کیسے کریں: Phishing حملوں سے بچاؤ
آخری تازہ کاری: November 26, 2018
اپنی ڈیجیٹل حفاظت کی راہ میں آگے بڑھتے ہوئے آپ کا ٹکراؤ ایسے برے کرداروں کے ساتھ ہوسکتا ہے جو آپ کے حفاظتی مقاصد کی راہ میں رکاوٹ بن سکتے ہیں۔ ایسے ہی برے کرداروں کو ہم مخالفین یا حملہ آور کہتے ہیں۔ جب کوئی حملہ آور کوئی ایسی ای میل یا کوئی ایسا لنک بھیج دے جو بظاہر تو بے ضرر سا نظر آتا ہے لیکن اصل میں وہ نقصان دہ ہوتا ہے اور انہیں phishing کہا جاتا ہے۔
phishing حملہ اکثر ان پیغامات کے ساتھ آپ کو قائل کرتے ہوئے دکھائی دیتے ہیں:
- اس لنک پر کلک کریں
- ڈاکیومنٹ کھولئے
- اپنی ڈیوائس میں اس سافٹ ویئر کو انسٹال کریں، یا
- دی گئی ویب سائٹ میں اپنا نام اور پاس ورڈ داخل کیجئے تاکہ اسے قانونی طور پر دکھایا جائے۔
Phishing حملے نہایت چالاکی سے آپ کا پاس ورڈ ہتھیا سکتے ہیں یا آپ کی ڈیوائس میں کوئی مالویئر انسٹال کرنے کی ایک چال ہوسکتی ہے۔ مالویئر استعمال کرکے حملہ آور آپ کی ڈیوائس پر خود کار طریقے سے قابو پاسکتے ہیں آپ کی معلومات چوری کرسکتے ہیں یا آپ پر جاسوسی کر سکتے ہیں۔
اس رہنمائی سے آپ کو مدد ملے گی کہ phishing کہ حملوں کی نشاندہی کیسے کرنی ہے اور کن طریقوں کے استعمال سے آپ خود کو ان حملوں سے بچا سکتے ہیں۔
Phishing حملوں کی اقسام anchor link
پاس ورڈز کیلئے Phishing المعروف Credential Harvesting anchor link
Phishers کوئی سا گمراہ کن لنک آپ کو بھیج کر آپ سے آپ کے پاس ورڈز لینے کی چال چل سکتے ہیں۔ کسی ایک پیغام میں آپ کو ویب ایڈریسز دے کر آپ کو کسی سائٹ میں جانے کا کہیں گے لیکن اصل میں وہ کچھ اور ہوتا ہے۔ آپ اپنے کمپیوٹر پر آپ کو اکثر ایک خاص URL لنک پر نظر آتا ہوگا۔ لیکن آپ کی نظر کو دھوکا دیتے ہوئے مشہور domain names میں الفاظ کی ردوبدل کر کے یعنی کبھی ایک ہی حرف کو دوبار لکھ کر انہیں جائز بنانے کی کوشش کرنا تاکہ آپ توجہ کئے بغیر ان URL کو کلک کردیں جیسے Gmail یا Dropbox. ایسی جعلی نقل لاگ اِن سکرین اتنی معقول لگتی ہیں کہ وہ آپ کو اپنا usernameاور پاس ورڈ تحریر کرنے کی رغبت دلاتے ہیں۔ اگر آپ ایسا کر دیں گے تو سمجھ لیجئے کہ آپ نے اپنی لاگ اِن تصدیق حملہ آوروں کو بھیج دی ہیں۔
لہٰذا کوئی پاس ورڈ لکھتے وقت ویب براؤزر کے ایڈریس بار کو ایک بار غور سے دیکھ لیجئے۔ اس سے آپ کو مطلوبہ پیج کے صحیح ڈومین نیم کا پتہ چل جائے گا۔ اگر دکھائی دینے والا ڈومین نیم اصل الفاظ کی صورت میں نہ ہو تو آگے مت بڑھئے! یاد رکھئے کہ کسی پیج پر مطلوبہ علامت یا logo کا دکھائی دینا اس کے اصل ہونے کی تصدیق نہیں کرتا۔ کوئی بھی آپ کو اصل ویب سائٹ کا دھوکہ دینے کیلئے ایسے logo یا ڈیزائن کی نقل اپنی پیج پر لگا سکتا ہے۔
