वॉशिंगटन। माइक्रोसॉफ्ट ने एक बड़े और अत्यधिक तकनीकी रूप से विकसित फिशिंग अभियान का खुलासा किया है, जिसमें 26 देशों के 35,000 से अधिक यूजर्स को निशाना बनाया गया। यह साइबर हमला अप्रैल 2026 के मध्य में सामने आया, जिसने 13,000 से ज्यादा संगठनों को प्रभावित किया और खासतौर पर अमेरिका में इसका प्रभाव सबसे अधिक देखा गया।
कंपनी की सिक्योरिटी रिसर्च टीम के अनुसार, इस अभियान में बेहद पेशेवर तरीके से तैयार किए गए फर्जी ईमेल्स का इस्तेमाल किया गया, जो पूरी तरह कॉरपोरेट इंटरनल कम्युनिकेशन जैसे दिखते थे। इन ईमेल्स में HTML टेम्पलेट्स, औपचारिक भाषा और अत्यधिक “अर्जेंसी” यानी तुरंत कार्रवाई के संदेश शामिल थे, जिससे यूजर्स जल्दी प्रतिक्रिया दें।
इन ईमेल्स में “Internal case log issued under conduct policy” और “Reminder: employer opened a non-compliance case log” जैसे सब्जेक्ट लाइन इस्तेमाल किए गए। साथ ही “Internal Regulatory COC” और “Workforce Communications” जैसे फर्जी डिस्प्ले नामों के जरिए इन्हें कंपनी के अंदरूनी नोटिस जैसा दिखाया गया।
FCRF Launches India’s Premier Certified Data Protection Officer Program Aligned with DPDP Act
माइक्रोसॉफ्ट के अनुसार, इस हमले का सबसे ज्यादा असर हेल्थकेयर और लाइफ साइंसेज (19%), फाइनेंशियल सर्विसेज (18%), प्रोफेशनल सर्विसेज (11%) और टेक्नोलॉजी सेक्टर (11%) पर पड़ा। विशेषज्ञों का कहना है कि इन सेक्टर्स को इसलिए टारगेट किया गया क्योंकि इनमें संवेदनशील डेटा और हाई-वैल्यू एक्सेस होता है।
हर ईमेल के साथ एक PDF फाइल भेजी गई, जिसमें कथित “कर्मचारी जांच” या “कंपनी जांच प्रक्रिया” का विवरण दिया गया था। जैसे ही यूजर उसमें दिए गए लिंक पर क्लिक करता, उसे कई स्टेप्स से गुजरना पड़ता—CAPTCHA वेरिफिकेशन और इंटरमीडिएट पेज—ताकि सिक्योरिटी टूल्स इसे पकड़ न सकें।
इसके बाद यूजर को एक फर्जी माइक्रोसॉफ्ट लॉगिन पेज पर रीडायरेक्ट किया जाता था, जहां लॉगिन डिटेल्स और टोकन दोनों चुरा लिए जाते थे। इस हमले में “Adversary-in-the-Middle (AiTM)” तकनीक का इस्तेमाल किया गया, जिससे हमलावर रियल-टाइम में सेशन टोकन कैप्चर कर लेते थे और मल्टी-फैक्टर ऑथेंटिकेशन (MFA) को भी बायपास कर लेते थे।
माइक्रोसॉफ्ट ने चेतावनी दी है कि यह तकनीक बेहद खतरनाक है, क्योंकि कई मामलों में हमलावर पासवर्ड बदलने के बाद भी सिस्टम एक्सेस बनाए रख सकते हैं, यदि सेशन टोकन एक्टिव रहे।
रिपोर्ट के अनुसार, यह पूरा अभियान अलग-अलग डोमेन और वैध ईमेल सर्विसेज का उपयोग करके चलाया गया, जिससे इसे पहचानना और ब्लॉक करना और कठिन हो गया। CAPTCHA और मल्टी-लेयर रीडायरेक्शन जैसे तरीकों ने सिक्योरिटी सिस्टम को भी भ्रमित किया।
इसके अलावा, 2026 की पहली तिमाही में लगभग 8.3 अरब फिशिंग अटैक रिकॉर्ड किए गए, जिनमें से करीब 80% लिंक-बेस्ड थे। QR कोड फिशिंग में भी तेज बढ़ोतरी देखी गई, जो जनवरी से मार्च के बीच 146% बढ़कर 18.7 मिलियन तक पहुंच गई।
बिजनेस ईमेल कॉम्प्रोमाइज (BEC) स्कैम में भी तेजी देखी गई, जिसमें 10.7 मिलियन से अधिक मामले दर्ज किए गए। इनमें इनवॉइस फ्रॉड, फर्जी पेमेंट रिक्वेस्ट और सैलरी से जुड़े धोखे शामिल थे।
साइबर विशेषज्ञों का कहना है कि 2026 में फिशिंग हमले अब केवल बड़े पैमाने पर नहीं, बल्कि अधिक “स्मार्ट और मल्टी-लेयर” हो गए हैं, जहां क्लाउड सर्विसेज, रियल-टाइम टोकन चोरी और सोशल इंजीनियरिंग एक साथ इस्तेमाल हो रहे हैं।
माइक्रोसॉफ्ट ने संगठनों को सलाह दी है कि वे फिशिंग-रेसिस्टेंट ऑथेंटिकेशन अपनाएं, संदिग्ध लॉगिन पैटर्न की निगरानी करें और एंडपॉइंट सिक्योरिटी को मजबूत करें।
फिलहाल प्रभावित संगठनों में सुरक्षा ऑडिट जारी है और साइबर एजेंसियां इस पूरे नेटवर्क की डिजिटल ट्रेल और सर्वर इन्फ्रास्ट्रक्चर की जांच कर रही हैं।
