بدمعاشوں کی گیلری
دج سوفٹ ویئر پیکجوں دج "سیسڈمینز"۔ دج keyloggers دج تصدیق کنندگان
نیچے کوئی آڈیو پلیئر نہیں ہے؟ سنو براہ راست ساؤنڈ کلاؤڈ پر۔
ڈوگ آموت اور پال ڈکلن کے ساتھ۔ انٹرو اور آؤٹرو میوزک بذریعہ ایڈتھ موج.
آپ ہماری بات سن سکتے ہیں۔ پر SoundCloud, ایپل پوڈ, گوگل پوڈ کاسٹ, Spotify, Stitcher اور جہاں بھی اچھے پوڈ کاسٹ ملتے ہیں۔ یا صرف ڈراپ کریں۔ ہمارے RSS فیڈ کا URL اپنے پسندیدہ پوڈ کیچر میں۔
ٹرانسکرپٹ پڑھیں
ڈوگ دھوکہ دہی، بدمعاش 2FA ایپس، اور ہم نے لاسٹ پاس کا آخری نہیں سنا ہے۔
وہ سب کچھ، اور بہت کچھ، ننگی سیکیورٹی پوڈ کاسٹ پر۔
[میوزیکل موڈیم]
پوڈ کاسٹ میں خوش آمدید، سب۔
میں ڈوگ آموت ہوں؛ وہ پال ڈکلن ہے۔
پال، آج آپ کیسے کر رہے ہیں؟
بطخ. چلی، ڈوگ.
بظاہر، مارچ فروری سے زیادہ ٹھنڈا ہونے والا ہے۔
ڈوگ ہمیں یہاں بھی وہی مسئلہ درپیش ہے، وہی چیلنج۔
تو، پریشان نہ ہوں - میرے پاس ایک بہت دلچسپ ہے۔ ٹیک ہسٹری میں یہ ہفتہ طبقہ.
اس ہفتے، 05 مارچ 1975 کو، ہومبریو کمپیوٹر کلب کا پہلا اجتماع مینلو پارک، کیلیفورنیا میں ہوا، جس کی میزبانی فریڈ مور اور گورڈن فرنچ نے کی۔
پہلی میٹنگ میں تقریباً 30 ٹیکنالوجی کے شائقین نے دیگر چیزوں کے علاوہ الٹیر پر تبادلہ خیال کیا۔
اور تقریباً ایک سال بعد، 01 مارچ 1976 کو، اسٹیو ووزنیاک نے اپنے بنائے ہوئے ایک سرکٹ بورڈ کے ساتھ ایک میٹنگ میں شرکت کی، جس کا مقصد منصوبوں کو پیش کرنا تھا۔
اسٹیو جابز نے اس سے بات کی، اور دونوں نے ایپل کو شروع کیا۔
اور باقی تاریخ ہے پال۔
بطخ. ٹھیک ہے، یہ یقینی طور پر تاریخ ہے، ڈوگ!
الٹیر، ہاں؟
واہ!
وہ کمپیوٹر جس نے بل گیٹس کو ہارورڈ چھوڑنے پر آمادہ کیا۔
اور حقیقی کاروباری انداز میں، پال ایلن اور مونٹی ڈیوڈوف کے ساتھ - میرے خیال میں یہ وہ تینوں تھے جنہوں نے الٹیر بیسک لکھا - نیو میکسیکو میں ڈیمپ کیا۔
Albuquerque میں ہارڈویئر فروش کی پراپرٹی پر جا کر کام کریں!
ڈوگ شاید کوئی ایسی چیز جو شاید تاریخ نہیں بنائے گی…
…ہم شو آف کا آغاز ایک غیر نفیس لیکن دلچسپ کے ساتھ کریں گے۔ دھوکہ دہی مہم، پال.