بعض phishers آپ کو بے وقوف بنانے کیلئے مشہور ویب ایڈریسز کی نقل کرتے ہوئے ویسی ہی دکھائی دینے والے ویب ایڈریسز کا استعمال کرتے ہیں جیسے https://wwwpaypal.com/ اور https://www.paypal.com/ کچھ مختلف دکھائی دیتی ہیں۔ بالکل ایسے ہی https://www.paypaI.com/ میں چھوٹے L کی بجائے بڑا i (I) لکھ دیتے ہیں جو کہ اصل ویب ایڈریس یعنی https://www.paypal.com/ سے ذرا مختلف ہوجاتا ہے۔ کچھ لوگ بڑے URLs پڑھنے یا لکھنے میں آسان بنانے کیلئے مختصر URL کا استعمال کرتے ہیں لیکن ان کا استعمال بھی نقصان دہ منازل یا malicious مقامات کیلئے استعمال ہو سکتا ہے۔ اگر آپ مختصر URL جیسے t.co کے لنک کو Twitter سے اٹھانا چاہتے ہیں تو پہلے اسے https://www.checkshorturl.com/ جیسی ویب سائٹس میں ڈال کر دیکھ لیں کہ وہ مختصر URL کسی نقصان دہ مقام کی طرف تو نہیں جارہی۔
یاد رکھئے، ای میلز کو دوسرا روپ دینا آسان اس لئے ہوتا ہے تاکہ وہ کسی بھی غلط مقصد کیلئے کسی اور ایڈریس پہ لگائی جا ئیں۔ اس کا مطلب یہ ہے کہ ارسال کنندہ کے ظاہری ای میل ایڈریس کو دیکھ لینا ہی اس تصدیق کے لئے کافی ہی نہیں ہے کہ وہ ای میل حقیقت میں مطلوبہ ارسال کنندہ کی طرف سے ہی بھیجی گئی ہو جیسا کہ نظر آرہا ہوتا ہے۔
Spearphishing anchor link
بعض phishing حملے ایک بہت بڑا جال بچھاتے ہیں۔ کوئی حملہ آور ایسی ای میلزسینکڑوں ہزاروں صارفین کو بھیج سکتا ہے جو ایک دلچسپ ویڈیو، اہم ترین دستاویز یا کسی بل کے مسئلے کا بظاپر دعوٰی کرتی ہوں۔
لیکن بسا اوقات حملہ آور phishing حملے کسی فرد کو پہلے سے جانتے ہوئے اسے ہدف بنا کر کرتے ہیں۔ انہیں "spearphishing" کہتے ہیں۔ تصور کریں کہ آپ کو اپنے انکل بورس کی جانب سے ایک ای میل موصول ہوتی ہے جو یہ کہتی ہو کہ اس ای میل میں ان کے بچوں کی تصاویر ہیں ۔ چونکہ بورس کے بچے بھی ہیں اور ایسے لگ بھی رہا ہے کہ وہ ای میل انہی کی جانب سے آئی ہے لہٰذا آپ اس ای میل کو کھول لیتے ہیں۔ جب آپ اسے کھول لیتے ہیں تو اس میں ایک PDF document نتھی ہوتا ہے جب آپ اسے بھی کھول لیتے ہیں تو بورس کے بچوں کی تصاویر کے ساتھ خاموشی سے آپ کی ڈیوائس میں مالویئر بھی انسٹال ہوجاتا ہے جس سے آپ کی جاسوسی بھی ہوسکتی ہے۔ اب ہوتا کیا ہے کہ انکل بورس نے آپ کو ایسی کوئی ای میل بھیجی ہی نہیں ہوتی لیکن جو کوئی بھی آپ اور آپ کے انکل بورس کو جانتا ہوگا اور یہ بھی جانتا ہوگا کہ انکل بورس کے بچے بھی ہیں اس حملہ آور نے ہی یہ سب کیا ہوگا۔ اپنے PDF reader کو چلانے کیلئے آپ نے جس PDF document پر کلک کیا ہوتا ہے اس سافٹ ویئر میں موجود bug سے فائدہ اٹھا کر اس کا کوڈ چلا دیتےہیں۔ مزید برآں آپ کو ایک PDF دکھا کر آپ کے کمپیوٹر میں مالویئر ڈاؤن لوڈ کر دیا جاتا ہے۔ اب مالویئر آپ کے تمام رابطوں کی تفصیل اڑا لیتا ہے اور آپ کی ڈیوائس کے کیمرے اور مائیکروفون کے ذریعے سے آپ کو دیکھ اور سن سکتا ہے۔
