میں حال ہی میں ایک (شکر ہے کہ ناکام) فشنگ حملے کا شکار ہوا۔ کچھ ہفتے پہلے، میں کریگ لسٹ اور زیلو کو براؤز کر رہا تھا: میں سان فرانسسکو بے ایریا میں ایک جگہ کرائے پر لینا چاہتا تھا۔
ایک جگہ کی اچھی تصاویر نے میری توجہ حاصل کی، اور میں مالک مکان سے رابطہ کرنا چاہتا تھا اور اس کے بارے میں مزید معلومات حاصل کرنا چاہتا تھا۔ ایک سیکورٹی پروفیشنل کے طور پر اپنے تجربے کے باوجود، مجھے یہ احساس نہیں تھا کہ مجھ سے تیسری ای میل تک سکیمرز کے ذریعے رابطہ کیا جا رہا ہے! ذیل میں میں آپ کو تفصیل سے بتاؤں گا اور اسکرین شاٹس اور خطرے کی گھنٹی کے ساتھ کیس کا تجزیہ کروں گا۔
میں یہ واضح کرنے کے لیے لکھ رہا ہوں کہ اچھی طرح سے تیار کیے گئے فشنگ حملے بہت قائل ہو سکتے ہیں۔ سیکیورٹی ماہرین اکثر اپنے آپ کو فشنگ سے بچانے کے لیے گرامر اور ڈیزائن پر توجہ دینے کی تجویز کرتے ہیں: دھوکہ دہی کرنے والوں کو مبینہ طور پر زبان کی ناقص معلومات اور بصری ڈیزائن کے لیے لاپرواہ رویہ ہے۔ کچھ معاملات میں یہ حقیقت میں کام کرتا ہے، لیکن میرے معاملے میں یہ کام نہیں کرتا ہے۔ انتہائی نفیس سکیمرز اچھی زبان میں لکھتے ہیں اور شکار کی توقعات پر پورا اترنے کی کوشش کرتے ہوئے تمام تحریری اور غیر تحریری اصولوں کی تعمیل کا بھرم پیدا کرتے ہیں۔
پہلے حروف: عام طور پر فکر کرنے کی کوئی بات نہیں۔
کریگ لسٹ پر اشتہار نے کسی کو بھی کال کرنے کو کہا۔ تاہم، فون نمبر خود وہاں نہیں تھا۔ میں نے سوچا کہ یہ ایک نگرانی تھی، کیونکہ بہت سے اشتہارات ایک ہی کام کرتے ہیں۔ پھر میں نے فیصلہ کیا کہ مالک مکان کو لکھوں اور اس سے اس کا نمبر مانگوں اور مجھے اپنا نمبر بھی بتاؤں۔
جواب میں اس نے لکھا کہ میں ان سے ای میل کے ذریعے رابطہ کر سکتا ہوں: [ای میل محفوظ]. آپ سوچ سکتے ہیں کہ یہ اکیلے مجھے عجیب لگنا چاہئے تھا. تاہم، اس طرح کے وسائل پر رہائش کی تلاش اکثر فون نمبرز، میل باکسز اور عجیب و غریب حل کے ساتھ کچھ مسائل سے منسلک ہوتی ہے۔ تو میں نے ابھی اس ای میل پر ایک ای میل لکھا اور یہ جواب موصول ہوا:
مالک مکان کافی عام سوالات پوچھتا ہے: "آپ کب اندر جانے کا ارادہ رکھتے ہیں؟"، "کتنے لوگ آپ کے ساتھ رہیں گے؟"، "آپ کی سالانہ آمدنی کیا ہے؟"
اور پھر مجھے احساس نہیں ہوا کہ میں سکیمرز کے ساتھ بات چیت کر رہا ہوں۔
مالک مکان نے بتایا کہ وہ اکثر طویل عرصے تک گھر سے دور رہتا ہے اور اب پورے دو سال تک گھر سے دور رہے گا۔ میں نے سوچا کہ یہ تھوڑا سا عجیب تھا، لیکن ہر ایک کے اپنے حالات ہوتے ہیں، آپ کبھی نہیں جانتے۔ مزید یہ کہ بہت سے زمیندار جن کے ساتھ میں نے بات کی تھی وہی بات کہی۔ اور خط میں مجھ سے پوچھے گئے سوالات کافی مناسب لگے۔ چنانچہ میں نے گفتگو جاری رکھی اور انہیں جواب دیا۔
