کیسے کریں: Phishing حملوں سے بچاؤ

آخری تازہ کاری: November 26, 2018

This page was translated from English. The English version may be more up-to-date.

اپنی ڈیجیٹل حفاظت کی راہ میں آگے بڑھتے ہوئے آپ کا ٹکراؤ ایسے برے کرداروں کے ساتھ ہوسکتا ہے جو آپ کے حفاظتی مقاصد کی راہ میں رکاوٹ بن سکتے ہیں۔ ایسے ہی برے کرداروں کو ہم مخالفین یا حملہ آور کہتے ہیں۔ جب کوئی حملہ آور کوئی ایسی ای میل یا کوئی ایسا لنک بھیج دے جو بظاہر تو بے ضرر سا نظر آتا ہے لیکن اصل میں وہ نقصان دہ ہوتا ہے اور انہیں phishing کہا جاتا ہے۔

phishing حملہ اکثر ان پیغامات کے ساتھ آپ کو قائل کرتے ہوئے دکھائی دیتے ہیں:

اس لنک پر کلک کریں
ڈاکیومنٹ کھولئے
اپنی ڈیوائس میں اس سافٹ ویئر کو انسٹال کریں، یا
دی گئی ویب سائٹ میں اپنا نام اور پاس ورڈ داخل کیجئے تاکہ اسے قانونی طور پر دکھایا جائے۔

Phishing حملے نہایت چالاکی سے آپ کا پاس ورڈ ہتھیا سکتے ہیں یا آپ کی ڈیوائس میں کوئی مالویئر انسٹال کرنے کی ایک چال ہوسکتی ہے۔ مالویئر استعمال کرکے حملہ آور آپ کی ڈیوائس پر خود کار طریقے سے قابو پاسکتے ہیں آپ کی معلومات چوری کرسکتے ہیں یا آپ پر جاسوسی کر سکتے ہیں۔

اس رہنمائی سے آپ کو مدد ملے گی کہ phishing کہ حملوں کی نشاندہی کیسے کرنی ہے اور کن طریقوں کے استعمال سے آپ خود کو ان حملوں سے بچا سکتے ہیں۔

Phishing حملوں کی اقسام anchor link

پاس ورڈز کیلئے Phishing المعروف Credential Harvesting anchor link

Phishers کوئی سا گمراہ کن لنک آپ کو بھیج کر آپ سے آپ کے پاس ورڈز لینے کی چال چل سکتے ہیں۔ کسی ایک پیغام میں آپ کو ویب ایڈریسز دے کر آپ کو کسی سائٹ میں جانے کا کہیں گے لیکن اصل میں وہ کچھ اور ہوتا ہے۔ آپ اپنے کمپیوٹر پر آپ کو اکثر ایک خاص URL لنک پر نظر آتا ہوگا۔ لیکن آپ کی نظر کو دھوکا دیتے ہوئے مشہور domain names میں الفاظ کی ردوبدل کر کے یعنی کبھی ایک ہی حرف کو دوبار لکھ کر انہیں جائز بنانے کی کوشش کرنا تاکہ آپ توجہ کئے بغیر ان URL کو کلک کردیں جیسے Gmail یا Dropbox. ایسی جعلی نقل لاگ اِن سکرین اتنی معقول لگتی ہیں کہ وہ آپ کو اپنا usernameاور پاس ورڈ تحریر کرنے کی رغبت دلاتے ہیں۔ اگر آپ ایسا کر دیں گے تو سمجھ لیجئے کہ آپ نے اپنی لاگ اِن تصدیق حملہ آوروں کو بھیج دی ہیں۔

لہٰذا کوئی پاس ورڈ لکھتے وقت ویب براؤزر کے ایڈریس بار کو ایک بار غور سے دیکھ لیجئے۔ اس سے آپ کو مطلوبہ پیج کے صحیح ڈومین نیم کا پتہ چل جائے گا۔ اگر دکھائی دینے والا ڈومین نیم اصل الفاظ کی صورت میں نہ ہو تو آگے مت بڑھئے! یاد رکھئے کہ کسی پیج پر مطلوبہ علامت یا logo کا دکھائی دینا اس کے اصل ہونے کی تصدیق نہیں کرتا۔ کوئی بھی آپ کو اصل ویب سائٹ کا دھوکہ دینے کیلئے ایسے logo یا ڈیزائن کی نقل اپنی پیج پر لگا سکتا ہے۔