ان phishing حملوں سے بچنے کیلئے کبھی بھی کسی ایسے لنک پر کلک نہ کریں اور نہ ہی ایسی attachment کو کھولیں جو تصدیق شدہ نہ ہوں۔ لیکن یہ مشورہ بہت سے لوگوں کیلئے غیر حقیقی ہے۔ مندرجہ ذیل چند طریقوں کے بارے میں بتایا جارہا ہے جن سے phishing سے بچاؤ کیا جاسکتا ہے۔
ایک فشنگ حملے کے خلاف حفاظتی مدد کیسے لیں anchor link
اپنے سافٹ ویئر کو اپ ڈیٹ رکھیں anchor link
Phishing حملے جن میں مالویئر کا استعمال ہوتا ہے اکثر سافٹ ویئر bugs پر انحصار کرتے ہیں تاکہ آپ کی مشین پہ مالویئر داخل کیا جائے۔ عموماً ایک بار bug کا پتہ چل جائے تو سافٹ ویئر بنانے والا اس bug کو ختم کرنے کیلئے اپ ڈیٹ متعارف کروا دیتا ہے۔ اس کا مطلب یہ ہے کہ گذشتہ سافٹ ویئر صرف عوامی قسم کے bugs سے واقفیت رکھتا ہے جو کہ مالویئر انسٹال ہونے میں مدد بھی دے سکتے ہیں۔ لہٰذا اپنا سافٹ ویئر اپ ٹو ڈیٹ رکھیں تاکہ مالویئر حملوں کے خدشات کم سے کم ہوں۔
خود کار طریقے سے پر ہونے والے Password managers کا استعمال anchor link
Password managers جو پاس ورڈز کو خود کار طریقے سے پر کرتے ہیں وہ ان سائٹس کا تعاقب کرتے ہیں جہاں سے ان پاس ورڈز کا تعلق ہوتا ہے۔ حالانکہ جعلی لاگ اِن پیجز کے ذریعے انسان کو آسانی سے پھانسا جا سکتا ہے جبکہ password managers کو اس طرح نہیں پھنسایا جا سکتا۔ اگر آپ ایک ایسا password manager استعمال کر رہے ہیں جو خود کار بھرائی یعنی auto-fill سے انکار کرتا ہے (ان میں شامل آپ کے براؤزر میں پہلے سے موجود پاس ورڈ منیجر بھی ہے) تو جس سائٹ پر آپ موجود ہیں اس کیلئے آپ کو پس و پیش کا مظاہرہ کرنا چاہئے اور اسے ڈبل چیک کرلینا چاہئے۔ ابھی تک یہی بہتر ہے کہ برتتیبی سے بنائے گئےپاس ورڈز کا استعمال کریں تاکہ آپ لازمی طور پر خود کار بھرائی والے یا auto-fill پر انحصار کریں اور جعلی لاگ اِن پیجز میں اپنا پاس ورڈ لکھنے سے گریز کریں۔
ارسال کنندگان سے ای میلز کی تصدیق کریں anchor link
