Computer >> कंप्यूटर ट्यूटोरियल >  >> नेटवर्किंग >> नेटवर्क सुरक्षा

नया Microsoft लॉगिन घोटाला अलर्ट:स्वयं को सुरक्षित रखें - पासवर्ड शामिल नहीं हैं

<पी> नया Microsoft लॉगिन घोटाला अलर्ट:स्वयं को सुरक्षित रखें - पासवर्ड शामिल नहीं हैं

<पी> 28 फरवरी, 2026, 2:30 अपराह्न ईएसटी पर प्रकाशित <पी> गेविन प्रौद्योगिकी व्याख्या, सुरक्षा, इंटरनेट, स्ट्रीमिंग और मनोरंजन वर्टिकल के सेगमेंट लीड, रियली यूज़फुल पॉडकास्ट के पूर्व सह-मेजबान और लगातार उत्पाद समीक्षक हैं। उनके पास डेवोन की पहाड़ियों से ली गई समकालीन लेखन की डिग्री है, पेशेवर लेखन का एक दशक से अधिक का अनुभव है, और उनका काम हाउ-टू गीक, विशेषज्ञ समीक्षा, विश्वसनीय समीक्षा, ऑनलाइन टेक टिप्स और हेल्प डेस्क गीक सहित अन्य पर दिखाई दिया है। गेविन ने सीधे फ्लोर से रिपोर्ट करने के लिए सीईएस, आईएफए, एमडब्ल्यूसी और अन्य तकनीकी-व्यापार शो में भाग लिया है और इस प्रक्रिया में सैकड़ों हजारों कदम उठाए हैं। वह जितना याद रखता है उससे कहीं अधिक हेडफोन, ईयरबड और मैकेनिकल कीबोर्ड की समीक्षा करता है, और प्रचुर मात्रा में चाय, बोर्ड गेम और फुटबॉल का आनंद लेता है। <पी> अधिकांश ऑनलाइन घोटाले अभी भी एक ही लक्ष्य के इर्द-गिर्द घूमते हैं:आपका पासवर्ड चुराना। हमें नकली लॉगिन पृष्ठों, संदिग्ध लिंक और हमारे खाते के क्रेडेंशियल्स को "सत्यापित" करने के लिए कहने वाले तत्काल ईमेल पर नजर रखने के लिए प्रशिक्षित किया गया है।

<पी> लेकिन Microsoft खाता हमलों की एक नई लहर अलग तरह से काम करती है। पीड़ित Microsoft की वास्तविक वेबसाइट पर लॉग इन करते हैं, वास्तविक सुरक्षा जांच का उपयोग करते हैं, और यहां तक कि बहु-कारक प्रमाणीकरण को सफलतापूर्वक पूरा करते हैं - फिर भी हमलावर अभी भी पहुंच प्राप्त करते हैं।

<पी> इस तकनीक को डिवाइस कोड फ़िशिंग के रूप में जाना जाता है , आपका पासवर्ड बिल्कुल भी नहीं चुराता है। इसके बजाय, यह आपको Microsoft की स्वयं की प्रमाणीकरण प्रणाली का बिल्कुल डिज़ाइन के अनुसार उपयोग करके स्वयं पहुंच प्रदान करने के लिए प्रेरित करता है।

डिवाइस कोड लॉगिन वास्तव में उपयोगी है

आपने शायद इसे पहले भी कई बार इस्तेमाल किया होगा

नया Microsoft लॉगिन घोटाला अलर्ट:स्वयं को सुरक्षित रखें - पासवर्ड शामिल नहीं हैं <पी> Microsoft, अन्य प्रमुख तकनीकी कंपनियों की तरह, डिवाइस प्राधिकरण प्रवाह नामक चीज़ का समर्थन करता है , जिसे आमतौर पर डिवाइस कोड लॉगिन के रूप में भी जाना जाता है। लेकिन इससे भी अधिक सामान्यतः, यह वह क्षण होता है जब, पूर्ण लॉगिन पृष्ठ के बजाय, आपको अपने डिवाइस पर एक मिलान लॉगिन कोड दिखाया जाता है जिसे आपको लॉगिन प्रक्रिया को पूरा करने के लिए मिलान करना या दर्ज करना होता है।

