साइलेंट माइक्रोसॉफ्ट लॉगिन घोटाले से बचें - खुद को कैसे पहचानें और सुरक्षित रखें

<पी>

<पी> 2 दिसंबर, 2025, 3:00 अपराह्न ईएसटी प्रकाशित <पी> उपभोक्ता प्रौद्योगिकी के प्रति तशरीफ़ का आकर्षण स्कूल की लाइब्रेरी में शुरू हुआ जब उनकी नज़र एक तकनीकी पत्रिका, सीएचआईपी पर पड़ी, जिसने अंततः उन्हें कंप्यूटर विज्ञान में डिग्री हासिल करने के लिए प्रेरित किया। 2012 के बाद से, तशरीफ ने पेशेवर रूप से एक हजार से अधिक कैसे-कैसे लेख लिखे हैं, विंडोज रिपोर्ट और कैसे-कैसे गीक में योगदान दिया है। वह वर्तमान में MakeUseOf में Microsoft Windows सामग्री पर ध्यान केंद्रित करते हैं, जिसका उपयोग वह 2007 से कर रहे हैं।

<पी> वेबसाइट और प्रौद्योगिकी ब्लॉग बनाने के व्यावहारिक अनुभव के साथ, वह अपने तकनीकी लेखन में व्यावहारिक डेवलपर अंतर्दृष्टि लाते हैं। आप उनका पूरा कार्य पोर्टफोलियो itashreef.com पर देख सकते हैं।

<पी> आप जटिल विषयों को सरल बनाने वाले उनके संक्षिप्त 'कैसे करें' वीडियो व्याख्याताओं पर भी ठोकर खा सकते हैं। लिखने के अलावा, तशरीफ को लघु व्याख्यात्मक वीडियो बनाने, गेमिंग और एनिमेटेड शो की खोज करने में आनंद आता है।

<पी> एक परिचित लोगो, लेआउट और यूआरएल के साथ एक वास्तविक दिखने वाले माइक्रोसॉफ्ट ईमेल पर क्लिक करने की कल्पना करें, लेकिन अंत में आपके खाते के क्रेडेंशियल खो जाएंगे। फ़िशिंग ईमेल अधिक स्मार्ट होते जा रहे हैं क्योंकि धमकी देने वाले अभिनेता अब आपके लॉगिन विवरण को सरेंडर करने के लिए आपको धोखा देने के लिए एक टाइपोग्राफिक भ्रम का फायदा उठा रहे हैं।

<पी> हमले के इस रूप को टाइपोसक्वाटिंग कहा जाता है, और यह भ्रामक रूप से सूक्ष्म है। पहली नज़र में, प्रेषक का पता वैध लगता है। ईमेल डिज़ाइन उस चीज़ से मेल खाता है जिसकी आप Microsoft से अपेक्षा करते हैं। यहां तक कि ईमेल में दिया गया लिंक भी सही लगता है। लेकिन करीब से देखें, और आप देखेंगे कि कुछ गड़बड़ है:एक एकल अक्षर जो आपके खाते को हैक करने के लिए पर्याप्त है।

टाइपोसक्वाटिंग क्या है और यह कैसे काम करता है

एक विज़ुअल ट्रिक जो हमारे पढ़ने के तरीके का फायदा उठाती है

क्रेडिट:तशरीफ शरीफ / MakeUseOf <पी> इस उदाहरण में, धमकी देने वाले अभिनेताओं ने rnicrosoft.com जैसा एक डोमेन पंजीकृत किया और इससे ईमेल भेजे जैसे कि वे आधिकारिक Microsoft समर्थन थे। पहली नज़र में, और विशेष रूप से फ़ोन पर, आपका मस्तिष्क इसे "r-nicrosoft" के बजाय Microsoft.com के रूप में देख सकता है। यह कार्रवाई में क्लासिक टाइपोसक्वाटिंग (उर्फ यूआरएल अपहरण) है। <पी> टाइपोस्क्वाटिंग में नकली डोमेन बनाना शामिल है जो लोकप्रिय वेबसाइटों के समान दिखते हैं। हमलावर लोगों को चकमा देने के लिए गलत वर्तनी, बदले हुए अक्षर, विभिन्न शीर्ष-स्तरीय डोमेन (.com के बजाय .co), या परिवर्तित उपडोमेन का उपयोग करते हैं।

<पी> लक्ष्य आपको किसी लिंक पर क्लिक करने या यूआरएल टाइप करने के लिए प्रेरित करना है जो एक समान दिखने वाले डोमेन पर ले जाता है। वहां पहुंचने पर, पीड़ितों को अक्सर मेल खाती ब्रांडिंग और डिज़ाइन वाली एक क्लोन वेबसाइट का सामना करना पड़ता है। आप लॉग इन करें, भुगतान विवरण दर्ज करें, या फ़ाइलें डाउनलोड करें और हमलावरों को वह दें जो उन्हें चाहिए।

