فشنگ کیا ہوتی ہے؟
امواد کا جدول
فشنگ کی اقسام کیا ہیں؟
فشنگ کی روک تھام کس طرح کی جائے؟
فشنگ کیا ہوتی ہے؟
ہوم
آرٹیکلز
فشنگ کیا ہوتی ہے؟

فشنگ کیا ہوتی ہے؟

نو آموز
شائع کردہ Nov 28, 2018اپڈیٹ کردہ Nov 11, 2022
6m

فشنگ سائبر حملے کی ایک ایسی قسم ہے، جس میں کوئی گمراہ کن شخص افراد کو دھوکہ دینے اوران کی حساس معلومات جیسا کہ کریڈٹ کارڈ کی تفصیلات، صارفین کے نام، پاس ورڈز، اور اس طرح کی معلومات یکجا کرنے کے لیے اچھی ساکھ کے حامل ادارے یا کاروبار کا روپ دھارتا ہے۔ جیسا کہ فشنگ میں نفسیاتی ہیرا پھیری شامل ہوتی ہے اور اس کا انحصار انسانی ناکامیوں (ہارڈ ویئر اور سافٹ ویئر کی بجائے) پر ہوتا ہے، اسے سوشل انجینئرنگ کے حملے کی قسم سمجھا جاتا ہے۔

فشنگ کے حملے عمومی طور پر صارف کو دھوکے بازی پر مبنی ای میلز کا استعمال کرتے ہوئے دھوکہ دہی پر مبنی ویب سائٹ میں حساس معلومات کا اندراج کرنے کے لیے آمادہ کرتے ہیں۔ یہ ای میلز صارف سے اس کا پاس ورڈ ری سیٹ کرنے یا اس کے کریڈٹ کارڈ کی معلومات کی تصدیق کرنے کی درخواست کرتی ہیں، جو کہ ایک جعلی ویب سائٹ کی جانب لے کر جاتی ہیں جو بہت حد تک حقیقت کی طرح دکھائی دیتی ہے۔ فشنگ کی مرکزی اقسام میں کلون فشنگ، سپیئر فشنگ، اور فارمنگ شامل ہیں۔

فشنگ حملوں کو کرپٹو کرنسی کے ایکو سسٹم میں بھی استعمال کیا جا رہا ہے، جس میں گمراہ کن افراد صارفین سے Bitcoin یا دیگر ڈیجیٹل کرنسیز چرانے کی کوشش کرتے ہیں۔ مثلاً، ایسا کسی حملہ آور کی جانب سے حقیقی ویب سائٹ کی اسپوفنگ اور اس کے والیٹ ایڈریس کو اپنے پر منتقل کر کے کیا جا سکتا ہے، جو صارفین کو یہ تاثر دیتا ہے کہ وہ کسی جائز سروس کے لیے ادائیگی کر رہے ہیں، جبکہ درحقیقیت ان کی رقم کو چرا لیا گیا ہے۔


فشنگ کی اقسام کیا ہیں؟

فشنگ کی بہت سی اقسام ہیں اور انہیں ہدف اور حملہ جاتی ویکٹر کی بنیاد پر درجہ بند کیا جاتا ہے۔ ہم یہاں پر کچھ عام مثالوں کی فہرست سازی کریں گے۔ 

  • کلون فشنگ: کوئی حملہ آور گزشتہ طور پر بھیجی گئی جائز ای میل کا استعمال کرے گا، اور اس کے مواد کو اس جیسی کسی ای میل میں کاپی کرے گا، جس میں گمراہ کن سائٹ کا لنک موجود ہو گا۔ پھر حملہ آور یہ بیان دیتے ہوئے اس بات کا دعویٰ کرے گا کہ یہ ایک اپڈیٹ کردہ یا نیا لنک ہے، جبکہ پچھلا زائد المیعاد ہو چکا ہے۔

  • سپیئر فشنگ: حملے کی اس قسم کی توجہ ایک فرد یا ادارے پر مرکوز ہوتی ہے - جس کی عمومی طور پر دیگر افراد کے ذریعے تشخیص کی جاتی ہے۔ سپیئر حملہ فشنگ کے باقی حملوں کی نسبت زیادہ پیچیدہ ہوتا ہے کیونکہ اس کی پروفائل موجود ہوتی ہے۔ اس کا مطلب ہے کہ حملہ آور پہلے شکار ہونے والے فرد کے بارے میں معلومات یکجا کرتا ہے(مثلاً۔ دوستوں یا خاندان کے افراد کے نام) اور پھر اس ڈیٹا کی بنیاد پر ایک ایسا پیغام تشکیل دیتا ہے، جس کا مقصد شکار ہونے والے فرد کو گمراہ کن ویب سائٹ ملاحظہ کرنے یا گمراہ کن فائل ڈاؤن لوڈ کرنے کے لیے آمادہ کرنا ہوتا ہے۔

