By Gmail यूजर्स पर नए तरह के स्कैम का खतरा मंडराने लगा है। एक X यूजर ने हाल ही में जीमेल प्लेटफॉर्म के लूपहोल के जरिए होने वाले फिशिंग स्कैम को उजागर किया है।
अगर आप भी Gmail का इस्तेमाल करते हैं, तो अब आपको और ज्यादा सतर्क रहने की जरूरत है। वजह है एक नया और बेहद खतरनाक फिशिंग स्कैम, जो देखने में इतना असली लगता है कि कोई भी आसानी से धोखा खा सकता है। Google ने खुद इस खतरे की पुष्टि की है और यूजर्स को चेताया है कि ऐसे मेल्स से बचकर रहें, वरना आपके Gmail अकाउंट की पूरी एक्सेस साइबर अपराधियों के हाथ लग सकती है।
क्या है नया स्कैम और कैसे करता है काम?
हाल ही में एक सॉफ्टवेयर डेवलपर निक जॉनसन ने इस स्कैम को लेकर X (पहले ट्विटर) पर जानकारी साझा की। उन्हें एक ईमेल मिला जो “no-reply@google.com” से आया हुआ लग रहा था। मेल में लिखा था कि उनके Google अकाउंट से जुड़े डेटा के लिए एक समन जारी किया गया है। साथ ही एक लिंक भी दिया गया था, जो देखने में बिलकुल Google सपोर्ट पेज जैसा लग रहा था।
लेकिन असल में वह एक फर्जी साइट थी, जो Google के ही प्लेटफॉर्म sites.google.com पर होस्ट की गई थी। यानी स्कैमर्स ने इतनी चालाकी से काम किया कि लिंक असली लगे और यूजर्स का भरोसा जीत सके।
क्या है सबसे खतरनाक बात?
यह मेल Google के DomainKeys Identified Mail (DKIM) जैसे सिक्योरिटी चेक्स को पास कर जाता है, जिससे यह असली जैसा ही नजर आता है। इतना ही नहीं, यह उसी Gmail थ्रेड में आता है जिसमें Google के असली अलर्ट आते हैं, जिससे आम यूजर के लिए फर्क करना मुश्किल हो जाता है।
यूजर्स जैसे ही मेल में दिए गए लिंक पर क्लिक करते हैं, वे एक ऐसे पेज पर पहुंचते हैं जो हूबहू Google का लॉग-इन पेज लगता है। वहां जैसे ही आप अपनी डिटेल्स डालते हैं, साइबर हमलावरों के पास आपकी पूरी जानकारी पहुंच जाती है।
Google ने दी प्रतिक्रिया
Google ने इस अटैक को स्वीकारते हुए कहा है कि यह एक नए तरह का OAuth और DKIM का दुरुपयोग है। कंपनी ने कहा है कि वह इस पर काम कर रही है और सिक्योरिटी को और मजबूत बनाने के लिए जरूरी कदम उठाए जा रहे हैं। साथ ही, Google सभी यूजर्स को टू-फैक्टर ऑथेंटिकेशन (2FA) ऑन करने और पासकी (Passkey) जैसे सुरक्षित विकल्प अपनाने की सलाह दे रहा है, ताकि इस तरह के फिशिंग अटैक्स से बचा जा सके।
यूजर्स कैसे रहें सेफ?
- किसी भी संदिग्ध ईमेल में दिए गए लिंक पर सीधे क्लिक न करें।
- Google या किसी भी सेवा के नाम पर आने वाले मेल को ध्यान से पढ़ें और डोमेन जरूर चेक करें।
- अगर मेल में कोई अलर्ट है, तो सीधे Google की वेबसाइट या ऐप खोलकर खुद लॉगिन करके जानकारी चेक करें।
- 2FA और Passkey जैसी सिक्योरिटी सेटिंग्स को जरूर एक्टिवेट करें।