<पी> टाइपोस्क्वैटिंग काम करती है क्योंकि हमारा दिमाग प्रत्येक अक्षर को अलग-अलग पढ़ने के बजाय परिचित शब्दों को पैटर्न के रूप में संसाधित करता है। जब आप "माइक्रोसॉफ्ट" को सैकड़ों बार देखते हैं, तो आपका मस्तिष्क प्रत्येक अक्षर को सत्यापित करने के बजाय आकार को पहचानना शुरू कर देता है। घोटालेबाज समान दिखने वाले अक्षरों जैसे "m के लिए "rn", "w" के लिए "vv", या "l" के लिए "1" का उपयोग करके इसका फायदा उठाते हैं।

क्रेडिट:तशरीफ शरीफ / MakeUseOf <पी> मोबाइल उपकरणों पर समस्या और भी बदतर है. छोटी स्क्रीन, डिफ़ॉल्ट फ़ॉन्ट और त्वरित स्क्रॉलिंग इन सूक्ष्म अंतरों को लगभग अदृश्य बना देती है। आप दोपहर के भोजन के दौरान अपने फ़ोन पर ईमेल जाँच रहे हैं, आपको Microsoft जैसा दिखने वाला एक संदेश दिखाई देता है, और आप बिना कुछ सोचे-समझे उस पर टैप कर देते हैं।

<पी> फ़िशिंग ईमेल में इसका उपयोग टाइपोस्क्वाटिंग को इतना प्रभावी बनाता है। एक घोटालेबाज एक टाइपो डोमेन पंजीकृत कर सकता है, उचित ईमेल प्रमाणीकरण (एसपीएफ, डीकेआईएम, डीएमएआरसी) सेट कर सकता है, और ऐसे संदेश भेज सकता है जो पूरी तरह से वैध लगते हैं। ईमेल स्पैम फ़िल्टर पास करता है, आपके इनबॉक्स में आता है, और आपके क्लिक करने का इंतज़ार करता है।

ब्राउज़र और ईमेल फ़िल्टर हमेशा इन्हें क्यों नहीं पकड़ पाते

वैध दिखने वाले डोमेन स्वचालित जांच से निकल जाते हैं

क्रेडिट:तशरीफ शरीफ / MakeUseOf <पी> आप सोच सकते हैं कि आपका ईमेल प्रदाता या ब्राउज़र स्पष्ट नकली या गलत वर्तनी वाले यूआरएल पकड़ लेगा, और अक्सर वे ऐसा करते हैं। एज और क्रोम यूआरएल में टाइपो का भी पता लगा सकते हैं। दुर्भाग्य से, टाइपोस्क्वैटिंग उन कमियों का फायदा उठाती है जो ये स्वचालित प्रणालियाँ चूक जाती हैं।

<पी> टाइपोस्क्वैटेड डोमेन अक्सर वैध एसएसएल प्रमाणपत्रों और सौम्य दिखने वाली सामग्री के साथ ठीक से पंजीकृत होते हैं। ईमेल गेटवे स्पैम पैटर्न और ज्ञात खराब प्रेषकों पर ध्यान केंद्रित करते हैं, लेकिन उचित प्रमाणीकरण के साथ सही ढंग से कॉन्फ़िगर किए गए टाइपो डोमेन से एक ईमेल सांख्यिकीय रूप से वैध ट्रैफ़िक के समान दिख सकता है। जब तक फ़िल्टर विशेष रूप से ब्रांड समानता की जांच नहीं करता है या समान दिखने वाले डोमेन के लिए मशीन लर्निंग का उपयोग नहीं करता है, तब तक यह संदेश को संदिग्ध के रूप में चिह्नित नहीं करेगा।

<पी> ब्राउज़र सुरक्षा की भी समान सीमाएँ हैं। नए टाइपो डोमेन लगातार दिखाई देते हैं और नए बुनियादी ढांचे में बदलने से पहले केवल थोड़े समय के लिए ही उपयोग किए जा सकते हैं। ब्लॉकलिस्ट और टाइपो सुरक्षा सुविधाएँ कम-मात्रा, लक्षित हमलों से पीछे रह सकती हैं या चूक सकती हैं। जब तक किसी डोमेन को चिह्नित किया जाता है, तब तक अक्सर नुकसान हो चुका होता है।