پھر مجھے یہ خط ملا:
"میرے پاس یہاں موبائل کنکشن نہیں ہے، مجھے صرف اپنے کام کے کمپیوٹر تک رسائی حاصل ہے۔ اگر یہ آپ کے لیے ٹھیک ہے تو ہم ای میل کے ذریعے بات چیت جاری رکھیں گے۔"
"3 لوگ جائیداد دیکھنا چاہتے ہیں۔ میرے پاس آپ میں سے ہر ایک سے ملنے کا وقت نہیں ہے۔ میں آپ کو ایک لنک دوں گا... وہاں آپ اپنی جگہ ریزرو کر سکتے ہیں (1 ماہ کا کرایہ ایڈوانس کے علاوہ قابل واپسی ڈپازٹ)۔ اگر آپ نے پہلے Airbnb استعمال نہیں کیا ہے تو یہ کافی آسان ہے..."
یہیں سے خطرے کی گھنٹیاں بجنے لگیں۔ یہ خط موصول ہونے کے بعد، مجھے پہلے ہی 80-90 فیصد یقین تھا کہ یہ دھوکہ باز تھے۔
پہلے خطرے کی گھنٹی: "میرے پاس یہاں موبائل کنکشن نہیں ہے، مجھے صرف اپنے کام کے کمپیوٹر تک رسائی حاصل ہے۔ اگر یہ آپ کے لیے ٹھیک ہے تو ہم ای میل کے ذریعے بات چیت جاری رکھیں گے۔" دوسرا ہماری گفتگو میں Airbnb کی عجیب شکل ہے۔
وہ کیوں چاہتے تھے کہ میں Airbnb کے ذریعے ادائیگی کروں؟
تیسرا انتباہی نشان بہت زیادہ تصاویر ہیں جو اس بات کی تصدیق کرتی ہیں کہ یہ ایک حقیقی شخص ہے۔ لیکن اگر شناخت جعلی نہیں ہے تو پھر مجھے سمجھانے کی اتنی کوشش کیوں؟
تاہم، Airbnb نے مجھے واقعی الجھن میں ڈال دیا۔ اس موقع پر مجھے سختی سے شک ہونے لگا کہ میں سکیمرز کے ساتھ بات چیت کر رہا ہوں، لیکن پھر بھی، مجھے یقین نہیں تھا۔ میں جانتا تھا کہ اگر میں نے Airbnb کے ذریعے بکنگ کروائی تو ان کا اسکام کام نہیں کرے گا۔ Airbnb کے پاس تنازعات کے حل کا ایک اچھی طرح سے طے شدہ طریقہ کار ہے اور میں جلدی سے ثابت کر سکتا ہوں کہ میں صحیح ہوں اور اپنے پیسے واپس لے سکتا ہوں۔
میں نے ایک دوست کو اشتہار دکھایا اور اس نے کہا کہ یہ کوئی دھوکہ نہیں ہے۔ ہمیں شرط لگانی چاہیے تھی کیونکہ آخر میں میں صحیح تھا۔ لیکن پھر میں نے یہ چیک کرنے کا فیصلہ کیا کہ آیا یہ ایک گھوٹالہ تھا یا نہیں اور اس لیے پھر بھی Airbnb سے لنک مانگا۔
انہوں نے مجھے انتظار کرنے کو کہا۔ کس چیز کا انتظار کریں؟ اور کسی وجہ سے انہوں نے مجھے خود Airbnb پر اپنی فہرست تلاش کرنے کا مشورہ دیا۔ یہ بھی کافی عجیب تھا، اور مجھے اس میں کوئی نکتہ نظر نہیں آیا۔ اگر وہ مجھے دھوکہ دینے کی کوشش کر رہے تھے، تو پھر مجھ سے Airbnb پر اپنی جگہ بک کرنے کے لیے کہنا بے معنی تھا۔
لیکن انتظار کریں... میں اسے Airbnb پر نہیں ڈھونڈ سکا۔ اور پھر میں نے دوبارہ لنک مانگا۔
انہوں نے بھیجا۔ یہ اصلی لگ رہا تھا اور اس میں airbnb.com ڈومین تھا۔ لیکن چونکہ یہ فشنگ سکیمرز کے لیے میرا پہلا شکار نہیں تھا، اس لیے میں نے خط کے متنی ورژن (URL منزل) میں اصلی لنک ایڈریس چیک کیا۔ جیسا کہ وہ کہتے ہیں، دو فرق تلاش کریں:
Q.E.D!