<पी> यह वास्तव में उपयोगी है, विशेष रूप से उन उपकरणों पर जो सीमित उपयोग वाले डिवाइस से कनेक्ट होने पर आसानी से पूर्ण लॉगिन पृष्ठ या उदाहरण प्रदर्शित नहीं कर सकते हैं। उदाहरण के लिए, आपने अपने स्मार्ट टीवी पर या अपने होटल के कमरे में टीवी से कनेक्ट करते समय इनका सामना किया होगा - दोनों प्रमुख उदाहरण हैं।

<पी> अधिकांश समय, यह प्रक्रिया पूरी तरह से सुरक्षित होती है, और इस प्रक्रिया में कुछ भी खतरनाक नहीं होता है। लेकिन यह सब एक विशिष्ट शोषण के साथ बदल जाता है।

<पी> नया Microsoft लॉगिन घोटाला अलर्ट:स्वयं को सुरक्षित रखें - पासवर्ड शामिल नहीं हैं संबंधित

यह लोकप्रिय सुरक्षा पद्धति वास्तव में हैकर्स को नहीं रोकती
<पी> हालाँकि उनका उपयोग हर जगह किया जाता है, लेकिन वे हमेशा काम नहीं करते हैं।

वैध सुविधाओं का उपयोग आपके विरुद्ध किया जा सकता है

यह एक सामान्य धारणा का शोषण करता है

<पी> डिवाइस कोड लॉगिन अविश्वसनीय रूप से उपयोगी है। हालाँकि, इसका फायदा उठाया जा सकता है क्योंकि डिवाइस लॉगिन प्रक्रियाएं स्वाभाविक रूप से मानती हैं कि कोड दर्ज करने वाले व्यक्ति ने अनुरोध शुरू किया है। आंशिक रूप से यहीं पर प्रक्रिया टूट जाती है।

<पी> यदि कोई हमलावर आपका ईमेल पता या ज्ञात संपर्क डेटा का कोई अन्य भाग जानता है, तो वे एक अद्वितीय सत्र शुरू करते हुए, अपने स्वयं के डिवाइस से डिवाइस लॉगिन अनुरोध शुरू कर सकते हैं। फिर, Microsoft (और अन्य तकनीकी कंपनियाँ) उस सत्र से जुड़ा एक वैध डिवाइस कोड उत्पन्न करता है।

<पी> यहीं पर यह पेचीदा हो जाता है। इसे स्वयं उपयोग करने का प्रयास करने के बजाय, हमलावर किसी अन्य प्रक्रिया के रूप में प्रच्छन्न होकर सीधे आपको कोड भेज सकता है, जिनमें से कई परिचित फ़िशिंग रणनीति को ध्यान में रखते हैं:

  • संदिग्ध गतिविधि का दावा करने वाला एक सुरक्षा अलर्ट
  • एक अत्यावश्यक Microsoft 365 अधिसूचना
  • टीमों के संदेश या आईटी समर्थन संदेश
  • व्यावसायिक या अन्य ईमेल अनुरोध
<पी> अनुरोध आपको आधिकारिक Microsoft लॉगिन पृष्ठ पर जाने और उनके खाते को "सुरक्षित" या "सत्यापित" करने के लिए दिए गए कोड को दर्ज करने का निर्देश देता है। यहीं पर शोषण का अगला चरण शुरू होता है। आप किसी नकली लॉगिन पृष्ठ या चतुराई से डिज़ाइन किए गए फ़िशिंग पोर्टल पर नहीं जा रहे हैं:यह एक वास्तविक Microsoft लॉगिन पृष्ठ है, और प्रमाणीकरण जाँच वास्तविक हैं।

<पी> आप सामान्य की तरह डिवाइस कोड लॉगिन प्रदान करते हैं, अनुरोध स्वीकार करते हैं, और महसूस करते हैं कि आपने अपना खाता सुरक्षित कर लिया है। लेकिन वास्तव में, आपने इस प्रक्रिया में अपने खाते की चाबियाँ सौंपकर वास्तव में हमलावर को प्रमाणित कर दिया है।