NPM JavaScript پیکجوں کو بڑی تعداد میں سکیمبیٹ لنکس بنانے کے لیے غلط استعمال کیا گیا۔
بطخ. جی ہاں، میں نے اسے ننگی سیکیورٹی، ڈوگ پر عنوان کے تحت لکھا ہے۔ NPM JavaScript پیکجوں کو بڑی تعداد میں سکیمبیٹ لنکس بنانے کے لیے غلط استعمال کیا گیا۔ (یہ کہنا بہت زیادہ لفظی ہے جتنا اس وقت لگتا تھا جب میں نے اسے لکھا تھا)…
…کیونکہ میں نے محسوس کیا کہ یہ ویب پراپرٹی کی قسم کا ایک دلچسپ زاویہ ہے جسے ہم براہ راست اور صرف نام نہاد سپلائی چین سورس کوڈ حملوں کے ساتھ منسلک کرتے ہیں۔
اور اس معاملے میں، بدمعاشوں نے سوچا، "ارے، ہم زہریلے سورس کوڈ کو تقسیم نہیں کرنا چاہتے۔ ہم اس قسم کے سپلائی چین حملے میں نہیں ہیں۔ ہم جس چیز کی تلاش کر رہے ہیں وہ صرف لنکس کی ایک سیریز ہے جس پر لوگ کلک کر سکتے ہیں اس سے کوئی شکوک پیدا نہیں ہوں گے۔
لہذا، اگر آپ ایک ایسا ویب صفحہ چاہتے ہیں جسے کوئی دیکھ سکتا ہے جس میں ڈوجی سائٹس کے لنکس ہیں… جیسے "اپنے مفت Amazon بونس کوڈز یہاں حاصل کریں" اور "اپنا مفت بنگو اسپن حاصل کریں" - یہ لفظی طور پر ہزاروں کی تعداد میں تھے…
…کیوں نہ NPM پیکیج مینیجر جیسی سائٹ کا انتخاب کریں، اور پیکجوں کا پورا بوجھ بنائیں؟
پھر آپ کو ایچ ٹی ایم ایل سیکھنے کی بھی ضرورت نہیں، ڈوگ!
آپ صرف اچھے پرانے مارک ڈاون کا استعمال کر سکتے ہیں، اور وہاں آپ کو بنیادی طور پر ایک اچھا نظر آنے والا، بھروسہ مند لنکس مل گیا ہے جس پر آپ کلک کر سکتے ہیں۔
اور وہ لنکس جو وہ استعمال کر رہے تھے، جہاں تک میں سمجھ سکتا ہوں، بنیادی طور پر غیر مشکوک بلاگ سائٹس، کمیونٹی سائٹس، جو کچھ بھی ہو، پر گئے، جن پر غیر منظم یا ناقص اعتدال پسند تبصرے تھے، یا جہاں وہ آسانی سے اکاؤنٹ بنانے اور پھر تبصرے کرنے کے قابل تھے۔ جس میں روابط تھے۔
لہذا وہ بنیادی طور پر روابط کی ایک زنجیر بنا رہے ہیں جو شک کو جنم نہیں دے گا۔
ڈوگ لہذا، ہمارے پاس کچھ مشورہ ہے: فریبی لنکس پر کلک نہ کریں، چاہے آپ کو معلوم ہو کہ آپ دلچسپی رکھتے ہیں یا دلچسپی رکھتے ہیں۔
بطخ. یہ میرا مشورہ ہے، ڈوگ.
