Friday, June 29, 2007

बडे धोखे हैं इस राह(इमेल) में...

जैसे जैसे इंटरनेट का विस्तार होता जा रहा है और इसका उपयोग करने वाले बढ रहे हैं, वैसे वैसे इसका दुरुपयोग करने वाले भी नहा धो के पीछे पडे हुये हैं.
 
श्याने लोग पुरी तरह से कोशिशों में लगे रहते हैं कि कोई "मुरगा" या "बकरा" मिल जाये तो पार्टी मनाये.
 
बकायदा इमेल का इस्तेमाल कर के काँटे छोड़े जाते हैं, चारा लगा कर, हर दिशा में, कोई तो फ़ँसेगा.
 
यहाँ बात हो रही है चोरी की, जालसाज़ी की. वह भी कोई साधारण वाली (रुपये, डालर इत्यादि) की नहीं वरन उतनी ही (या उससे भी ज्यादा) "इम्पोर्टेन्ट" चोरी है - सूचना (इन्फ़ोर्मेशन) की चोरी.
 
शातिर लोग फ़िराक में रहते हैं आपकी व्यक्तिगत जानकारी चुराने के, ताकि उसका फ़ायदा वे कहीं ना कहीं किसी ना किसी तरह उठा सकें.
 
कई तरीकों में से एक तरीका है "फ़ीशिंग" का. इसमें काँटे पर चारा लगा कर पानी में डाल दिया जाता है. कोई ना कोई भोली भाली मछली इसमें फ़ँस जाती है और अपनी व्यक्तिगत जानकारी, जैसे नाम, पता, फ़ोन नम्बर, बैंक अकाउंट नम्बर, क्रेडिट कार्ड नम्बर, किसी पेड (paid) साईट के कूटशब्द (पासवर्ड्स) इत्यादि फ़िशर को दे बैठती है.
 
सबसे ज्यादा प्रचलन में जो तरीका है उसमें कुछ ऐसा होता है:-
 
कोई "फ़िशर" अपनी टार्गेट जनता को चुनता है. जैसे कि अगर वह किसी बैंक के ग्राहकों की जानकारी चुराने की इच्छा रख सकता है, या फ़िर लोगों के टेलीफ़ोन नम्बर चुराने की सोच सकता है, या फ़िर किसी पैड (paid) साईट के क्रिडेन्शियल्स (user/password).
 
अब जब टार्गेट फ़िक्स हो गया तो वह एक इमेल बनायेगा. हुबहु वैसी ही जैसी कि उस टार्गेट वेबसाईट की हो सकती होगी. जैसे कि बैंक की या, किसी साईट इत्यादि की. उस इमेल में वह बकायदा proper graphics वगैरह का इस्तेमाल करेगा ताकि इमेल पाने वाले को यही लगेगा कि उसे उसी बैंक या साईट से इमेल आई है जिसमें उसका अकाउंट है. उसमें जो मसौदा रहेगा उस का सार इस तरह का हो सकता है
 
१. हमारे सर्वर update हुये हैं, और आपके अकाउंट में problem आ गई है. अत: अपने अकाउंट में log-in करें ताकि आपका अकाउंट सुचारु ढंग से चल सके...
२. आप हमारे पुराने कस्टमर हैं, आपको एक नई सुविधा हम लोग दे रहे हैं, कृपया log-in करें...
३. हमने अपनी साईट में एक नया फ़ीचर डाला है, और आप उन चुनिंदा लोगों में से हैं जिनको हमने चुना है इसके लिये...कृपया log-in करें...
इत्यादि इत्यादि...
 
यानि घुमा फ़िरा कर आपसे आपके उस साईट के अकाउंट पर login करने के लिये कहा जायेगा, और वह भी वही की वहीं दी हुई लिंक पर क्लिक कर कर. अगर आप क्लिक करेंगे तो आपके सामने आपकी साईट का login पन्ना आ जायेगा. फ़िर आप अपने credentials डाल के login कर देंगे. फ़िर या तो यह होगा कि आपका अकाउंट ओपन हो जायेगा, या फ़िर एक error page दिखा कर आपसे फ़िर login करने को कहा जायेगा. (अधिकतर केसेज़ में दूसरी बार login हो जाता है).
 
आपको सब कुछ साधारण लगता है, मगर जो होना होता है वह हो जाता है.
 