टाइपोसक्वाटिंग से बचाव करना आसान है, लेकिन केवल तभी जब आप जानते हों कि कैसे

सरल आदतें और उपकरण जो आपको सुरक्षित रखते हैं

<पी> Google, Microsoft, Amazon और अन्य जैसी प्रमुख तकनीकी कंपनियाँ सक्रिय रूप से टाइपोस्क्वैटिंग के खिलाफ लड़ती हैं और नियमित रूप से अपने डोमेन के सामान्य गलत वर्तनी वाले संस्करण खरीदती हैं और उन्हें अपनी आधिकारिक साइटों पर पुनर्निर्देशित करती हैं। उदाहरण के लिए, यदि आप gooogle.com टाइप करते हैं (अतिरिक्त "ओ के साथ "), आपको सही URL, Google.com पर पुनः निर्देशित किया जाएगा। यह घोटालेबाजों को सामान्य टाइपो त्रुटियां दर्ज करने से रोकता है। लेकिन वे हर संभव विविधता नहीं खरीद सकते, जिसका मतलब है कि आपको अभी भी सतर्क रहने की जरूरत है।

<पी> सबसे सरल बचाव आपके क्लिक करने से पहले रुकना है। क्लिक करने से पहले वास्तविक यूआरएल देखने के लिए ईमेल में लिंक पर होवर करें। एड्रेस बार को ध्यान से जांचें, खासकर मोबाइल पर, जहां छोटी स्क्रीन सूक्ष्म अंतर को पहचानना कठिन बना देती है। यदि लॉगिन पेज के बारे में कुछ गलत लगता है, जिसमें गलत फ़ॉन्ट, गायब तत्व, या कुछ भी जो बिल्कुल सही नहीं दिखता है, तो टैब बंद करें और स्वयं यूआरएल टाइप करके या बुकमार्क का उपयोग करके सीधे साइट पर नेविगेट करें।

<पी> पासवर्ड मैनेजर यहां अंतर्निहित सुरक्षा प्रदान करते हैं। यदि आपका पासवर्ड मैनेजर लॉगिन पेज पर स्वत:भरता नहीं है, तो यह एक मजबूत संकेत है कि डोमेन वह नहीं है जिसका आप आमतौर पर उपयोग करते हैं। पासवर्ड प्रबंधक सटीक डोमेन की जांच करते हैं, दृश्य स्वरूप की नहीं, इसलिए टाइपोस्क्वैट वाली साइटें स्वतः-भरण को ट्रिगर नहीं करेंगी।

<पी> और भी मजबूत सुरक्षा के लिए, पासवर्ड के बजाय पासकीज़ पर स्विच करने पर विचार करें। पासकीज़ डिज़ाइन द्वारा फ़िशिंग-प्रतिरोधी हैं क्योंकि वे विशिष्ट डोमेन से बंधे हैं और समान दिखने वाली साइटों पर काम नहीं करेंगे। आप उन खातों के लिए हार्डवेयर सुरक्षा कुंजी का भी उपयोग कर सकते हैं जो पासकी का समर्थन करते हैं। ये भौतिक उपकरण प्रमाणित करने से पहले वेबसाइट की प्रामाणिकता को सत्यापित करते हैं, जिससे टाइपोस्क्वाटिंग हमले अनिवार्य रूप से बेकार हो जाते हैं।

हमेशा ईमेल लिंक पर संदेह रखें

<पी> टाइपोस्क्वैटिंग काम करती है क्योंकि यह इस बात का फायदा उठाती है कि हमारा दिमाग परिचित जानकारी को कैसे संसाधित करता है। हम वही देखते हैं जो हम देखने की उम्मीद करते हैं, न कि वह जो वास्तव में है। स्कैमर्स इस पर भरोसा करते हैं, ऐसे डोमेन और ईमेल बनाते हैं जो त्वरित नज़र परीक्षण में पास हो जाते हैं।

<पी> हालाँकि, एक बार जब आप जान जाते हैं कि यह ट्रिक कैसे काम करती है, तो आप उन सूक्ष्म चरित्र परिवर्तनों को अधिक आसानी से देखना शुरू कर देंगे। प्रेषक पते और यूआरएल को सत्यापित करने के लिए एक अतिरिक्त सेकंड लें, विशेष रूप से लॉगिन पृष्ठों और वित्तीय लेनदेन के लिए। जिन साइटों पर आप अक्सर जाते हैं उनके लिए बुकमार्क का उपयोग करें और अपने पासवर्ड प्रबंधक को आपके लिए डोमेन सत्यापन करने दें। वह संक्षिप्त विराम आपको अपने क्रेडेंशियल्स किसी ऐसे व्यक्ति को सौंपने से बचा सकता है जिसने एक ऐसा डोमेन पंजीकृत किया है जो लगभग-लेकिन बिल्कुल सही-सही नहीं दिखता है।