بعض phishers آپ کو بے وقوف بنانے کیلئے مشہور ویب ایڈریسز کی نقل کرتے ہوئے ویسی ہی دکھائی دینے والے ویب ایڈریسز کا استعمال کرتے ہیں جیسے https://wwwpaypal.com/ اور https://www.paypal.com/ کچھ مختلف دکھائی دیتی ہیں۔ بالکل ایسے ہی https://www.paypaI.com/ میں چھوٹے L کی بجائے بڑا i (I) لکھ دیتے ہیں جو کہ اصل ویب ایڈریس یعنی https://www.paypal.com/ سے ذرا مختلف ہوجاتا ہے۔ کچھ لوگ بڑے URLs پڑھنے یا لکھنے میں آسان بنانے کیلئے مختصر URL کا استعمال کرتے ہیں لیکن ان کا استعمال بھی نقصان دہ منازل یا malicious مقامات کیلئے استعمال ہو سکتا ہے۔ اگر آپ مختصر URL جیسے t.co کے لنک کو Twitter سے اٹھانا چاہتے ہیں تو پہلے اسے https://www.checkshorturl.com/ جیسی ویب سائٹس میں ڈال کر دیکھ لیں کہ وہ مختصر URL کسی نقصان دہ مقام کی طرف تو نہیں جارہی۔

یاد رکھئے، ای میلز کو دوسرا روپ دینا آسان اس لئے ہوتا ہے تاکہ وہ کسی بھی غلط مقصد کیلئے کسی اور ایڈریس پہ لگائی جا ئیں۔ اس کا مطلب یہ ہے کہ ارسال کنندہ کے ظاہری ای میل ایڈریس کو دیکھ لینا ہی اس تصدیق کے لئے کافی ہی نہیں ہے کہ وہ ای میل حقیقت میں مطلوبہ ارسال کنندہ کی طرف سے ہی بھیجی گئی ہو جیسا کہ نظر آرہا ہوتا ہے۔

Spearphishing anchor link

بعض phishing حملے ایک بہت بڑا جال بچھاتے ہیں۔ کوئی حملہ آور ایسی ای میلزسینکڑوں ہزاروں صارفین کو بھیج سکتا ہے جو ایک دلچسپ ویڈیو، اہم ترین دستاویز یا کسی بل کے مسئلے کا بظاپر دعوٰی کرتی ہوں۔

لیکن بسا اوقات حملہ آور phishing حملے کسی فرد کو پہلے سے جانتے ہوئے اسے ہدف بنا کر کرتے ہیں۔ انہیں "spearphishing" کہتے ہیں۔ تصور کریں کہ آپ کو اپنے انکل بورس کی جانب سے ایک ای میل موصول ہوتی ہے جو یہ کہتی ہو کہ اس ای میل میں ان کے بچوں کی تصاویر ہیں ۔ چونکہ بورس کے بچے بھی ہیں اور ایسے لگ بھی رہا ہے کہ وہ ای میل انہی کی جانب سے آئی ہے لہٰذا آپ اس ای میل کو کھول لیتے ہیں۔ جب آپ اسے کھول لیتے ہیں تو اس میں ایک PDF document نتھی ہوتا ہے جب آپ اسے بھی کھول لیتے ہیں تو بورس کے بچوں کی تصاویر کے ساتھ خاموشی سے آپ کی ڈیوائس میں مالویئر بھی انسٹال ہوجاتا ہے جس سے آپ کی جاسوسی بھی ہوسکتی ہے۔ اب ہوتا کیا ہے کہ انکل بورس نے آپ کو ایسی کوئی ای میل بھیجی ہی نہیں ہوتی لیکن جو کوئی بھی آپ اور آپ کے انکل بورس کو جانتا ہوگا اور یہ بھی جانتا ہوگا کہ انکل بورس کے بچے بھی ہیں اس حملہ آور نے ہی یہ سب کیا ہوگا۔ اپنے PDF reader کو چلانے کیلئے آپ نے جس PDF document پر کلک کیا ہوتا ہے اس سافٹ ویئر میں موجود bug سے فائدہ اٹھا کر اس کا کوڈ چلا دیتےہیں۔ مزید برآں آپ کو ایک PDF دکھا کر آپ کے کمپیوٹر میں مالویئر ڈاؤن لوڈ کر دیا جاتا ہے۔ اب مالویئر آپ کے تمام رابطوں کی تفصیل اڑا لیتا ہے اور آپ کی ڈیوائس کے کیمرے اور مائیکروفون کے ذریعے سے آپ کو دیکھ اور سن سکتا ہے۔

