உங்கள் ஜிமெயில் ஃபிஷிங் தாக்குதலுக்கு உட்படலாம்..கவனம்!
செய்தி முன்னோட்டம்
மிகவும் தொழில்நுட்ப ஆர்வலர்களைக் கூட முட்டாளாக்கும் ஒரு அதிநவீன ஃபிஷிங் மோசடி குறித்து கூகிள் தனது மூன்று பில்லியன் ஜிமெயில் பயனர்களை எச்சரித்துள்ளது. மென்பொருள் உருவாக்குநர் நிக் ஜான்சன் இந்த மோசடி குறித்து சமூக ஊடகங்களில் எச்சரித்த பிறகு வெளிச்சத்திற்கு வந்தது. நிக் இந்த தாக்குதலில் தானும் கிட்டத்தட்ட சிக்கியதாக தெரிவித்தார். அவரைப் பொறுத்தவரை, அந்தப் போலி மின்னஞ்சல் கூகிளின் அதிகாரப்பூர்வ தகவல்தொடர்பு போலத் தெரிந்தது, மேலும் நிறுவனத்தின் DKIM (Domain Keys Identified Mail) சோதனையிலும் தேர்ச்சி பெற்றது. இதனால் ஜிமெயிலின் இன்பாக்ஸில் வழக்கமான மெயில் போல தோன்றலாம்.
மோசடி விவரங்கள்
கூகிளின் உள்கட்டமைப்பில் உள்ள பாதிப்பைப் பயன்படுத்தி இந்த மோசடி நடந்தது
கூகிள் உள்கட்டமைப்பில் உள்ள ஒரு பாதிப்பைப் பயன்படுத்தி ஃபிஷிங் தாக்குதல் நடத்தப்பட்டதாக ஜான்சன் வெளிப்படுத்தினார். ஒரு முறையான கூகிள் முகவரியிலிருந்து வருவது போல் தோன்றிய அந்த மோசடி மின்னஞ்சல், ஜான்சனின் கூகிள் கணக்கிற்கு சம்மன் அனுப்பப்பட்டதாகக் கூறியது. இது ஒரு ஃபிஷிங் முயற்சி என்பதற்கான ஒரே துப்பு, அது ஹோஸ்ட் செய்யப்பட்ட டொமைன்: accounts.google.com க்கு பதிலாக sites.google.com. அதைக் கிளிக் செய்வதன் மூலம் உண்மையான கூகிள் உள்நுழைவு பக்கங்களைப் போலவே ஒரு போலி "ஆதரவு போர்டல்" உருவாக வழிவகுத்தது. அது பயனர்கள் தங்கள் சான்றுகளை வெளிப்படுத்த ஏமாற்ற வடிவமைக்கப்பட்டுள்ளது.
பாதுகாப்பு நடவடிக்கைகள்
மோசடியில் பயன்படுத்தப்பட்ட ஓட்டையை கூகிள் தடுத்துள்ளது
இந்த அச்சுறுத்தலை எதிர்கொண்ட கூகிள் செய்தித் தொடர்பாளர், இந்த வகையான இலக்கு வைக்கப்பட்ட தாக்குதல் குறித்து தங்களுக்குத் தெரியும் என்றும், மேலும் துஷ்பிரயோகம் செய்யப்படுவதைத் தடுக்க நடவடிக்கை எடுத்துள்ளதாகவும் கூறினார். பயனர்கள் இதுபோன்ற மின்னஞ்சல் வலையில் சிக்காமல் இருக்க நிறுவனம் புதிய வழிகாட்டுதல்களையும் வெளியிட்டுள்ளது. "உங்கள் கடவுச்சொல், ஒரு முறை கடவுச்சொற்கள், உறுதிப்படுத்தல் புஷ் அறிவிப்புகள் போன்ற உங்கள் கணக்குச் சான்றுகள் எதையும் கூகிள் கேட்காது - மேலும் கூகிள் உங்களை அழைக்காது" என்று செய்தித் தொடர்பாளர் வலியுறுத்தினார்.
பயனர் பாதிப்பு
ஃபிஷிங் முயற்சிகளைக் கண்டறிவது கடினமாகி வருகிறது
ஃபிஷிங் முயற்சிகளைக் கண்டறிவது கடினமாகி வருகிறது. மோசடி செய்பவர்கள் பழக்கமான தோற்றமுடைய URLகளையும், பயனர்களை முட்டாளாக்க நுட்பமான டொமைன் பெயர் மாற்றங்களையும் பயன்படுத்துகின்றனர். இந்த சிறிய மாற்றங்களை பலர் கவனிக்காமல் இருக்கலாம், இது அவர்களின் வங்கிக் கணக்கு அல்லது அடையாளத்திற்கு பெரும் சிக்கல்களை ஏற்படுத்தக்கூடும் என்று ஜான்சன் எச்சரித்தார். இரண்டு காரணி அங்கீகாரம் (2FA) இல்லாமல் கடவுச்சொற்களை மட்டுமே நம்பியிருப்பவர்கள் குறிப்பாக பாதிக்கப்படக்கூடியவர்கள்.
வழிகாட்டுதல்
பயனர்கள் எச்சரிக்கையாக இருக்குமாறு கூகிள் வலியுறுத்துகிறது
கணக்கு சிக்கல்கள் குறித்த மின்னஞ்சல்களில் உள்ள இணைப்புகளைக் கிளிக் செய்வதற்கு முன்பு பயனர்கள் எச்சரிக்கையாக இருக்கவும், ஒருமுறைக்கு இருமுறை யோசிக்கவும் கூகிள் வலியுறுத்தியுள்ளது. "ஒரு அரசாங்க நிறுவனத்திடமிருந்து எங்களுக்கு ஒரு கோரிக்கை வரும்போது, தகவலை வெளியிடுவதற்கு முன்பு பயனர் கணக்கிற்கு ஒரு மின்னஞ்சல் அனுப்புவோம்" என்று கூகிளின் தனியுரிமை மற்றும் விதிமுறைகள் பக்கம் கூறுகிறது. கோரிக்கையின் விதிமுறைகளின் கீழ் சட்டப்பூர்வமாக தடைசெய்யப்பட்டால் அறிவிப்பை வழங்க மாட்டோம் என்றும், சட்டப்பூர்வ தடை நீக்கப்பட்டவுடன் அவ்வாறு செய்வோம் என்றும் தொழில்நுட்ப நிறுவனமான நிறுவனம் தெரிவித்துள்ளது.