<पी> पूरी प्रक्रिया में, आपका पासवर्ड कभी भी उजागर नहीं होता है, फिर भी आपने सीधे अपना खाता सौंप दिया है।

डिवाइस कोड लॉगिन घोटाला इतना अच्छा क्यों काम करता है

यह सब नकल के बारे में है

नया Microsoft लॉगिन घोटाला अलर्ट:स्वयं को सुरक्षित रखें - पासवर्ड शामिल नहीं हैं क्रेडिट:माइक्रोसॉफ्ट <पी> डिवाइस कोड लॉगिन घोटालों के साथ सबसे बड़ी समस्या यह है कि यह अधिकांश पारंपरिक फ़िशिंग घोटाले की रणनीति को दरकिनार कर देता है। फ़िशिंग में आमतौर पर एक क्लोन लॉगिन पेज, एक समान दिखने वाला लॉगिन पेज या एक सिस्टम शामिल होता है जो क्रेडेंशियल्स को रोकता है।

<पी> जबकि डिवाइस कोड लॉगिन फ़िशिंग घोटाला उन सभी को छोड़ देता है, जिससे सब कुछ बोर्ड से ऊपर और वैध दिखाई देता है। ठीक है, इसे "बोर्ड के ऊपर" भी प्रदर्शित नहीं किया जा रहा है - यह वास्तव में है, क्योंकि आप Microsoft प्रमाणीकरण प्रक्रिया के साथ इंटरैक्ट कर रहे हैं। पूरा घोटाला इसलिए काम करता है क्योंकि सभी प्रक्रियाएँ बिल्कुल वैसे ही काम करती हैं जैसे उन्हें करना चाहिए; यह आप पर थोड़ा उलटा हुआ है।

तो, आपके एक्सेस टोकन से एक हमलावर को क्या मिल सकता है?

किसी हमलावर को प्रमाणित करना स्पष्ट रूप से एक बुरी स्थिति है

<पी> प्रमाणीकरण पूरा होने के बाद, Microsoft एक एक्सेस टोकन जारी करता है, जो एक अस्थायी प्रमाण की तरह कार्य करता है कि लॉगिन पहले ही सत्यापित हो चुका है। कार्यात्मक रूप से, सिस्टम मानता है कि धारक ने पहले ही अपनी पहचान साबित कर दी है, इसलिए यह बार-बार क्रेडेंशियल मांगे बिना पहुंच की अनुमति देता है।

<पी> फिर, एक हमलावर को क्या हाथ लग सकता है इसका उत्तर वास्तव में लक्षित खाते पर निर्भर करता है। उदाहरण के लिए, यदि आपका आउटलुक खाता लक्षित है, तो एक हमलावर आपके ईमेल तक पहुंच प्राप्त कर सकता है, फिर एक्सटेंशन के माध्यम से, पते से जुड़ी अन्य सेवाओं (पासवर्ड रीसेट करके, 2एफए कोड तक पहुंच आदि) तक पहुंच प्राप्त कर सकता है।

<पी> लेकिन यदि आपकी टीम लॉगिन को लक्षित किया जाता है, तो एक हमलावर आपकी कंपनी के टीम खाते में मौजूद डेटा तक पहुंच प्राप्त कर सकता है।

<पी> नया Microsoft लॉगिन घोटाला अलर्ट:स्वयं को सुरक्षित रखें - पासवर्ड शामिल नहीं हैं संबंधित

तो, आप डिवाइस कोड फ़िशिंग से कैसे बचाव करते हैं?