ان phishing حملوں سے بچنے کیلئے کبھی بھی کسی ایسے لنک پر کلک نہ کریں اور نہ ہی ایسی attachment کو کھولیں جو تصدیق شدہ نہ ہوں۔ لیکن یہ مشورہ بہت سے لوگوں کیلئے غیر حقیقی ہے۔ مندرجہ ذیل چند طریقوں کے بارے میں بتایا جارہا ہے جن سے phishing سے بچاؤ کیا جاسکتا ہے۔

ایک فشنگ حملے کے خلاف حفاظتی مدد کیسے لیں anchor link

اپنے سافٹ ویئر کو اپ ڈیٹ رکھیں anchor link

Phishing حملے جن میں مالویئر کا استعمال ہوتا ہے اکثر سافٹ ویئر bugs پر انحصار کرتے ہیں تاکہ آپ کی مشین پہ مالویئر داخل کیا جائے۔ عموماً ایک بار bug کا پتہ چل جائے تو سافٹ ویئر بنانے والا اس bug کو ختم کرنے کیلئے اپ ڈیٹ متعارف کروا دیتا ہے۔ اس کا مطلب یہ ہے کہ گذشتہ سافٹ ویئر صرف عوامی قسم کے bugs سے واقفیت رکھتا ہے جو کہ مالویئر انسٹال ہونے میں مدد بھی دے سکتے ہیں۔ لہٰذا اپنا سافٹ ویئر اپ ٹو ڈیٹ رکھیں تاکہ مالویئر حملوں کے خدشات کم سے کم ہوں۔

خود کار طریقے سے پر ہونے والے Password managers کا استعمال anchor link

Password managers جو پاس ورڈز کو خود کار طریقے سے پر کرتے ہیں وہ ان سائٹس کا تعاقب کرتے ہیں جہاں سے ان پاس ورڈز کا تعلق ہوتا ہے۔ حالانکہ جعلی لاگ اِن پیجز کے ذریعے انسان کو آسانی سے پھانسا جا سکتا ہے جبکہ password managers کو اس طرح نہیں پھنسایا جا سکتا۔ اگر آپ ایک ایسا password manager استعمال کر رہے ہیں جو خود کار بھرائی یعنی auto-fill سے انکار کرتا ہے (ان میں شامل آپ کے براؤزر میں پہلے سے موجود پاس ورڈ منیجر بھی ہے) تو جس سائٹ پر آپ موجود ہیں اس کیلئے آپ کو پس و پیش کا مظاہرہ کرنا چاہئے اور اسے ڈبل چیک کرلینا چاہئے۔ ابھی تک یہی بہتر ہے کہ برتتیبی سے بنائے گئےپاس ورڈز کا استعمال کریں تاکہ آپ لازمی طور پر خود کار بھرائی والے یا auto-fill پر انحصار کریں اور جعلی لاگ اِن پیجز میں اپنا پاس ورڈ لکھنے سے گریز کریں۔

ارسال کنندگان سے ای میلز کی تصدیق کریں anchor link

کسی ای میل میں فشنگ حملے کے تعین کرنے کا ایک طریقہ درحقیقت اس شخص سے رابطہ کر کے پوچھنا بھی ہوتا ہے جس نے اس ای میل کو ایک مختلف چینل سے بھیجا ہوتا ہے۔ اگر ای میل مبینہ طور پر آپ کے بنک سے بھیجی گئی تھی توبجائے اس ای میل کے کسی لنک پر کلک کریں آپ بنک فون کرکے یا بنک کی ویب سائٹ پر جا کر پوچھ سکتے ہیں۔ اسی طرح بجائے اس کے کہ انکل بورس کی جانب سے بھیجی گئی کسی اٹیچمنٹ کو کھولنے سے پہلے آپ ان کو فون کرکے ان سے پوچھیں کہ آیا انہوں نے خود اپنے بچوں کی تصاویر بھیجی ہیں۔