ہو سکتا ہے کہ کچھ مفت کوڈز ہوں، یا ہو سکتا ہے کہ کچھ کوپن چیزیں ہوں جو میں حاصل کر سکتا ہوں… شاید دیکھنے میں کوئی حرج نہیں ہے۔
لیکن اگر اس کے ساتھ کسی قسم کی وابستہ اشتہاری آمدنی ہے، جو باورچی صرف آپ کو کسی خاص سائٹ پر دھوکہ دے کر بنا رہے ہیں؟
اس سے کوئی فرق نہیں پڑتا ہے کہ وہ کتنی ہی معمولی رقم کما رہے ہیں، انہیں کچھ بھی کیوں نہیں دیا جاتا؟
یہی میرا مشورہ ہے۔
"پنچ سے بچنے کا بہترین طریقہ وہاں نہیں ہے،" ہمیشہ کی طرح۔
ڈوگ اور پھر ہمارے پاس ہے: آن لائن سروے نہ پُر کریں، چاہے وہ کتنے ہی بے ضرر کیوں نہ ہوں۔
بطخ. جی ہاں، ہم نے کئی بار یہ کہا ہے کہ ننگی سیکیورٹی پر۔
آپ سب جانتے ہیں، ہو سکتا ہے آپ اپنا نام یہاں دے رہے ہوں، وہاں اپنا فون نمبر دے رہے ہوں، ہو سکتا ہے آپ وہاں اپنی تاریخ پیدائش کو مفت تحفے کے لیے کچھ دے رہے ہوں، اور آپ سوچیں، "کیا نقصان ہے؟"
لیکن اگر وہ تمام معلومات درحقیقت ایک بڑی بالٹی میں ختم ہو رہی ہیں، تو وقت گزرنے کے ساتھ، بدمعاش آپ کے بارے میں زیادہ سے زیادہ ہوتے جا رہے ہیں، بعض اوقات شاید اس میں ڈیٹا بھی شامل ہوتا ہے جسے تبدیل کرنا بہت مشکل ہوتا ہے۔
آپ کل ایک نیا کریڈٹ کارڈ حاصل کر سکتے ہیں، لیکن نئی سالگرہ حاصل کرنا یا گھر منتقل کرنا زیادہ مشکل ہے!
ڈوگ اور آخری ، لیکن یقینی طور پر کم از کم نہیں: ایسے بلاگز یا کمیونٹی سائٹس نہ چلائیں جو غیر منظم پوسٹس یا تبصروں کی اجازت دیتی ہیں۔
اور اگر کوئی کبھی ورڈپریس سائٹ چلاتا ہے، کہیے کہ، غیر منظم تبصروں کی اجازت دینے کا خیال ذہن کو اڑا دینے والا نہیں ہے، کیونکہ ان میں سے ہزاروں ہوں گے۔
یہ ایک وبا ہے۔
بطخ. یہاں تک کہ اگر آپ کو اپنے کمنٹ سسٹم پر ایک خودکار اینٹی سپیمنگ سروس مل گئی ہے، تو یہ بہت اچھا کام کرے گا…
…لیکن دوسری چیزوں کو جانے نہ دیں اور سوچیں، "اوہ، ٹھیک ہے، میں واپس جاؤں گا اور اسے ہٹا دوں گا، اگر میں دیکھتا ہوں کہ یہ بعد میں ناقص نظر آتا ہے،" کیونکہ، جیسا کہ آپ نے کہا، یہ وبا کے تناسب پر ہے…
ڈوگ یہ کل وقتی کام ہے، ہاں!
بطخ. …اور عمروں سے ہے۔
ڈوگ اور آپ اس قابل تھے، مجھے یہ دیکھ کر خوشی ہوئی کہ یہاں کے ارد گرد ہمارے دو پسندیدہ منتروں میں کام کر سکتے ہیں۔
مضمون کے آخر میں: کلک کرنے سے پہلے سوچ لیں۔، اور: اگر شک ہو…
بطخ. اسے باہر نہ دو۔
یہ واقعی اتنا ہی آسان ہے۔
ڈوگ چیزیں دینے کی بات کرتے ہوئے، تین نوجوان مبینہ طور پر لاکھوں کے ساتھ بند کر دیا بھتہ خوری میں:
ڈچ پولیس نے سائبر بھتہ خوری کے تین مشتبہ افراد کو گرفتار کیا جنہوں نے مبینہ طور پر لاکھوں کمائے
بطخ. جی ہاں.
انہیں نیدرلینڈز میں ایسے جرائم کے لیے پکڑا گیا جن کا ارتکاب کرنے کا الزام ہے... میرے خیال میں یہ دو سال پہلے کی بات ہے، ڈوگ۔
اور وہ اب 18 سال، 21 سال اور 21 سال کے ہیں۔
لہذا جب انہوں نے شروع کیا تو وہ کافی جوان تھے۔
اور مرکزی ملزم، جس کی عمر 21 سال ہے… پولیس کا الزام ہے کہ اس نے تقریباً ڈھائی ملین یورو کمائے ہیں۔
یہ ایک نوجوان، ڈوگ کے لیے بہت زیادہ رقم ہے۔
یہ کسی کے لیے بہت پیسہ ہے!