पहला, फ़िशर ने अपने ही किसी सर्वर (साईट) पर वह login वाला पन्‍ना बनाया होता है.
दूसरा, अब जैसे ही आप क्लिक करते हैं तो फ़िशर के पास तुरंत यह जानकारी चली जाती है कि आपका इमेल सही एवं valid है. (इसका इस्तेमाल वह दूसरे फ़िशर्स को बेचने में कर सकता है)
तीसरा, जब आप अपने कूटशब्द (credentials) डाल के login करने की कोशिश करते हैं तो आपके द्वारा भरी हुई जानकारी उस फ़िशर के व्यक्तिगत डाटाबेस में चली जाती है (क्योंकि जिस पन्‍ने पर आपने अपनी जानकारी दी है वह तो किसी और सर्वर पर किसी और साईट का पन्‍ना है ना)
चौथा, अगर फ़िशर तकनीकि रुप से ज्यादा सक्षम है तो "आंतरिक" रुप से automaitcally आपके कूटशब्द का प्रयोग कर आपको आपकी वाली actual साईट में login करवा देगा, या फ़िर आपको actual साईट पर ट्रांसफ़र कर देगा. और आपको पता भी नहीं चलेगा कि आपका data कहाँ कहाँ पहुँच गया.
 
तो समझे आप? कि आप खुद कुल्हाडी पर किस तरह से कूदे??
 
क्या कहा? उसको आपका इमेल कैसे पता चला? दो तरीके से पता चल सकता है:--
 
पहला - उसने कहीं से खरीदे हो? चौंकिये मत, ये धंदा तो बहुत पुराना है.
दूसरा - प्रोग्रामेटिक्ली अंदाजे मारे हों. बहुत से प्रोग्राम्स होते हैं ऐसे. प्रोग्रम अपने आप randomly generate करता है इमेल पते (शुद्ध भाषा में - धूल में लठ्ठ मारता है) लग गये सो लग गये, ना लगे वो bounce back हो जाते हैं.
 
तो अब प्रश्न ये उठता है कि इसे कैसे पहचाने और इससे कैसे बचें. है ना? तो जनाब, कुछ एक चीज़ों पर ध्यान देंगे तो पहचान भी जायेंगे:
 
१. इमेल में इस तरह से तो कोई भी कंपनी login करने का नहीं कहती. At least banks etc. तो इस तरह की किसी भी इमेल को आप सीधे से खारिज़ कर सकते हैं.
१.५ ये भी हो सकता है कि जो इमेल आपको इस तरह का मिला है, उसमे आपको एक ऐसी साईट पर login करने का कहा जा रहा है जिसका अकाउंट ही आपके पास नहीं है. (ये automated email generator का कमाल है).
२. दूसरी शर्त है कि इमेल में की कोई भी लिंक पर कभी क्लिक ना करें, जब तक की आपको यकीन ना हो कि वह genuine है.
३. तीसरी शर्त यह है कि अपने browser का status bar जहाँ तक हो सके on रखें. उससे क्या होगा? अरे मिंया, उससे यह होगा कि जब भी आप किसी लिंक पर mouse लायेंगे तो status bar में उस लिंक की actual location दिखेगी. आपकी साईट जिसपर आपका अकाउंट है उसकी location और status bar में दिख रही location को match कीजिये. दूध का दूध और पानी का पानी हो जायेगा. १०० में से ९५ बार तो आपको आपकी साईट का पता गलत ही दिखेगा. कोई भलता सा पता रहेगा.
४. अगर फ़िर भी पता ना चल रहा हो और ऐसा लग रहा हो कि इमेल "सही" जगह से आई है तब भी, हाँ हाँ तब भी, इमेल में से किसी भी लिंक को सीधे क्लिक ना करे. नई browser window खोलें और खुद उस साईट का पता टाईप कर के वहाँ login वगैरह जो भी करना है करते रहिए.
 
तो इतनी लम्बी कहानी से क्या शिक्षा मिली आपको??
 
बहुत पहले एक विज्ञापन आता था -
 
ज़रा सी सावधानी
ज़िंदगी भर आसानी
 
वही फ़ंडा है, बस सावधानी रखने के तरीके अलग अलग हैं... :)
 
(कभी इस बारे में और कुछ लिखने का मन होगा तो (ही)/जरुर लिखुंगा)

6 comments:

mamta said...

ईमेल मे इतना धोखा है ये तो पता ही नही था । जानकारी देने का शुक्रिया।

Udan Tashtari said...

इस ओर जागरुक करने का आभार.

sunita (shanoo) said...

आप ठीक कह रहे है...धन्यवाद।

Shrish said...

फिशिंग के बारे बहुत जगह बहुत कुछ पढ़ चुके हैं लेकिन आपने इस सब जानकारी को बहुत ही व्यवस्थित और सुन्दर तरीके से प्रस्तुत किया।

बहुतों के लिए यह उपयोगी साबित होगी, साधुवाद!

RC Mishra said...

रोचक प्रस्तुतीकरण, धन्यवाद!

अनूप शुक्ला said...

अच्छी जानकारी दी है। धन्यवाद!