"Two-factor authentication" में भी सेंध लगने की खबरें आ रही हैं.

Two-factor authentication, नाम सुना-सुना सा लग रहा होगा. भले ही पहले आप इससे अनजान हों, लेकिन पिछले साल जब नवंबर में गूगल ने इस प्रोसेस को सभी के लिए अनिवार्य किया था तब तो पक्का आपको "टू फैक्टर ऑथेंटिकेशन" या "टू स्टेप वेरिफिकेशन" नाम सुन लिया होगा. दरअसल, "टू फैक्टर ऑथेंटिकेशन" अकाउंट को लॉगइन करने की पुख्ता व्यवस्था है जो किसी भी सोशल मीडिया अकाउंट से लेकर गूगल और वॉट्सऐप तक में मौजूद होती है. बुरी खबर ये है कि इस पुख्ता व्यवस्था में भी हैकर्स ने कमी ढूंढ निकाली है और टू फैक्टर ऑथेंटिकेशन को बायपास करने की खबरें आने लगी हैं.

2FA हर ऐप में होता ही है

आम बोलचाल की भाषा में कहें तो पासवर्ड के साथ ये प्रोसेस किसी भी अकाउंट को सुरक्षित रखने का सबसे बड़ा हथियार है. शॉर्ट एण्ड स्वीट लहजे में कहें तो आमतौर पर लॉगइन करने के लिए एक पासवर्ड की ज़रूरत होती है लेकिन "टू फैक्टर ऑथेंटिकेशन" इनेबल होने पर पासवर्ड के साथ एक कोड भी डालना पड़ता है. कोड आपके मोबाइल पर भी आ सकता है या संबंधित कंपनी के साइन इन प्रॉम्पट के ज़रिए. अब जैसे हमने बताया कि गूगल ने तो इस प्रोसेस को अनिवार्य कर रखा है और फ़ेसबुक भी हाई रिस्क अकाउंट के लिए ऐसा ही करने वाला है. बाकी सभी ऐप्स बनाने वाली कंपनियां भी इसको इनेबल करने पर जोर देती हैं. मतलब कंपनी कोई भी हो, Apple से लेकर Amazon तक, सभी में "टू फैक्टर ऑथेंटिकेशन" होता ही है. क्या कर रहे हैं साइबर अपराधी? इसमें कोई संदेह नहीं कि अकाउंट को सुरक्षित रखने में "टू फैक्टर ऑथेंटिकेशन" सबसे मजबूत हथियार है, लेकिन जैसे हमने कहा कि आजकल हैकर्स ने इसका भी तोड़ निकाल लिया है. Stony Brook University और साइबर सिक्योरिटी फर्म Palo Alto Networks ने हाल में एक स्टडी में ये बताया कि फिशिंग टूलकिट के जरिए साइबर अपराधी ऑथेंटिकेशन प्रोसेस में सेंध लगा रहे हैं. फिशिंग (phishing) इंटरनेट की दुनिया में स्कैम के लिए सबसे प्रचलित शब्द है. हैकर्स या साइबर अपराधी दरअसल एक टूलकिट या एक किस्म का सॉफ्टवेयर बनाते हैं जिससे किसी भी अकाउंट का "टू फैक्टर ऑथेंटिकेशन" डेटा चुराया जा सकता है. इसमें कोई आश्चर्य नहीं कि ऐसी टूलकिट डार्क वेब में बेची जाती हैं. स्टडी के मुताबिक, तकरीबन 1200 अलग-अलग तरीके की टूलकिट दुनिया भर के डिजिटल वर्ल्ड में उपलब्ध हैं.
"टू फैक्टर ऑथेंटिकेशन" पर हमला कोई नई बात नहीं है लेकिन ये पहले बहुत कम होता था. आजकल इस तरीके के प्रोग्राम या सॉफ्टवेयर व्यापक रूप से इस्तेमाल हो रहे हैं. सबसे जरूरी बात ये है कि "टू फैक्टर ऑथेंटिकेशन" का डेटा आपके पासवर्ड से कहीं कीमती है. आपके अकाउंट का पासवर्ड यदि किसी हैकर ने चोरी किया तो उसको सिर्फ पासवर्ड मिल है, लेकिन वो "टू फैक्टर ऑथेंटिकेशन" को बायपास कर ले तो उसके हाथ वो कुकीज या फ़ाइल भी लग जाएगी जो इस प्रोसेस के इस्तेमाल करने पर आपके वेब ब्राउजर में सेव होती हैं. ऐसे हो सकती है सेंधमारी दो तरीके पता चले हैं इस स्टडी में. पहला तो आपके सिस्टम में डेटा चुराने वाले मालवेयर भेजकर जैसे ईमेल या एसएमएस से कोई लिंक भेजकर. दूसरा तरीका है "टू फैक्टर ऑथेंटिकेशन" प्रोसेस के दरमियान इस्तेमाल होने वाली कुकीज को बीच रास्ते में चुराकर. कहने का मतलब है, जब भी आप कोई "टू फैक्टर ऑथेंटिकेशन" प्रोसेस परफ़ॉर्म कर रहे हो तो जो कोड आपको मिलना है वो आपसे पहले हैकर्स के हाथ लग जाना. ईमेल या एसएमएस पर लिंक भेजकर होने वाली फिशिंग का आइडिया तकरीबन सभी को है लेकिन किसी हालीवुड फिल्म की कहानी की तरह ये बीच रास्ते में चोरी के लिए क्या करते हैं ये हैकर्स.
