছু করতে পারেন। তাই এটি আসলে আপনার জিমেইল গোপন শব্দটি পরিবর্তন করে ভালভাবে বাঁচানোর জন্য এখন আর নিরাপদ নয়।

GTranslate Your license is inactive or expired, please subscribe again!