مشکوک دستاویزات کو Goggle Drive میں کھولئے anchor link

بعض لوگ نا معلوم اشخاص کی طرف سے منسلک دستاویزات کے حصول کی توقع کرتے ہیں۔ مثلاً صحافی عام طور پر کئی ذرائع سے دستاویزات حاصل کرتے ہیں۔ لیکن اس بات کی تصدیق مشکل ہوسکتی ہے کہ آنے والی Word document, Excel spreadsheet, یا PDF فائل malicious نہیں ہے۔

ان صورتوں میں ڈاؤن لوڈ ہوئی فائل پہ ڈبل کلک نہ کریں۔ بلکہ اسے Google Drive یا کسی اور آن لائن document reader پہ اپ لوڈ کریں۔ ایسا کرنے سے آپ کی دستاویز کسی image یا HTML میں تبدیل ہو جاتی ہے، جویقینی طور پر آپ کی مشین میں مالویئر انسٹال ہونے سے بچالیتی ہے۔ اگر آپ نئے سافٹ ویئر کو سمجھنے میں آرام محسوس کرتے ہیں اور اگر اس بات پر رضامند ہیں کہ ایک ایسا نیا ماحول ترتیب دینے میں اپنا وقت گزارنا چاہتے ہیں جس میں آپ اپنی ای میلز یا بیرونی دستاویزات پڑھ سکیں تو ایسے وقف شدہآپریٹنگ سسٹم ترتیب دیئے گئے ہیں جو مالویئر کو ایک حد تک محدود کر دیتے ہیں۔ TAILS ایک ایسا Linux پر انحصار کرنے والا آپریٹنگ سسٹم ہے جسے آپ استعمال کرنے کے بعد وہ خود اپنے نشانات مٹا دیتا ہے۔ Qubes بھی ایک ایسا ہی Linux پر انحصار کرنے والا آپریٹنگ سسٹم ہے جو بڑی احتیاط سےکسی بھی مالویئر کے اثرات کو محدود کرکے ایپلی کیشنز کو علیحدہ کرتا ہےتاکہ وہ ایک دوسرے میں الجھ نہ پائیں۔ یہ دونوں آپریٹنگ سسٹم لیپ ٹاپ یا ڈیسک ٹاپ کمپیوٹروں کیلئے ڈیزائن کئے گئے ہیں۔

اس کے علاوہ آپ VirusTotal جیسی آن لائن سروس پر بھی مشکوک links اور فائلیں بھیج سکتے ہیں جو انہیں مختلف اینٹی وائرس انجن سے چیک کرکے نتائج کی رپورٹ دیتی ہیں۔ یہ کوئی مکمل ضابطہ نہیں ہے کبھی کبھار اینٹی وائرس نئے مالویئرز یا حدف زدہ حملوں کا پتہ چلانے میں ناکام بھی ہوجاتے ہیں لیکن کچھ نہ ہونے سے کچھ ہونا بہتر ہے۔

کوئی بھی فائل یا لنک جو آپ کسی عوامی ویب سائٹ سے اپ لوڈ کرتے ہیں جیسا کہ VirusTotal یا Google Drive تو انہیں کوئی بھی دیکھ سکتا ہے جیسا کہ اس کمپنی کیلئے کوئی کام کرنے والا یا ممکنہ طور پر ایسا کوئی شخص جس کی رسائی اس ویب سائٹ تک ہو۔ اگر کسی فائل میں کوئی ایسی معلومات ہوں جو حساس یا مقدم نوعیت کے رابطوں پر مبنی ہوں تو آپ متبادل پہ غور کر سکتے ہیں۔

