फ़िशिंग हमले बदल गए हैं। अब उन्हें आपका पासवर्ड चुराने या MFA को बायपास करने की ज़रूरत नहीं है। साइबर अपराधी आपको धोखा देने और एक दुर्भावनापूर्ण एप्लिकेशन को अधिकृत करने के लिए OAuth प्रोटोकॉल का शोषण करते हैं। ऐसा करने से, आप अनजाने में अपने डेटा तक पहुँच दे देते हैं, और MFA सक्रिय नहीं होता क्योंकि सहमति प्रक्रिया पारंपरिक प्रमाणीकरण के बाहर है। foro3d.com पर हम बताते हैं कि यह मूक खतरा कैसे काम करता है।
OAuth हमले के पीछे तकनीकी तंत्र 🛡️
हमला एक लिंक से शुरू होता है जो Google या Microsoft जैसी वैध सेवा का रूप धारण करता है। क्लिक करने पर, पीड़ित OAuth सहमति स्क्रीन पर रीडायरेक्ट हो जाता है, जहाँ ईमेल, संपर्कों या फ़ाइलों तक पहुँचने की अनुमति माँगी जाती है। भरोसेमंद उपयोगकर्ता स्वीकार कर लेता है। हमलावर को एक एक्सेस टोकन प्राप्त होता है जो उसे क्रेडेंशियल्स की आवश्यकता के बिना सेवा के API के साथ बातचीत करने की अनुमति देता है। लॉगिन की सुरक्षा के लिए डिज़ाइन किया गया MFA यहाँ हस्तक्षेप नहीं करता क्योंकि टोकन पहले ही प्रदान किया जा चुका है। बचाव प्रत्येक अनुरोधित अनुमति की समीक्षा करने पर निर्भर करता है।
सहमति: सुरक्षा का नया घूमने वाला दरवाज़ा 🚪
पता चला कि वर्षों तक MFA सेट करने और जटिल पासवर्ड का उपयोग करने के बाद भी, कमज़ोर कड़ी हमारा हर चमकती चीज़ पर क्लिक करने का उत्साह ही बनी हुई है। अब, आपकी चाबी चुराने के बजाय, वे एक सुंदर फॉर्म के साथ अनुमति माँगते हैं और आप, एक उदार मेज़बान की तरह, उनके लिए दरवाज़ा खोल देते हैं। आखिरकार, अगर आप विनम्रता से चाबियाँ माँग सकते हैं तो चोरी क्यों करें? विडंबना यह है कि MFA बिल्कुल शांत रहता है, जैसे कोई दरबान जिसे बताया गया हो कि आज उसकी छुट्टी है।