മനുഷ്യമനസ്സിനെ കബളിപ്പിച്ച് അവരറിയാതെ രഹസ്യസ്വഭാവമുള്ള കാര്യങ്ങൾ ചോർത്തുന്ന വിദ്യയാണ് ‘സോഷ്യൽ എൻജിനീയറിങ് അറ്റാക്ക്’. ‘ഫിഷിങ്’ ആണ് സോഷ്യൽ എൻജിനീയറിങ് അറ്റാക്കുകളിൽ ഏറ്റവും കൂടുതൽ കാണപ്പെടുന്ന ഒരു സൈബർ കുറ്റകൃത്യം. പാസ്‌വേഡുകൾ, ബാങ്ക് അക്കൗണ്ടുകളെ സംബന്ധിച്ച രഹസ്യവിവരങ്ങൾ എന്നിവ ചോർത്തുകയാണ് ഇത്തരം കുറ്റകൃത്യങ്ങളുടെ പ്രധാന ഉദ്ദേശ്യം. 
 ഫോൺകോളുകളോ, ഇ-മെയിൽ സന്ദേശങ്ങളോ ഫോൺ സന്ദേശങ്ങളോ വഴിയാണ് ഫിഷിങ് അറ്റാക്ക് സാധാരണയായി സംഭവിക്കുന്നത്. നിങ്ങളുടെ അക്കൗണ്ടിലെ പാസ്‌വേഡ്‌ മാറ്റണം, അല്ലെങ്കിൽ അക്കൗണ്ടിലെ നിങ്ങളെ സംബന്ധിക്കുന്ന വിവരങ്ങൾ അപ്‌ഡേറ്റ് ചെയ്യണം എന്ന തരത്തിലുള്ള ഇ-മെയിൽ സന്ദേശങ്ങൾ ലഭിക്കാറില്ലേ? ഈ സന്ദേശങ്ങളെല്ലാം തന്നെ ഒറിജിനൽ ഏതാ, ഡ്യൂപ്ലിക്കേറ്റ് ഏതാ എന്ന് തിരിച്ചറിയാൻ പറ്റാത്ത വിധം തയ്യാറാക്കിയവയാണ്. അതിനാൽ കബളിപ്പിക്കപ്പെടുന്ന ആളുകളുടെ എണ്ണവും കൂടുതലാണ്. ഇങ്ങനെ മോഷ്ടിക്കുന്ന വിവരങ്ങൾ നിങ്ങളുടെ അക്കൗണ്ടിൽ കയറാനോ അതുവഴി സാമ്പത്തിക തട്ടിപ്പിനോ ഐഡന്റിറ്റി തെഫ്റ്റിനോ ഉപയോഗിക്കാം. സൈബർ ക്രിമിനലുകൾ ഒറിജിനൽ വെബ്‌സൈറ്റുകളെ പോലെ തോന്നിക്കുന്ന ഫിഷിങ് വെബ്‌സൈറ്റുകൾ ഉണ്ടാക്കി ഉപഭോക്താക്കളെ കബളിപ്പിക്കാറുണ്ട്. കണ്ടാൽ ഒറിജിനൽ ആണെന്നേ തോന്നൂ. പക്ഷേ, ഒരിക്കൽ നമ്മൾ കബളിപ്പിക്കപ്പെട്ട് വിവരങ്ങൾ നൽകിയാൽ ആ വിവരങ്ങൾ ഉപയോഗിച്ച് അവർ നമ്മുടെ അക്കൗണ്ടുകൾ ഉപയോഗിക്കുകയോ ബാങ്കുമായി ബന്ധപ്പെട്ട വിവരങ്ങളാണ് നൽകുന്നതെങ്കിൽ സാമ്പത്തിക തട്ടിപ്പ് നടത്തുകയോ ചെയ്യാം.