ڈوگ مجھے نہیں معلوم کہ آپ 21 سال کی عمر میں کیا بنا رہے تھے، لیکن میں اتنا نہیں بنا رہا تھا، قریب بھی نہیں۔ [ہنسی]
بطخ. شاید دو یورو پچاس فی گھنٹہ؟ [ہنسی]
ایسا لگتا ہے کہ ان کا طریقہ کار رینسم ویئر کے ساتھ ختم ہونا نہیں تھا، بلکہ آپ کو رینسم ویئر کے *خطرے* کے ساتھ چھوڑنا تھا کیونکہ وہ پہلے سے موجود تھے۔
تو وہ اندر آتے، وہ تمام ڈیٹا چوری کرتے، اور پھر اصل میں آپ کی فائلوں کو خفیہ کرنے کی زحمت کرنے کے بجائے، ایسا لگتا ہے جیسے وہ کیا کریں گے، وہ کہیں گے، "دیکھو، ہمارے پاس ڈیٹا؛ ہم واپس آ کر سب کچھ برباد کر سکتے ہیں، یا آپ ادائیگی کر سکتے ہیں۔"
اور مطالبات €100,000 اور €700,000 فی شکار کے درمیان تھے۔
اور اگر یہ سچ ہے کہ ان میں سے ایک نے پچھلے دو سالوں میں اپنی سائبر جرائم سے €2,500,000 کمائے ہیں، تو آپ تصور کر سکتے ہیں کہ انہوں نے شاید کچھ متاثرین کو بلیک میل کر کے ادائیگی کی، اس خوف سے کہ کیا انکشاف ہو سکتا ہے…
ڈوگ ہم نے یہاں کے ارد گرد کہا ہے، "ہم فیصلہ نہیں کرنے جا رہے ہیں، لیکن ہم لوگوں سے گزارش کرتے ہیں کہ وہ اس طرح کے معاملات میں، یا رینسم ویئر جیسی مثالوں میں ادائیگی نہ کریں۔"
اور اچھی وجہ سے!
کیونکہ، اس معاملے میں، پولیس نوٹ کرتی ہے کہ بلیک میل کی ادائیگی ہمیشہ کام نہیں کرتی تھی۔
وہ کہنے لگے:
بہت سے معاملات میں، چوری شدہ ڈیٹا کو متاثرہ کمپنیوں کے ادائیگی کے بعد بھی آن لائن لیک کیا گیا تھا۔
بطخ. تو اگر آپ نے کبھی سوچا، "مجھے حیرت ہے کہ کیا میں ان لوگوں پر بھروسہ کر سکتا ہوں کہ وہ ڈیٹا کو لیک نہیں کریں گے، یا اس کے آن لائن ظاہر نہیں ہوں گے؟"…
…میرے خیال میں آپ کو وہاں اپنا جواب مل گیا ہے!
اور یہ بات ذہن نشین کر لیں کہ ایسا نہیں ہو سکتا کہ یہ مخصوص بدمعاش محض الٹرا ڈپلیسیٹ تھے، اور انہوں نے پیسہ لیا اور بہرحال اسے لیک کر دیا۔
ہم نہیں جانتے کہ *وہ* لازمی طور پر وہ لوگ تھے جنہوں نے اسے لیک کیا۔
وہ خود سیکیورٹی کے معاملے میں اتنے برے ہو سکتے تھے کہ انہوں نے اسے چرا لیا۔ انہیں اسے کہیں رکھنا پڑا۔ اور جب وہ گفت و شنید کر رہے تھے، آپ کو بتا رہے تھے، "ہم ڈیٹا کو حذف کر دیں گے"…
…ہم سب جانتے ہیں، اس دوران کوئی اور اسے چوری کر سکتا تھا۔
اور یہ ہمیشہ ایک خطرہ ہوتا ہے، اس لیے خاموشی کے لیے ادائیگی کرنا شاذ و نادر ہی اچھا کام کرتا ہے۔
ڈوگ اور ہم نے اس طرح کے زیادہ سے زیادہ حملے دیکھے ہیں جہاں ransomware درحقیقت تھوڑا سا زیادہ سیدھا لگتا ہے: "مجھے ڈکرپشن کلید کے لیے ادائیگی کریں؛ تم مجھے ادا کرو میں تمہیں دے دوں گا۔ آپ اپنی فائلوں کو غیر مقفل کر سکتے ہیں۔"
ٹھیک ہے، اب وہ اندر جا رہے ہیں اور کہہ رہے ہیں، "ہم کسی چیز کو لاک نہیں کرنے جا رہے ہیں، یا ہم اسے لاک کرنے جا رہے ہیں لیکن اگر آپ ادائیگی نہیں کرتے ہیں تو ہم اسے آن لائن بھی لیک کرنے جا رہے ہیں..."