  • فارمنگ: حملہ آور DNS ریکارڈ کو خراب کرے گا، جو عملی طور پر کسی قانونی ویب سائٹ کے وزیٹرز کو کسی ایسی گمراہ کن ویب سائٹ پر بھیجے گا، جسے حملہ آور نے پیشگی تشکیل کیا تھا۔ یہ سب سے زیادہ خطرناک حملہ ہے، کیونکہ صارف کے کنٹرول میں DNS ریکارڈز نہیں ہوتے، یوں صارف اس کے خلاف مزاحمت کرنے سے قاصر ہو جاتا ہے۔

  • وہیلنگ: یہ سپیئر فشنگ کی ایسی قسم ہے، جس میں امیر اور اہم افراد کو نشانہ بنایا جاتا ہے، جیسا کہ CEOs اور حکومتی افسران۔

  • ای میل اسپوفنگ: فشنگ کی ای میلز عمومی طور پر قانونی کمپنیوں یا افراد کی جانب سے کی جانے والے مواصلات کو اسپوف کرتی ہیں۔ فشنگ ای میلز شکار ہونے والے نامعلوم افراد کو گمراہ کن سائٹس کے لنکس پیش کرتی ہے، جہاں حملہ آور ہوشیاری سے بھیس بدلے ہوئے لاگ ان صفحات کا استعمال کرتے ہوئے لاگ ان کی اسناد اور PII یکجا کرتے ہیں۔ ان صفحات میں ٹروجنز، کیی لاگرز، اور دیگر گمراہ کن اسکرپٹس شامل ہوتے ہیں، جو ذاتی معلومات چراتے ہیں۔

  • ویب سائٹ کی جانب سے واپس بھیجنا: ویب سائٹ کی جانب سے واپس بھیجے جانے کا عمل صارفین کو ان کی من چاہی سے مختلف URLs پر بھیجتے ہیں۔ کمزور پہلوؤں سے فائدہ اٹھانے والے افراد، صارفین کے کمپیوٹرز میں ری ڈائیریکٹس کا اندراج اور مالویئر انسٹال کر سکتے ہیں۔

  • ٹائپو اسکواٹنگ: ٹائپو اسکواٹنگ ٹریفک کو جعلی ویب سائٹس پر بھیجتی ہے، جو غیر ملکی زبان کے ہجوں، ہجوں کی عمومی غلطیوں، یا بہترین درجے کی ڈومین میں معمولی تغیرات کا استعمال کرتی ہے۔ فشرز غلط ٹائپ کرنے یا URL غلط طریقے سے پڑھنے والے صارفین کا فائدہ اٹھاتے ہوئے جائز ویب سائٹس کی نقل تیار کرنے کے لیے ڈومینز کا استعمال کرتے ہیں۔

  • 'واٹرنگ ہول': واٹرنگ ہول کے حملے میں، فشرز صارفین کو پروفائل کرتے ہیں اور ان کی جانب سے اکثر استعمال کی جانے والی ویب سائٹس کا تعین کرتے ہیں۔ فشرز ان سائٹس کو کمزوریوں کے لیے اسکین کرتے ہیں، اور اگر ممکن ہو سکے تو صارفین کی جانب سے اگلی بار اس ویب سائٹ کی طرف آنے پر، انہیں ہدف بنانے کے لیے گمراہ کن اسکرپٹس داخل کرتے ہیں۔