 
 
മുകളിലത്തെ ചിത്രം ഫെയ്‌സ്ബുക്കിനെ പോലിരിക്കുന്ന ഒരു ഫിഷിങ് സൈറ്റ് ആണ്. ഈ വെബ്‌സൈറ്റിന്റെ URL ഒന്ന് സൂക്ഷിച്ചുനോക്കിയാൽ കാര്യം പിടികിട്ടും. ‘facelook.cixx6.com’ എന്നത് ഫെയ്‌സ്ബുക്കിന്റെ വിലാസം അല്ല. ഫെയ്‌സ്ബുക്കിന്റേത് facebook.com എന്നാണ്. facebook.com എന്നതിനെ ആണ് റിയൽ ഡൊമയ്ൻ എന്ന് പറയുന്നത്. apps.facebook.com-ൽ apps എന്നത് facebook.com-ന്റെ ഒരു സബ്‌ഡൊമയ്‌ൻ ആണ്. എപ്പോഴും റിയൽ ഡൊമയ്‌ൻ ഒറിജിനൽ ആണെന്ന് ഉറപ്പുവരുത്തുക. കൂടാതെ, വെബ്‌സൈറ്റ് https ആണെന്നുകൂടി ഉറപ്പാക്കേണ്ടതുണ്ട്. വെബ്‌സൈറ്റിന്റെ അഡ്രസ്സിന്‌ മുൻപിൽ ഒരു പാഡ് ലോക്ക് കൂടി ഉണ്ടാകും. https ആയിട്ടുള്ള വെബ്‌സൈറ്റിൽ നിങ്ങൾ കൊടുക്കുന്ന വിവരങ്ങൾ പുറമെയുള്ള ഒരാൾക്ക് ചോർത്താൻ പറ്റാത്തവിധം എൻക്രിപ്റ്റഡ് ആയിരിക്കും. എല്ലാ ബാങ്കിങ് വെബ്‌സൈറ്റുകളും https ആയിരിക്കും. മുകളിൽ കണ്ട ഫിഷിങ് വെബ്‌സൈറ്റിൽ പാഡ് ലോക്ക്, അല്ലെങ്കിൽ https ഇല്ലായിരുന്നു. ഈ മാർഗത്തിലൂടെ നമുക്ക് ഫിഷിങ് സൈറ്റിനെ ഒരു പരിധിവരെ കണ്ടെത്താമായിരുന്നു. എന്നാൽ, ആ സാഹചര്യം ഇപ്പോൾ മാറിയിരിക്കുന്നു. ഇപ്പോഴുള്ള പകുതിയിലേറെ ഫിഷിങ് വെബ്‌സൈറ്റുകളും പാഡ് ലോക്ക് അല്ലെങ്കിൽ https ഉള്ളവയാണ്. പാഡ് ലോക്ക് അല്ലെങ്കിൽ https മാത്രം നോക്കി വിവരങ്ങൾ നൽകിയാൽ ഒരുപക്ഷേ, കബളിപ്പിക്കപ്പെടാനുള്ള സാധ്യതയുമുണ്ട്.
 മുകളിലത്തെ ചിത്രത്തിൽ ഇടതുവശത്തു കാണുന്നത് ഫെയ്‌സ്ബുക്കിന്റെ ഒറിജിനൽ ലോഗിൻ പേജ് ആണ്. വലതുവശത്തുള്ളത് െഫയ്‌സ്ബുക്ക് ഫിഷിങ് സൈറ്റും. രണ്ടിനും തമ്മിൽ കാഴ്ചയിൽ യാതൊരു വ്യത്യാസവും ഇല്ല. ഒറിജിനൽ ആണെന്ന് തെറ്റിദ്ധരിക്കപ്പെട്ടാൽ കുറ്റംപറയാനും പറ്റില്ല. അത്രയ്ക്കും സാമ്യതയാണുള്ളത്. പാഡ് ലോക്ക് അല്ലെങ്കിൽ https ഉം ഉണ്ട്. പക്ഷേ, നിങ്ങൾ URL മുഴുവൻ ഒന്ന് നോക്കിയാൽ അറിയാം എന്താണ് വ്യത്യാസം എന്ന്. ഒറിജിനൽ ഫെയ്‌സ്ബുക്കിന്റേത് ‘https://m.facebook.com/login’ എന്നാണ്. ഇവിടെ ഫിഷിങ് സൈറ്റിന്റേത് ‘https://m.facebook.com.sekurtityraining.xyz/login’ എന്നുമാണ്. ഇതിൽ റിയൽ ഡൊമയ്‌ൻ എന്ന് പറയുന്നത് ‘sekurtityraining.xyz’ ആണ്. ഇതിൽനിന്ന് ഇതൊരു ഫിഷിങ് സൈറ്റ് ആണെന്നത് വ്യക്തമാണ്. ഈ വെബ്‌സൈറ്റ് ഒരു മൊബൈൽ ബ്രൗസറിൽ ആണ് എടുക്കുന്നതെങ്കിൽ മുഴുവൻ URL ആരും ശ്രദ്ധിക്കാറുമില്ല. കബളിപ്പിക്കപ്പെടാനുള്ള സാധ്യത വളരെ കൂടുതലുമാണ്. എല്ലായ്‌പ്പോഴും URL മുഴുവനും നോക്കിയിട്ട് മാത്രമേ അത് ഉപയോഗിക്കാവൂ. നിർഭാഗ്യവശാൽ നിങ്ങൾ വിശദവിവരങ്ങൾ കൊടുത്തിട്ടുണ്ടെങ്കിൽ കാണാമറയത്തിരിക്കുന്ന ഹാക്കറുടെ കൈയിൽ ആ വിവരങ്ങൾ എത്തിച്ചേർന്നിട്ടുണ്ടാകും. 