لاگ اِن ہونے میں Universal 2^nd Factor (U2F) Key کا استعمال anchor link

بعض سائٹس فِشِنگ کارروائیوں سے بچانے کیلئے آپ کو جدید صلاحیتوں سے لیس ایک خاص ہارڈویئر ٹوکن استعمال کرنے کی اجازت دیتی ہیں۔ یہ ٹوکن (یا ’’کیز‘‘) آپ کے براؤزر سے منسلک ہوجاتے ہیں تاکہ سائٹ میں لاگ اِن ہونے کیلئے سائٹ سے جڑی مراسلت قائم ہو۔ اسے Universal 2nd Factor کہا جاتا ہے کیونکہ لاگ اِن میں آپ کے passphrase کے اضافے سے دوسرا تصدیقی طریقہ مانگنے کا یہی ایک معیاری راستہ ہے۔ آپ حسبِ معمول لاگ اِن ہوں اور (تجویز کی صورت میں) key کو اپنے کمپیوٹر یا سمارٹ فون سے منسلک کریں اور لاگ اِن ہونے کے بٹن کو دبائیں۔ اگر آپ کسی فِشِنگ سائٹ پر ہیں تو براؤزر جان لے گا کہ قانونی یا جائز سائٹ پہ قائم کردہ تصدیقی مراسلات کے ساتھ آپ کو لاگ اِن نہیں کرنا۔ اس کا مطلب یہ ہوا کہ چاہے نقصان پہنچانے والا فِشر آپ سے چالیں چلتا ہو اور آپ کا پاس فریز اس نے چرا لیا ہو پھر بھی وہ آپ کے اکاؤنٹ کو کمزور نہیں کر پائے گا۔ Yubico (ایسی keys U2F سے متعلق مزید معلومات فراہم کرتا ہے۔ بنانے والا ایک)

عام طور پر اسے two-factor authentication کے ساتھ الجھانا نہیں چاہئے، جوشاید فِشِنگ تحفظ فراہم نہ کرپائے ۔

ای میل میں موجود ہدایات کے مواد سے محتاط رہیں anchor link

بعض phising ای میلز ایسی بھی ہوتی ہیں جو یہ دعوٰی کرتی ہیں کہ انہیں کمپیوٹر سپورٹ ڈیپارٹمنٹ یا ٹیکنالوجی کمپنی کی جانب سے بھیجا گیا ہے اور آپ سے آپ کے پاس ورڈز کی مانگ کیساتھ جواب چاہتی ہیں یا ان میں آپ کے کمپیوٹر پر کمپیوٹر صحیح کرنے والے شخص کو خود کار طریقے سے رسائی حاصل کرنے کی اجازت دینے یا آپ سے آپ کے کمپیوٹر پر موجود بعض دفاعی فیچرز کو وقتی طور پر غائب کرنے کیلئے کہتی ہیں۔ ای میل کچھ اس انداز سے گھڑی ہوئی تفصیلات بھی بیان کی جاتی ہیں کہ ایسا کرنا کیوں ضروری ہے جیسا کہ یہ دعوٰی کرنا کہ آپ کا ای میل باکس بھر چکا ہے یا یہ کہ آپ کا کمپیوٹر کو hack کر لیا گیا ہے۔ بد قسمتی سے ایسی دھکہ دہی پر مبنی ہدایات پر عمل کرنا آپ کی دفاعی حالت کیلئے خطرناک ہو سکتا ہے۔ خاص طور پر کسی کو بھی تکنیکی ڈیٹا دینے یا ایسی من گھڑت تکنیکی ہدایات پر عمل کرنے کے بارے میں محتاط رہیں جب تک کہ آپ کو مکمل یقین نہ ہوجائے کہ جن ذرائع سے وہ ہدایات یا معلومات آئی ہیں وہ ذرائع اصلی اور حقیقی ہیں۔

اگر کسی ای میل میں بھیجا گیا ایسا لنک یا فائل جو مکمل طور پر مشکوک نظر آرہی ہو تو اسے تب تک نہ کھولیں جب تک کہ آپ حالات سے اور اوپر دی گئے تجاویز سے پوری طرح مستفید نہ ہوں اور جب تک کہ آپ کو مکمل اعتماد نہ ہو کہ یہ ہدایات یا دستاویز وغیرہ malicious نہیں ہیں۔