  • نقالی اور تحائف: فشنگ اسکیمز میں استعمال کی جانے والی تکنیک میں سے ایک، سوشل میڈیا پر اثرورسوخ رکھنے والی شخصیات کی نقالی کرنا ہے۔ فشرز کمپنیوں کے اہم لیڈرز اور ان کی جانب سے لازمی طور پر شامل کیے جانے والے سامعین کی نقالی کر سکتے ہیں، وہ تحائف کی تشہیر یا دیگر غلط کاموں میں مشغول ہو سکتے ہیں۔ اس چال بازی کا شکار افراد کو سوشل انجینئرنگ کے ان مقاصد کے ذریعے انفرادی طور پر ہدف بنایا جا سکتا ہے، جن کا مقصد سادہ لوح صارفین کی تلاش ہے۔ افراد توثیق کردہ اکاؤنٹس کو ہیک کر سکتے ہیں اور توثیق کردہ کا اسٹیٹس برقرار رکھتے ہوئے حقیقی شخص کی نقالی کرنے کے لیے صارفی ناموں میں تبدیلی کر سکتے ہیں۔ بظاہر اثرورسوخ رکھنے والی شخصیات کے ساتھ شکار افراد کی جانب سے تعاملات انجام دینے اور PII فراہم کرنے کے زیادہ امکانات ہوتے ہیں، جس سے فشرز کے لیے ان کی معلومات سے فائدے حاصل کرنے کے مواقع پیدا ہوتے ہیں۔
    حالیہ، فشرز انہی مقاصد، چیٹس اسپوف کرنے، افراد کی نقالی کرنے، اور قانونی سروسز کی نقل تیار کرنے کے لیے Slack، Discord، اور Telegram جیسے پلیٹ فارمز کو شدت سے نشانہ بنا رہے ہیں۔  

  • تشہیرات: فشنگ کے لیے استعمال کی جانے والی تدابیر میں سے ایک، بامعاوضہ تشہیرات ہیں۔ یہ (جعلی) تشہیرات ایسی ڈومینز کا استعمال کرتی ہیں، جنہیں حملہ آوروں نے ٹائپواسکواٹڈ کیا ہے اور تلاش کرنے کے نتیجوں میں نظر آنے کے لیے معاوضہ ادا کیا ہے۔ حتیٰ کہ قانونی کمپنیوں جیسا کہ Binance کے لیے انجام دیے جانے والے تلاش کے عمل میں، یہ سائٹس تلاش کے پہلے نتیجے کے طور پر ظاہر ہوتی ہیں۔ یہ سائٹس اکثر حساس معلومات کو فش کرنے کے لیے استعمال کی جاتی ہیں، جس میں آپ کے اکاؤنٹ کے لیے لاگ ان کی اسناد شامل ہو سکتی ہیں۔

  • گمراہ کن ایپلیکیشنز: فشرز گمراہ کن ایپس کو ایک ویکٹر کے طور پر مالویئر داخل کرنے کے لیے استعمال کر سکتے ہیں، جو آپ کے برتاؤ کی نگرانی کرتی ہیں اور حساس معلومات چراتی ہیں۔ یہ ایپس قیمت کے ٹریکرز، والیٹس، اور کرپٹو کے دیگر متعلقہ ٹوکز کا روپ بھی دھار سکتے ہیں (جس میں ٹریڈنگ کرنے والے اور کرپٹو کرنسی کے حامل صارفین کی بنیاد شامل ہے)۔

  • متنی اور صوتی فشنگ: SMS فشنگ، متنی پیغام پر مشتمل فشنگ کی قسم، اور وشنگ، صوتی/فون کے مساوی، یہ تمام ایسے دیگر طریقے ہیں جن کے ذریعے حملہ آور ذاتی معلومات کے حصول کی کوشش کرتے ہیں۔


فشنگ بمقابلہ فارمنگ

اگرچہ کچھ افراد فارمنگ کو فشنگ حملے کی ایک قسم کے طور پر سمجھتے ہیں، یہ مختلف میکانزم پر انحصار کرتی ہے۔ فشنگ اور فارمنگ کے مابین مرکزی فرق یہ ہے کہ فشنگ میں شکار فرد کی جانب سے غلطی کرنے کی ضرورت ہوتی ہے، جبکہ فارمنگ میں شکار فرد کی جانب سے کسی ایسی قانونی ویب سائٹ تک رسائی کرنے کی کوشش کی ضرورت ہوتی ہے، جس میں حملہ آور کی جانب سے سمجھوتہ کیے گئے DNS ریکارڈ شامل تھے۔