 
ഓൺലൈൻ അക്കൗണ്ടുകൾ സുരക്ഷിതമാക്കാം
1. എല്ലാ അക്കൗണ്ടുകൾക്കും ഒരേ പാസ്‌വേഡ്‌ ഉപയോഗിക്കരുത്. പ്രത്യേകിച്ചും ബാങ്കുമായി ബന്ധപ്പെട്ട അക്കൗണ്ടുകൾക്ക്. കൂടാതെ വീട്ടുപേര്, താമസസ്ഥലം, കമ്പനിയുടെ പേര്, മൊബൈൽ നമ്പർ എന്നിവ പോലെ വേഗത്തിൽ ഊഹിക്കാൻ കഴിയുന്നവ ഒരിക്കലും പാസ്‌വേഡ്‌ ആയി കൊടുക്കരുത്. ഓർത്തെടുക്കാൻ എളുപ്പത്തിനാണ് നമ്മളിൽ പലരും ഇങ്ങനെ പാസ്‌വേഡ്‌ കൊടുക്കുന്നത്. ഒരു ഹാക്കറിന് ഇവ കണ്ടെത്താൻ വലിയ പ്രയാസം ഇല്ല.
2. പാസ്‌വേഡ്‌ തിരഞ്ഞെടുക്കുമ്പോൾ കഴിവതും ശക്തമായവ എടുക്കുക. കാപ്പിറ്റൽ ലെറ്റേഴ്‌സും സ്മോൾ ലെറ്റേഴ്‌സും നമ്പരുകളും സ്പെഷ്യൽ കാരക്ടറും ചേർന്ന പാസ്‌വേഡുകളാണ് ഏറ്റവും സുരക്ഷിതം. കൂടാതെ ‘E’ -യ്ക്ക്‌ പകരം ‘3’, ‘I’-ന്‌ പകരം ‘1’ എന്നിങ്ങനെയൊക്കെ പാസ്‌വേഡുകളുടെ സുരക്ഷ കൂട്ടാവുന്നതാണ്.
3. പാസ്‌വേഡുകളുടെ വലിപ്പം 8 മുതൽ 25 വരെ കാരക്ടർ ആകാം. എത്രയും കൂടുന്നുവോ അത്രയും സുരക്ഷിതം ആണ്. 
4. ഡിക്ഷ്ണറിയിൽ ഉള്ള വാക്കുകൾ ഒരിക്കലും പാസ് വേഡ്‌ ആയി ഉപയോഗിക്കരുത്. ഒരാൾക്ക് അത്തരം പാസ്‌വേഡുകൾ വളരെ എളുപ്പത്തിൽ ‘ഡിക്ഷ്ണറി അറ്റാക്ക്’ വഴി കണ്ടെത്താവുന്നതാണ്.
5. ആപ്ലിക്കേഷനുകളിൽ ഉള്ള ‘ഡിഫോൾട്ട്‌ പാസ് വേഡുകൾ’ ആദ്യതവണ ഉപയോഗിക്കുമ്പോൾത്തന്നെ മാറ്റേണ്ടതാണ്. കൂടാതെ, പാസ്‌വേഡുകൾ ഒരു നിശ്ചിത ഇടവേളകളിൽ മാറ്റുന്നത് നല്ലതാണ്.
ഇപ്പോൾ ഒട്ടുമിക്ക ഓൺലൈൻ അക്കൗണ്ടുകളും ‘മൾട്ടി ഫാക്ടർ ഓഥന്റിക്കേഷൻ (എം.എഫ്.എ.)’ സൗകര്യം നൽകുന്നുണ്ട്. അവയിൽ സാധാരണയായി കണ്ടുവരുന്നതാണ് ‘2 ഫാക്ടർ ഓഥന്റിക്കേഷൻ (2 എഫ്.എ.)’. ഫെയ്‌സ്ബുക്ക്, ഗൂഗിൾ പോലുള്ള ആപ്ലിക്കേഷനുകൾ ഈ സൗകര്യം നൽകുന്നുണ്ട്. ഓൺലൈൻ അക്കൗണ്ടുകൾ ഉപയോഗിക്കാൻ പാസ്‌വേഡിനു പുറമെ ഉപഭോക്താക്കളുടെ മൊബൈലിലേക്ക് ഒരു ‘വൺ ടൈം പാസ്‌വേഡ്’ (OTP) വരും. അതുംകൂടി നൽകിയാലേ അക്കൗണ്ട് ഉപയോഗിക്കാൻ കഴിയൂ. ഇങ്ങനെയുള്ള നൂതന സംവിധാനങ്ങൾ പ്രയോജനപ്പെടുത്തണം.