بطخ. ہاں، یہ تین طرح کا بھتہ ہے، ہے نا؟
وہاں ہے، "ہم نے آپ کی فائلیں بند کر دی ہیں، رقم ادا کریں ورنہ آپ کا کاروبار پٹڑی سے اتر جائے گا۔"
وہاں ہے، "ہم نے آپ کی فائلیں چرائی ہیں۔ ادائیگی کریں ورنہ ہم انہیں لیک کر دیں گے، اور پھر ہم واپس آ کر آپ کو بہرحال رینسم ویئر کر سکتے ہیں۔"
اور یہ دوہرا گراؤنڈ ہے جو کچھ بدمعاشوں کو پسند لگتا ہے، جہاں وہ آپ کا ڈیٹا چوری کرتے ہیں *اور* وہ فائلوں کو کھرچتے ہیں، اور وہ کہتے ہیں، "آپ اپنی فائلوں کو ڈکرپٹ کرنے کے لیے بھی ادائیگی کر سکتے ہیں، اور کوئی اضافی چارج نہیں، ڈوگ، ہم ڈیٹا بھی ڈیلیٹ کر دیں گے!
تو، کیا آپ ان پر بھروسہ کر سکتے ہیں؟
ٹھیک ہے، آپ کا جواب یہ ہے…
شاید نہیں!
ڈوگ ٹھیک ہے، آگے بڑھیں اور اس کے بارے میں پڑھیں۔
اس مضمون کے نچلے حصے میں مزید بصیرت اور سیاق و سباق موجود ہے… پال، آپ نے ایک کام کیا۔ انٹرویو ہمارے اپنے پیٹر میکنزی کے ساتھ، جو یہاں سوفوس میں انسیڈنٹ ریسپانس کے ڈائریکٹر ہیں۔ (مکمل نقل دستیاب.)
نیچے کوئی آڈیو پلیئر نہیں ہے؟ سنو براہ راست ساؤنڈ کلاؤڈ پر۔
اور، جیسا کہ ہم ہمیشہ اس طرح کے معاملات میں کہتے ہیں، اگر آپ اس سے متاثر ہوئے ہیں، تو اس سرگرمی کی اطلاع پولیس کو دیں تاکہ ان کے پاس اپنے کیس کو ایک ساتھ رکھنے کے لیے زیادہ سے زیادہ معلومات حاصل ہو سکیں۔
مجھے یہ بتاتے ہوئے خوشی ہو رہی ہے کہ ہم نے کہا کہ ہم اس پر نظر رکھیں گے۔ ہم نے کیا؛ اور ہمارے پاس ایک ہے۔ LastPass اپ ڈیٹ:
لاسٹ پاس: ہوم پی سی پر کیلاگر نے کارپوریٹ پاس ورڈ والٹ کو کریک کر دیا۔
بطخ. ہمارے پاس واقعی ہے، ڈوگ!