یہ حقیقت ہے. یہ ایک فشنگ لنک ہے۔ آئیے ایک نظر ڈالتے ہیں۔
یہ اسکرین شاٹ میری پہلی تحقیقات کے چند دن بعد لیا گیا تھا، جب کروم کے پاس اس URL کو خطرناک کے طور پر نشان زد کرنے کا وقت نہیں تھا۔ فشنگ سائٹ بالکل ٹھیک بنائی گئی ہے! یہ انٹرایکٹو ہے اور قائل نظر آتا ہے۔ لہذا، میں آسانی سے تسلیم کر سکتا ہوں کہ جو لوگ URL کی اصل پر شک نہیں کرتے وہ آسانی سے سکیمرز کے لئے گر سکتے ہیں.
زبردست جعلی جائزے: 5/5۔ فشنگ جاری رکھیں، آپ بہت اچھا کر رہے ہیں!
میں نے بک ٹو کی درخواست کے بٹن کا تجربہ نہیں کیا ہے، لیکن مجھے یقین ہے کہ یہ مجھے ایک فشنگ صفحہ پر لے گیا ہو گا جہاں میرے کارڈ کی تفصیلات کامیابی کے ساتھ چوری ہو چکی ہوں گی۔ شکریہ، شاید کسی اور وقت۔
میں اتنا متاثر کیوں ہوا؟
کون ٹیم - اور مجھے یقین ہے کہ یہ ایک ٹیم تھی - نے اعلی درجے کی تفصیل کے ساتھ بہت اچھا کام کیا۔ ان کی انگریزی بالکل درست ہے، ان کی ای میلز پیشہ ورانہ لگتی ہیں، ان کی فشنگ سائٹ Airbnb کی طرح لگتی ہے۔ hibernia.ca پر ری ڈائریکٹ انجینئرز-hibernia-chevron.ca ایڈریس سے ترتیب دیا گیا ہے۔ یہ ان لوگوں میں اعتماد پیدا کرے گا جو اپنا ڈومین چیک کرنا چاہتے ہیں۔
میں ان کی لطیف نفسیاتی چالوں سے اور بھی زیادہ متاثر ہوا ہوں۔ میرے ساتھ بات چیت کے ہر مرحلے پر، انہوں نے ایک غیر واضح نکتہ چھوڑا، جو مجھے اپنے مقصد کی طرف مزید آگے بڑھنے کے لیے ان کے ساتھ واضح کرنا پڑا۔ اگر آپ سے سوالات پوچھے جا رہے ہیں تو یہ سمجھنا بہت آسان ہے کہ کچھ غلط ہے۔ اور اگر آپ ہی سوال پوچھ رہے ہیں، تو ان سے ان چیزوں کے بارے میں پوچھنا بہت مشکل ہو جاتا ہے جو آپ کو عجیب لگتی ہیں۔ کیونکہ آپ پہلے ہی کافی پوچھ چکے ہیں اور لگتا ہے کہ مصروف لوگوں سے وقت ضائع کر رہے ہیں۔
شروع میں، ان کے اشتہار میں فون نمبر نہیں تھا، اس لیے مجھے ایک مانگنا پڑا۔ پھر انہوں نے مجھے Airbnb کی ویب سائٹ پر ہدایت کی اور میں نے ایک لنک طلب کیا۔ لیکن پہلی بار انہوں نے نہیں دیا، اس لیے مجھے دوبارہ مانگنے پر مجبور کیا گیا۔ یہ سب کچھ پہلے سے پلان کیا گیا تھا۔
