न्यूयॉर्क | लोकप्रिय पासवर्ड मैनेजर LastPass ने अपने वैश्विक यूज़र बेस के लिए एक गंभीर सुरक्षा चेतावनी जारी की है। कंपनी के अनुसार, 19 जनवरी से एक सक्रिय और हाई-रिस्क फिशिंग अभियान चल रहा है, जिसका उद्देश्य यूज़र्स के मास्टर पासवर्ड चुराना है। इस अभियान में धोखाधड़ी वाले ईमेल के ज़रिये यूज़र्स पर तत्काल कार्रवाई का दबाव बनाया जा रहा है, ताकि वे जल्दबाज़ी में अपनी संवेदनशील लॉगिन जानकारी साझा कर दें।
LastPass ने बताया कि इन फिशिंग ईमेल्स में झूठा दावा किया जा रहा है कि कंपनी जल्द ही मेंटेनेंस प्रक्रिया शुरू करने जा रही है और यूज़र्स को 24 घंटे के भीतर अपने पासवर्ड वॉल्ट का बैकअप लेना अनिवार्य है। साइबर सुरक्षा विशेषज्ञों के मुताबिक, ऐसी कृत्रिम समय-सीमा बनाना साइबर अपराधियों की एक सामान्य रणनीति है, जिससे यूज़र बिना सत्यापन के खतरनाक लिंक पर क्लिक कर बैठते हैं।
मास्टर पासवर्ड को सीधे निशाना
यह चेतावनी LastPass की Threat Intelligence, Mitigation, and Escalation (TIME) टीम की ओर से जारी की गई है। टीम ने इस अभियान को एक ऐसा फिशिंग अटैक बताया है, जो किसी एक अकाउंट के बजाय सीधे यूज़र के मास्टर पासवर्ड को निशाना बना रहा है। एक बार मास्टर पासवर्ड से समझौता होने पर हमलावर यूज़र के पासवर्ड वॉल्ट में सेव सभी अकाउंट्स और क्रेडेंशियल्स तक पहुंच बना सकते हैं।
LastPass ने स्पष्ट किया है कि कंपनी कभी भी ईमेल के ज़रिये मास्टर पासवर्ड नहीं मांगती, न ही किसी यूज़र को तुरंत कार्रवाई करने के लिए दबाव में डालती है। जिन यूज़र्स को LastPass के नाम से कोई संदिग्ध ईमेल प्राप्त होता है, उन्हें उसे abuse@lastpass.com पर फॉरवर्ड करने की सलाह दी गई है, ताकि उसकी जांच की जा सके।
Certified Cyber Crime Investigator Course Launched by Centre for Police Technology
क्यों ज्यादा खतरनाक है यह अभियान
साइबर सुरक्षा विशेषज्ञों का कहना है कि यह अभियान इसलिए अधिक गंभीर माना जा रहा है क्योंकि यह सीधे पासवर्ड मैनेजर को निशाना बना रहा है। मास्टर पासवर्ड से समझौता होने की स्थिति में एक साथ दर्जनों या सैकड़ों ऑनलाइन अकाउंट्स जोखिम में आ सकते हैं, जिससे वित्तीय, व्यक्तिगत और पेशेवर नुकसान की आशंका बढ़ जाती है।
विशेषज्ञों के मुताबिक, जागरूकता बढ़ने के बावजूद फिशिंग अब भी पासवर्ड चोरी का सबसे प्रभावी तरीका बना हुआ है। हमलावर भरोसेमंद ब्रांड्स की नकल करते हैं, आधिकारिक भाषा और डिज़ाइन का इस्तेमाल करते हैं और यूज़र्स को भ्रमित करने के लिए फर्जी डेडलाइन तय करते हैं। इस मामले में मेंटेनेंस अपडेट का बहाना बनाकर यूज़र्स को जाल में फंसाने की कोशिश की जा रही है।
यूज़र्स के लिए चेतावनी और सलाह
LastPass ने अपने एडवाइजरी में दोहराया है कि किसी भी वैध ईमेल में यूज़र्स से मास्टर पासवर्ड दोबारा दर्ज करने या दबाव में वॉल्ट बैकअप लेने को नहीं कहा जाएगा। कंपनी ने यूज़र्स को मल्टी-फैक्टर ऑथेंटिकेशन सक्षम करने, सॉफ़्टवेयर को अपडेट रखने और केवल आधिकारिक चैनलों से प्राप्त सूचनाओं पर भरोसा करने की सलाह दी है।
यह चेतावनी ऐसे समय पर आई है जब फिशिंग, इंफो-स्टीलर मालवेयर और फर्जी पासवर्ड रीसेट संदेशों के ज़रिये अकाउंट से समझौता करने के मामले तेजी से बढ़ रहे हैं। हालांकि अब तक किसी बड़े डेटा ब्रीच की पुष्टि नहीं हुई है, लेकिन विशेषज्ञों का कहना है कि ऐसे हमलों की सफलता तकनीकी खामियों से अधिक यूज़र की प्रतिक्रिया पर निर्भर करती है।
LastPass ने कहा है कि वह स्थिति पर लगातार नज़र रखे हुए है और फिशिंग से जुड़े दुर्भावनापूर्ण डोमेन्स को ब्लॉक करने के लिए सक्रिय कदम उठा रहा है। कंपनी ने सुरक्षा समुदाय से भी अपील की है कि ऐसे अभियानों से जुड़ी जानकारी साझा की जाए, ताकि इनके प्रभाव को सीमित किया जा सके।