 
(യു.എസ്.ടി. ഗ്ലോബൽ ഇൻഫർമേഷൻ സെക്യൂരിറ്റി ഹെഡും കേരള പോലീസ് സൈബർഡോം ഡെപ്യൂട്ടി കമാൻഡറുമാണ് ലേഖകൻ.വെബ്‌സൈറ്റ്: adarshnair.com)
 
ഇത്തരം തട്ടിപ്പുകളെ എങ്ങനെ തടയാം

വഴികൾ വളരെ ലളിതമാണ്. എല്ലായ്‌പ്പോഴും വളരെ ശ്രദ്ധയോടെ വേണം ഇന്റർനെറ്റ് ഉപയോഗിക്കാൻ. സൈബർ കുറ്റകൃത്യങ്ങളുടെ ഏറ്റവും വലിയ പ്രത്യേകത എന്നത് ലോകത്തിന്റെ എവിടെ ഇരുന്നു വേണമെങ്കിലും എവിടെയും ആക്രമണം നടത്താൻ സാധിക്കും എന്നതാണ്. പലപ്പോഴും യഥാർത്ഥ ക്രിമിനലുകളെ കണ്ടെത്താൻതന്നെ വളരെ പ്രയാസമാണ്.

  • ഒരു വെബ്‌സൈറ്റ് ഉപയോഗിക്കുന്നതിനു മുൻപ് പാഡ് ലോക്ക് അല്ലെങ്കിൽ https ഉണ്ടോ എന്ന് ഉറപ്പുവരുത്തുക. (എല്ലാ വെബ്‌സൈറ്റുകളും പാഡ് ലോക്ക് അല്ലെങ്കിൽ https ഉള്ളവ ആയിരിക്കണം എന്നില്ല. എന്തിനുവേണ്ടി ഉള്ളതാണ് എന്നതിനെ ആശ്രയിച്ചിരിക്കും) 
  • URL മുഴുവനും നോക്കിയിട്ട് അത് ഒറിജിനൽ ഡൊമയ്‌ൻ തന്നെ ആണെന്ന് ഉറപ്പുവരുത്തുക. 
  • സംശയാസ്പദമായി നിങ്ങൾക്ക് ഒരു URL കിട്ടിയെങ്കിൽ, https://www.virustotal.com പോലുള്ള ഓൺലൈൻ ആപ്ലിക്കേഷനുകൾ ഉപയോഗിച്ച് പരിശോധിക്കാവുന്നതാണ്. 
  • നിങ്ങൾക്ക് ലഭിക്കുന്ന ഇ-മെയിലുകളുടെ ആധികാരികത ഉറപ്പുവരുത്തിയതിനു ശേഷമേ അതിൽ പറയുന്ന കാര്യങ്ങൾ ചെയ്യാവൂ. 
  • അനാവശ്യമായി വരുന്ന സന്ദേശങ്ങളിൽനിന്ന് ഒന്നും ഡൗൺലോഡ് ചെയ്യുകയോ ലിങ്കുകളിൽ ക്ലിക്ക് ചെയ്യുകയോ ചെയ്യരുത്. 
  • നിങ്ങളുടെ ഓൺലൈൻ അക്കൗണ്ടുകളും ബാങ്കിങ് സ്റ്റേറ്റ്‌മെന്റുകളും കൃത്യമായ ഇടവേളകളിൽ പരിശോധിക്കുന്നത് എന്തെങ്കിലും തട്ടിപ്പു നടന്നിട്ടുണ്ടോ എന്ന് കണ്ടെത്താൻ സഹായിക്കും. 
  • ബാങ്ക് അല്ലെങ്കിൽ ബാങ്കുമായി ബന്ധപ്പെട്ട ഉദ്യോഗസ്ഥർ ആരും നിങ്ങളുടെ കൈയിൽനിന്ന് രഹസ്യസ്വഭാവം ഉള്ള വിവരങ്ങൾ ആവശ്യപ്പെടില്ല. നിങ്ങൾക്ക് അങ്ങനെയുള്ള കോൾ/മെസേജ്/ഇ-മെയിലുകൾ ലഭിച്ചെങ്കിൽ അതതു ബാങ്കിന്റെ കസ്റ്റമർ കെയറിൽ വിളിച്ച് വിവരം അന്വേഷിക്കാവുന്നതാണ്.
  • ഓൺലൈൻ അക്കൗണ്ടുകളുടെ പാസ്‌വേഡുകൾ വളരെ ശ്രദ്ധയോടെ വേണം കൈകാര്യം ചെയ്യാൻ. 2018-ൽ ഏറ്റവും കൂടുതൽ ആൾക്കാർ ഉപയോഗിച്ച പാസ്‌വേഡ്‌ ‘123456’ ആണ്. കഴിഞ്ഞ അഞ്ചു വർഷമായി ഇതുതന്നെയാണ് ഒന്നാം സ്ഥാനത്ത്.