گفتگو کے دوران، انہوں نے یہ بھی بتایا کہ دوسرے لوگ بھی ان کی رہائش میں دلچسپی رکھتے تھے، جب مجھے کوئی فیصلہ کرنا ہوتا تھا تو محدود وقت کے قابل فہم احساس کو برقرار رکھتے تھے۔ آخر میں، Airbnb کو فشنگ سائٹ کے طور پر استعمال کرنا ہوشیار تھا کیونکہ اس نے ایک قابل اعتماد بیچوان کی شکل پیدا کر دی۔ پہلے تو میں واقعی الجھن میں تھا کیونکہ میں سمجھ نہیں سکا کہ وہ میرا ڈیٹا چوری کرنے کا منصوبہ کیسے بنا رہے تھے۔ اگر انہوں نے رابطے کے ابتدائی مرحلے میں محض بینک یا کریڈٹ کارڈ کی معلومات طلب کی ہوتیں تو ان کے اسکام کا پتہ لگانا اور بے نقاب کرنا آسان ہوتا۔
اس سے اپنے آپ کو کیسے بچایا جائے؟ کچھ نکات
اجنبیوں کے ساتھ آن لائن بات چیت کرتے وقت، ہمیشہ ان کے لنکس کی اصلیت کو چیک کریں! عام طور پر کسی لنک پر کلک کرنے سے کوئی نقصان نہیں ہوتا، لیکن بعض صورتوں میں یہ کافی ہوتا ہے۔ مجھے اس وقت تک 100% یقین نہیں تھا جب تک میں نے جعلی Airbnb URL کو دریافت نہیں کیا یہ ایک فریب دہی کا اسکینڈل تھا۔
براہ کرم آگاہ رہیں کہ بھیجنے والے کے ای میل پتے جعلی ہو سکتے ہیں اور ڈومین کے نام اس سے میل نہیں کھا سکتے جو وہ دکھائی دیتے ہیں۔ جس سے آپ کو ایک ای میل موصول ہوئی ہے۔ [ای میل محفوظ]، کا مطلب یہ نہیں ہے کہ ایف بی آئی نے آپ کو ای میل بھیجی ہے۔
ان علامات کی تلاش کریں کہ کوئی آپ کی ناک کی طرف لے جا رہا ہے۔ کیا وہ آپ کو قائل کرنے کی کوشش کر رہے ہیں کہ وہ حقیقی لوگ ہیں جو آپ سے بات کر رہے ہیں؟ کیا وہ آپ کو تیزی سے کام کرنے کی کوشش کر رہے ہیں؟
اپنی شناخت کی تصدیق کے لیے متعدد طریقے استعمال کریں۔ سب سے پہلے خطرے کی گھنٹی یہ تھی کہ سکیمر صرف ای میل کے ذریعے ہی بات کر سکتا تھا۔ اگر کوئی دور سے بات چیت کرنے کی پیشکش کرتا ہے، تو ویڈیو کال کا بندوبست کریں، ان کے لنکڈ، فیس بک وغیرہ اکاؤنٹس کو تلاش کریں اور موازنہ کریں۔
مجھے امید ہے کہ آپ نے تیاری کا لطف اٹھایا۔
انسٹاگرام پر ہمارے ڈویلپر کو فالو کریں۔
ماخذ: www.habr.com