बीच रास्ते होने वाली इस चोरी को man-in-the-middle (मैन-इन-ड-मिडिल) अटैक कहा जाता है. अब ये नाम सुनकर गफलत में मत पड़िए, क्योंकि डिजिटल दुनिया में ऐसे अजीब नामों की भरमार है. MITM या man-in-the-middle अटैक के लिए तीन पार्टियों की जरूरत होती है. पहली पार्टी मतलब आप या हम. दूसरी पार्टी वो ऐप जिस पर हम लॉग इन करते हैं और तीसरी ये MITM जो आपके व ऐप के बीच की बातचीत को रास्ते में ही सुन लेते हैं. बातचीत सुनना मतलब इंटरसेप्ट करना. अब इस शब्द से तमाम जासूसी फिल्मों नें आपको परिचित करा ही दिया है. अब ये समझना बिल्कुल मुश्किल नहीं कि ये जो मिडिल मैन या बिचौलिया होता है, उसकी जानकारी बाकी दोनों पार्टियों को नहीं लगने वाली.
उदाहरण के लिए, आपके पास कोई मेल आता है जो आपके बैंक ने भेजा है. आप मेल पर क्लिक करते हैं और आपके सामने बैंक की वेबसाइट खुल जाती है. सामान्य तौर पर आपको लगेगा कि ये तो बैंक की वेबसाइट है, लेकिन असल में इस मिडिल मैन की करामात होती है जो हूबहू बैंक जैसी लगने वाली वेबसाइट बनाकर आपको अपने जाल में फंसाता है.
MITM अटैक दो तरीके से होते हैं. पहले तो आपके आसपास रहकर. उदाहरण के लिए सार्वजनिक जगहों में पब्लिक वाई-फाई यूज कर रहे हो या फिर ब्लूटूथ हैकिंग से. दूसरा वही ईमेल या कोई लिंक भेजकर. बिचौलिये वाली हैकिंग के सात तरीके अभी तक पता हैं. आप भी जान लें.
IP spoofing: मतलब आपके डिवाइस का इंटरनेट प्रोटोकॉल का पता लगा लेना. DNS spoofing: आपके सर्वर या डोमेन की जानकारी हासिल करना. HTTPS spoofing: असुरक्षित वेबसाइट से आपके सिस्टम में दाखिल होना जो आमतौर पर HTTPS से स्टार्ट नहीं होती. SSL hijacking: किसी असुरक्षित सर्वर से आपके डिवाइस से जुड़े होने पर. Email hijacking: जानी पहचानी फिशिंग की तकनीक. Wi-Fi eavesdropping: पब्लिक प्लेस में फर्जी वाई-फ़ाई हॉटस्पॉट बनाकर. Stealing browser cookies: किसी भी वेबसाइट पर कुकीज के रूप में सेव होने वाली छोटी-छोटी जानकारी चुराकर.
MITM अटैक ऐसे ही किसी तरीके से अंजाम दिए जाते हैं और कोई आश्चर्य नहीं कि "टू फैक्टर ऑथेंटिकेशन" को भी ऐसे ही बायपास किया जा सकता है. हैकर्स अपना काम कर रहे हैं, मतलब अपराध करने से बाज नहीं आते. लेकिन शायद आप अपना काम ठीक तरीके से नहीं कर रहे. काम से मतलब हर सोशल मीडिया से लेकर सभी किस्म के डिवाइस पर "टू फैक्टर ऑथेंटिकेशन" को इनेबल करना. गूगल ने तो अनिवार्य कर दिया लेकिन बाकी सभी जगह आज भी सिर्फ पासवर्ड से काम चलाया जाता है. ऐसे में जरूरत है कि सबसे पहले "टू फैक्टर ऑथेंटिकेशन" को इनेबल किया जाए. अभी भी ये सबसे सुरक्षित तकनीक है, भले हैकर्स इसमें दाखिल होने का तरीका पता लगाने लगे हों.
इसके बाद सबसे ज्यादा जरूरत है सावधानी बरतने की. क्योंकि तकनीक की दुनिया पर हमला होता ही रहता है. बचने के तरीके भी बढ़ते जा रहे हैं और हमने विस्तार से बात की है हैकिंग से बचने पर. सोशल
मीडिया या ब्लूटूथ
हैकिंग पर हमारी स्टोरी की लिंक आपको मिल जाएगी.