فشنگ کی روک تھام کس طرح کی جائے؟

  • محتاط رہیں: آپ کی جانب سے فشنگ سے بچنے کے لیے بہترین قدم، موصول ہونے والی ای میلز کے متعلق تنقیدی اعتبار سے سوچنا ہے۔ کیا آپ کو کسی فرد کی جانب سے زیر بحث موضوع سے متعلق ای میل ملنے کی امید تھی؟ کیا آپ کو مخصوص فرد کی جانب سے معلومات کے حصول پر شبہات ہیں؟ اگر شک کی گنجائش موجود ہے، تو ارسال کنندہ سے کسی اور ذریعے سے رابطہ کرنے کی بھرپور کوشش کریں۔

  • مواد چیک کریں: آپ تلاش کے انجن پر مواد کے کسی جزو (یا ارسال کنندہ کے ای میل ایڈریس) کو یہ چیک کرنے کے لیے ٹائپ کر سکتے ہیں، کہ آیا کسی خاص طریقے کا استعمال کرنے والے فشنگ حملوں کا کوئی ریکارڈ موجود ہے۔

  • دیگر طریقے آزمائیں: اگر آپ سمجھتے ہیں کہ آپ کو کسی واقف کاروبار کے لیے اپنے اکاؤنٹ کی اسناد کی تصدیق کرنے کے لیے قانونی درخواست موصول ہوئی ہے، تو ای میل میں دیے گئے لنک پر کلک کرنے کی بجائے کسی اور طریقے سے ایسا کرنے کی کوشش کریں۔

  • URL چیک کریں: لنک پر یہ دیکھنے کے لیے کہ اگر اس کی شروعات سوائے HTTP کے HTTPS سے ہوتی ہے، اس پر بغیر کلک کیے ہورر کریں۔ تاہم، نوٹ کریں کہ سائٹ کے قانونی ہونے کی صرف یہی ضمانت نہیں ہے۔ URLs کو غلط ہجوں، غیر معمولی حروف، اور دیگر بے قاعدگیوں کے لیے احتیاط سے چیک کریں۔

  • اپنی نجی کلیدیں شیئر نہ کریں: اپنے Bitcoin والیٹ کو نجی کلید ہرگز نہ دیں، اور اس پراڈکٹ اور ارسال کنندہ کی قانونی حیثیت کی پڑتال کر لیں جنہیں آپ کرپٹو کرنسی دینے والے ہیں۔ کریڈٹ کارڈ کے برعکس، کرپٹو کے ساتھ تعامل انجام دینے میں یہ فرق ہے کہ اگر آپ کو وہ اشیاء یا سروس نہیں ملتیں جس پر اتفاق ہوا تھا، تو اس صورت میں کسی بھی قسم کے چارج پر تنازعہ کرنے کے لیے کوئی مرکزی اتھارٹی موجود نہیں ہے۔ اسی باعث کرپٹو کرنسی کی ٹرانزیکشنز انجام دیتے ہوئے آپ پر خصوصی احتیاط کرنا لازم ہے۔

فشنگ، وسیع پیمانے پر پھیلے ہوئے اور سائبر حملے کی عمومی تکانیک کی ایک قسم ہے۔ جبکہ مین اسٹریم سروسز کے ای میلز فلٹرز، حقیقی پیغامات سے اسپوفز باآسانی فلٹر کر سکتے ہیں، آپ پر پھر بھی محتاط رہنا اور آخری حد تک اپنی حفاظت کرنا لازم ہے۔ آپ ایسی تمام کوششوں سے محتاظ رہیں جن میں آپ سے حساس یا نجی معلومات حاصل کرنے کی کوشش کی جائے۔ ارسال کنندہ اور درخواست کی قانونی حیثیت کی تصدیق کرنے کے لیے، اگر ممکن ہو سکے تو ہمیشہ مواصلات کے دیگر طریقوں سے تصدیق کریں۔ ای میلز میں موجود سیکورٹی واقعات کے متعلق لنکس پر کلک کرنے سے اجتناب کریں اور URL کی شروعات میں HTTPS کے لیے تلاش جاری رکھتے ہوئے، اپنی شرائط پر ویب پیج پر نیویگیٹ کریں۔ حتمی طور پر، کرپٹو کرنسی کی ٹرانزیکشنز کے متعلق محتاط رہیں، جیسا کہ انہیں کسی ایسے ایونٹ میں واپس کرنے کا کوئی طریقہ نہیں ہے، جس میں مرچنٹ ڈیل کے آخر تک ہولڈ برقرار رکھتا ہے۔ اپنی نجی کلیدیں اور پاس ورڈز ہمیشہ مخفی رکھیں اور کسی پر ہرگز اعتبار نہ کریں۔