निरंतर, कभी न ख़त्म होने वाली सतर्कता

<पी> अंततः, कोड डिवाइस लॉगिन हमलों के खिलाफ सबसे अच्छा बचाव वास्तव में यह समझने की कोशिश करना है कि डिवाइस लॉगिन वास्तव में कैसे काम करता है। यहां तक कि डिवाइस लॉगिन प्रक्रियाओं की बुनियादी समझ भी आपको इस फ़िशिंग हमले से बचाएगी।

<पी> संक्षेप में, डिवाइस लॉगिन कोड केवल तभी दिखाई देना चाहिए जब आप स्वयं किसी अन्य डिवाइस पर लॉगिन शुरू करते हैं। Microsoft आपके खाते को सुरक्षित करने के लिए आपको बेतरतीब ढंग से एक कोड नहीं भेजेगा, ठीक उसी तरह जैसे वह कभी भी आपका पासवर्ड मांगने, 2FA कोड की पुष्टि करने आदि के लिए आपको संदेश नहीं भेजेगा।

<पी> यह सिर्फ माइक्रोसॉफ्ट नहीं है, दिमाग। किसी भी कंपनी को, चाहे वह तकनीकी विशेषज्ञ हो या नहीं, कभी भी आपसे यह जानकारी नहीं मांगनी चाहिए। यह निजी है और सिर्फ आपके लिए है।

<पी> अधिकांश मामलों में, आप फ़िशिंग घोटालों का पता लगाने के लिए सामान्य सुरक्षा नियमों का पालन कर सकते हैं:

  • ईमेल, चैट या टेक्स्ट संदेशों के माध्यम से भेजा गया लॉगिन कोड कभी भी दर्ज न करें।
  • अप्रत्याशित प्रमाणीकरण अनुरोधों के साथ उसी तरह व्यवहार करें जैसे आप पासवर्ड अनुरोध के साथ करते हैं।
  • यदि आपको कोई एमएफए संकेत मिलता है जिसे आपने ट्रिगर नहीं किया है, तो उसे तुरंत अस्वीकार कर दें।
  • अपरिचित एप्लिकेशन या सत्रों के लिए Microsoft साइन-इन गतिविधि की नियमित रूप से समीक्षा करें।
<पी> याद रखें, प्रमाणीकरण कोड अनुमतियाँ हैं, सत्यापन चरण नहीं। यदि आपने प्रक्रिया शुरू नहीं की, तो किसी और ने शुरू की।


  1. Gmail में किसी भी इमेज में हाइपरलिंक कैसे जोड़ें Gmail में किसी भी इमेज में हाइपरलिंक कैसे जोड़ें

    उपयोगकर्ताओं के लिए एक से अधिक Gmail खाते होना असामान्य नहीं है। आपके पास एक ईमेल खाता व्यक्तिगत कारणों से और दूसरा व्यवसाय के लिए हो सकता है। व्यावसायिक ईमेल पतों के लिए, हो सकता है कि आप अपने ग्राहकों के लिए अपनी साइट तक पहुंच प्राप्त करना आसान बनाना चाहें। कुछ लोग इसे अपने हस्ताक्षर में एक छवि हा

  1. अपना फेसबुक अकाउंट कैसे सुरक्षित करें अपना फेसबुक अकाउंट कैसे सुरक्षित करें

    आपके फेसबुक प्रोफाइल में इतने सारे व्यक्तिगत डेटा के साथ, आपको निश्चित रूप से अपने खाते को सुरक्षित करने के लिए एक हल्का दृष्टिकोण नहीं लेना चाहिए। अच्छी खबर यह है कि कुछ अपेक्षाकृत सरल कदम उठाकर, उपयोगकर्ता फेसबुक सुरक्षा खतरों से उत्पन्न जोखिम को कम कर सकते हैं। यह ट्यूटोरियल इस बात पर चर्चा करता

  1. एक वीपीएन क्या करता है और यह कैसे काम करता है? वर्चुअल प्राइवेट नेटवर्क के लिए एक गाइड एक वीपीएन क्या करता है और यह कैसे काम करता है? वर्चुअल प्राइवेट नेटवर्क के लिए एक गाइड

    जब आप वेब पर सर्फिंग कर रहे हों तो सुरक्षा आपके लिए सर्वोच्च प्राथमिकता होनी चाहिए, खासकर यदि आप अपने वाईफाई नेटवर्क पर घर पर नहीं हैं। यदि आप बहुत यात्रा करते हैं, सार्वजनिक वाईफाई के साथ कॉफी की दुकानों में काम करते हैं, या संवेदनशील डेटा से निपटते हैं - या यहां तक ​​​​कि यदि आप ऑनलाइन बैंकिंग क