کسی ای میل میں فشنگ حملے کے تعین کرنے کا ایک طریقہ درحقیقت اس شخص سے رابطہ کر کے پوچھنا بھی ہوتا ہے جس نے اس ای میل کو ایک مختلف چینل سے بھیجا ہوتا ہے۔ اگر ای میل مبینہ طور پر آپ کے بنک سے بھیجی گئی تھی توبجائے اس ای میل کے کسی لنک پر کلک کریں آپ بنک فون کرکے یا بنک کی ویب سائٹ پر جا کر پوچھ سکتے ہیں۔ اسی طرح بجائے اس کے کہ انکل بورس کی جانب سے بھیجی گئی کسی اٹیچمنٹ کو کھولنے سے پہلے آپ ان کو فون کرکے ان سے پوچھیں کہ آیا انہوں نے خود اپنے بچوں کی تصاویر بھیجی ہیں۔
مشکوک دستاویزات کو Goggle Drive میں کھولئے anchor link
بعض لوگ نا معلوم اشخاص کی طرف سے منسلک دستاویزات کے حصول کی توقع کرتے ہیں۔ مثلاً صحافی عام طور پر کئی ذرائع سے دستاویزات حاصل کرتے ہیں۔ لیکن اس بات کی تصدیق مشکل ہوسکتی ہے کہ آنے والی Word document, Excel spreadsheet, یا PDF فائل malicious نہیں ہے۔
ان صورتوں میں ڈاؤن لوڈ ہوئی فائل پہ ڈبل کلک نہ کریں۔ بلکہ اسے Google Drive یا کسی اور آن لائن document reader پہ اپ لوڈ کریں۔ ایسا کرنے سے آپ کی دستاویز کسی image یا HTML میں تبدیل ہو جاتی ہے، جویقینی طور پر آپ کی مشین میں مالویئر انسٹال ہونے سے بچالیتی ہے۔ اگر آپ نئے سافٹ ویئر کو سمجھنے میں آرام محسوس کرتے ہیں اور اگر اس بات پر رضامند ہیں کہ ایک ایسا نیا ماحول ترتیب دینے میں اپنا وقت گزارنا چاہتے ہیں جس میں آپ اپنی ای میلز یا بیرونی دستاویزات پڑھ سکیں تو ایسے وقف شدہآپریٹنگ سسٹم ترتیب دیئے گئے ہیں جو مالویئر کو ایک حد تک محدود کر دیتے ہیں۔ TAILS ایک ایسا Linux پر انحصار کرنے والا آپریٹنگ سسٹم ہے جسے آپ استعمال کرنے کے بعد وہ خود اپنے نشانات مٹا دیتا ہے۔ Qubes بھی ایک ایسا ہی Linux پر انحصار کرنے والا آپریٹنگ سسٹم ہے جو بڑی احتیاط سےکسی بھی مالویئر کے اثرات کو محدود کرکے ایپلی کیشنز کو علیحدہ کرتا ہےتاکہ وہ ایک دوسرے میں الجھ نہ پائیں۔ یہ دونوں آپریٹنگ سسٹم لیپ ٹاپ یا ڈیسک ٹاپ کمپیوٹروں کیلئے ڈیزائن کئے گئے ہیں۔
اس کے علاوہ آپ VirusTotal جیسی آن لائن سروس پر بھی مشکوک links اور فائلیں بھیج سکتے ہیں جو انہیں مختلف اینٹی وائرس انجن سے چیک کرکے نتائج کی رپورٹ دیتی ہیں۔ یہ کوئی مکمل ضابطہ نہیں ہے کبھی کبھار اینٹی وائرس نئے مالویئرز یا حدف زدہ حملوں کا پتہ چلانے میں ناکام بھی ہوجاتے ہیں لیکن کچھ نہ ہونے سے کچھ ہونا بہتر ہے۔
کوئی بھی فائل یا لنک جو آپ کسی عوامی ویب سائٹ سے اپ لوڈ کرتے ہیں جیسا کہ VirusTotal یا Google Drive تو انہیں کوئی بھی دیکھ سکتا ہے جیسا کہ اس کمپنی کیلئے کوئی کام کرنے والا یا ممکنہ طور پر ایسا کوئی شخص جس کی رسائی اس ویب سائٹ تک ہو۔ اگر کسی فائل میں کوئی ایسی معلومات ہوں جو حساس یا مقدم نوعیت کے رابطوں پر مبنی ہوں تو آپ متبادل پہ غور کر سکتے ہیں۔
لاگ اِن ہونے میں Universal 2nd Factor (U2F) Key کا استعمال anchor link