یہ اس بات کی نشاندہی کر رہا ہے کہ کس طرح ان کے کارپوریٹ پاس ورڈ کی خلاف ورزی نے حملے کو "چھوٹی چیز" سے جانے دیا جہاں انہیں سورس کوڈ کچھ زیادہ ڈرامائی طور پر ملا۔
ایسا لگتا ہے کہ LastPass نے اندازہ لگا لیا ہے کہ یہ حقیقت میں کیسے ہوا… اور اس رپورٹ میں مؤثر طریقے سے، اگر حکمت کے الفاظ نہیں تو کم از کم وارننگ کے الفاظ موجود ہیں۔
اور میں نے دہرایا، اس مضمون میں جو میں نے اس کے بارے میں لکھا تھا، جس پر ہم نے کہا تھا۔ پچھلے ہفتے کا پوڈ کاسٹ پرومو ویڈیو، ڈوگ، یعنی:
"حملہ جتنا آسان تھا، یہ ایک جرات مندانہ کمپنی ہوگی جو دعوی کرے گی کہ ان کا کوئی بھی صارف اس قسم کی چیز کے لیے کبھی نہیں گرے گا..."
ابھی سنیں – مزید جانیں!https://t.co/CdZpuDSW2f pic.twitter.com/0DFb4wALhi
— ننگی سیکیورٹی (@NakedSecurity) 24 فروری 2023
افسوس کی بات ہے، ایسا لگتا ہے کہ ڈویلپرز میں سے ایک، جس کے پاس کارپوریٹ پاس ورڈ والٹ کو غیر مقفل کرنے کے لیے پاس ورڈ موجود تھا، میڈیا سے متعلق کسی قسم کا سافٹ ویئر چلا رہا تھا جسے انھوں نے پیچ نہیں کیا تھا۔
اور بدمعاش اس کے خلاف ایک استحصال استعمال کرنے کے قابل تھے… ایک keylogger کو انسٹال کرنے کے لیے، ڈوگ!
جس سے، یقیناً، انہیں وہ انتہائی خفیہ پاس ورڈ ملا جس نے مساوات کا اگلا مرحلہ کھول دیا۔
اگر آپ نے کبھی یہ اصطلاح سنی ہے۔ پس منظر کی تحریک - یہ ایک جرگن اصطلاح ہے جسے آپ بہت سنیں گے۔
روایتی جرائم کے ساتھ آپ کی مشابہت یہ ہے کہ…
عمارت کی لابی میں داخل ہوں؛ تھوڑا سا گھومنا؛ پھر سیکورٹی آفس کے ایک کونے میں چپکے سے سائے میں انتظار کریں تاکہ کوئی آپ کو نہ دیکھے جب تک کہ گارڈز جا کر چائے کا کپ نہ بنا لیں۔ پھر میز کے ساتھ والے شیلف پر جائیں اور ان رسائی کارڈوں میں سے ایک کو پکڑیں؛ جو آپ کو باتھ روم کے ساتھ والے محفوظ علاقے میں لے جائے گا۔ اور وہاں، آپ کو محفوظ کی چابی مل جائے گی۔
آپ دیکھتے ہیں کہ آپ کس حد تک پہنچ سکتے ہیں، اور پھر آپ ممکنہ طور پر کام کرتے ہیں کہ آپ کو کس چیز کی ضرورت ہے، یا آپ کیا کریں گے، آپ کو اگلا مرحلہ پہنچانے کے لیے، وغیرہ۔
کیلاگر سے ہوشیار رہو، ڈوگ! [ہنسی]
ڈوگ جی ہاں!
بطخ. اچھا، پرانا اسکول، نان رینسم ویئر میلویئر [A] زندہ اور ٹھیک ہے، اور [B] آپ کے کاروبار کے لیے اتنا ہی نقصان دہ ہو سکتا ہے۔
ڈوگ جی ہاں!
اور یقیناً ہمیں کچھ مشورہ ملا ہے۔
جلدی پیچ کریں، اکثر پیچ کریں، اور ہر جگہ پیچ کریں۔
بطخ. جی ہاں.
LastPass بہت شائستہ تھے، اور انہوں نے کوئی بات نہیں کی، "یہ XYZ سافٹ ویئر تھا جس میں کمزوری تھی۔"
اگر وہ کہتے، "اوہ، جو سافٹ ویئر ہیک کیا گیا تھا وہ X تھا"…
…پھر جن لوگوں کے پاس X نہیں تھا وہ جائیں گے، "میں بلیو الرٹ سے نیچے کھڑا ہو سکتا ہوں؛ میں وہ سافٹ ویئر استعمال نہیں کرتا۔"
درحقیقت، اسی لیے ہم کہتے ہیں کہ نہ صرف جلدی سے پیچ کریں، اکثر پیوند کریں… بلکہ *ہر جگہ* پیچ کریں۔
LastPass کو متاثر کرنے والے سافٹ ویئر کو صرف پیچ کرنا آپ کے نیٹ ورک میں کافی نہیں ہوگا۔
یہ آپ کو ہر وقت کچھ کرنے کی ضرورت ہے.