بعض سائٹس فِشِنگ کارروائیوں سے بچانے کیلئے آپ کو جدید صلاحیتوں سے لیس ایک خاص ہارڈویئر ٹوکن استعمال کرنے کی اجازت دیتی ہیں۔ یہ ٹوکن (یا ’’کیز‘‘) آپ کے براؤزر سے منسلک ہوجاتے ہیں تاکہ سائٹ میں لاگ اِن ہونے کیلئے سائٹ سے جڑی مراسلت قائم ہو۔ اسے Universal 2nd Factor کہا جاتا ہے کیونکہ لاگ اِن میں آپ کے passphrase کے اضافے سے دوسرا تصدیقی طریقہ مانگنے کا یہی ایک معیاری راستہ ہے۔ آپ حسبِ معمول لاگ اِن ہوں اور (تجویز کی صورت میں) key کو اپنے کمپیوٹر یا سمارٹ فون سے منسلک کریں اور لاگ اِن ہونے کے بٹن کو دبائیں۔ اگر آپ کسی فِشِنگ سائٹ پر ہیں تو براؤزر جان لے گا کہ قانونی یا جائز سائٹ پہ قائم کردہ تصدیقی مراسلات کے ساتھ آپ کو لاگ اِن نہیں کرنا۔ اس کا مطلب یہ ہوا کہ چاہے نقصان پہنچانے والا فِشر آپ سے چالیں چلتا ہو اور آپ کا پاس فریز اس نے چرا لیا ہو پھر بھی وہ آپ کے اکاؤنٹ کو کمزور نہیں کر پائے گا۔ Yubico (ایسی keys U2F سے متعلق مزید معلومات فراہم کرتا ہے۔ بنانے والا ایک)
عام طور پر اسے two-factor authentication کے ساتھ الجھانا نہیں چاہئے، جوشاید فِشِنگ تحفظ فراہم نہ کرپائے ۔
ای میل میں موجود ہدایات کے مواد سے محتاط رہیں anchor link
بعض phising ای میلز ایسی بھی ہوتی ہیں جو یہ دعوٰی کرتی ہیں کہ انہیں کمپیوٹر سپورٹ ڈیپارٹمنٹ یا ٹیکنالوجی کمپنی کی جانب سے بھیجا گیا ہے اور آپ سے آپ کے پاس ورڈز کی مانگ کیساتھ جواب چاہتی ہیں یا ان میں آپ کے کمپیوٹر پر کمپیوٹر صحیح کرنے والے شخص کو خود کار طریقے سے رسائی حاصل کرنے کی اجازت دینے یا آپ سے آپ کے کمپیوٹر پر موجود بعض دفاعی فیچرز کو وقتی طور پر غائب کرنے کیلئے کہتی ہیں۔ ای میل کچھ اس انداز سے گھڑی ہوئی تفصیلات بھی بیان کی جاتی ہیں کہ ایسا کرنا کیوں ضروری ہے جیسا کہ یہ دعوٰی کرنا کہ آپ کا ای میل باکس بھر چکا ہے یا یہ کہ آپ کا کمپیوٹر کو hack کر لیا گیا ہے۔ بد قسمتی سے ایسی دھکہ دہی پر مبنی ہدایات پر عمل کرنا آپ کی دفاعی حالت کیلئے خطرناک ہو سکتا ہے۔ خاص طور پر کسی کو بھی تکنیکی ڈیٹا دینے یا ایسی من گھڑت تکنیکی ہدایات پر عمل کرنے کے بارے میں محتاط رہیں جب تک کہ آپ کو مکمل یقین نہ ہوجائے کہ جن ذرائع سے وہ ہدایات یا معلومات آئی ہیں وہ ذرائع اصلی اور حقیقی ہیں۔
اگر کسی ای میل میں بھیجا گیا ایسا لنک یا فائل جو مکمل طور پر مشکوک نظر آرہی ہو تو اسے تب تک نہ کھولیں جب تک کہ آپ حالات سے اور اوپر دی گئے تجاویز سے پوری طرح مستفید نہ ہوں اور جب تک کہ آپ کو مکمل اعتماد نہ ہو کہ یہ ہدایات یا دستاویز وغیرہ malicious نہیں ہیں۔