ڈوگ اور پھر ہم یہ پہلے بھی کہہ چکے ہیں، اور ہم یہ کہتے رہیں گے جب تک کہ سورج جل نہ جائے: جہاں بھی ہو سکے 2FA کو فعال کریں۔
بطخ. جی ہاں.
یہ ایک علاج *نہیں* ہے، لیکن کم از کم اس کا مطلب ہے کہ صرف پاس ورڈ کافی نہیں ہیں۔
تو یہ ہر طرح سے بار کو نہیں بڑھاتا، لیکن یہ بدمعاشوں کے لیے یقینی طور پر آسان نہیں بناتا۔
ڈوگ اور مجھے یقین ہے کہ ہم نے حال ہی میں یہ کہا ہے: کامیاب حملے کے بعد اسناد کو تبدیل کرنے یا 2FA بیجوں کو دوبارہ ترتیب دینے کا انتظار نہ کریں۔
بطخ. جیسا کہ ہم نے پہلے کہا ہے، ایک اصول جو کہتا ہے، "آپ کو اپنا پاس ورڈ تبدیل کرنا ہوگا - تبدیلی کی خاطر تبدیل کریں، قطع نظر اس کے ہر دو ماہ بعد کریں"…
…ہم اس سے متفق نہیں ہیں۔
ہم صرف یہ سوچتے ہیں کہ ہر ایک کو بری عادت کی عادت ڈال رہی ہے۔
لیکن اگر آپ کو لگتا ہے کہ آپ کے پاس ورڈ تبدیل کرنے کی کوئی اچھی وجہ ہو سکتی ہے، حالانکہ ایسا کرنے میں گردن میں درد ہوتا ہے…
…اگر آپ کو لگتا ہے کہ اس سے مدد مل سکتی ہے، تو پھر بھی کیوں نہ کریں؟
اگر آپ کے پاس تبدیلی کا عمل شروع کرنے کی کوئی وجہ ہے، تو بس پوری چیز کو دیکھیں۔
تاخیر نہ کریں/آج ہی کریں۔
دیکھو میں نے وہاں کیا کیا، ڈوگ؟
ڈوگ ٹھیک ہے!
ٹھیک ہے، چلو اس پر رہتے ہیں۔ 2FA کا مضمون.
ہم دونوں ایپ اسٹورز میں بدمعاش 2FA ایپس میں اضافہ دیکھ رہے ہیں۔
کیا یہ ٹویٹر 2FA کرففل کی وجہ سے ہوسکتا ہے، یا کوئی اور وجہ؟
ایپ اسٹور اور گوگل پلے میں بدمعاش 2FA ایپس سے بچو - ہیک نہ ہوں!
بطخ. میں نہیں جانتا کہ یہ خاص طور پر ٹویٹر 2FA کرففل کی وجہ سے ہے، جہاں ٹویٹر نے کہا ہے، ان کے پاس جو بھی وجوہات ہیں، "اوہ، ہم اب ایس ایم ایس دو عنصر کی توثیق کا استعمال نہیں کریں گے، جب تک کہ آپ ہمیں رقم ادا نہیں کرتے۔!
اور چونکہ زیادہ تر لوگ ٹویٹر بلیو بیج ہولڈرز نہیں ہوں گے، اس لیے انہیں سوئچ کرنا پڑے گا۔
لہذا میں نہیں جانتا کہ اس کی وجہ سے ایپ اسٹور اور گوگل پلے میں بدمعاش ایپس میں اضافہ ہوا ہے، لیکن اس نے یقینی طور پر کچھ محققین کی توجہ مبذول کرائی جو نیکڈ سیکیورٹی کے اچھے دوست ہیں: @mysk_co، اگر آپ انہیں ٹویٹر پر تلاش کرنا چاہتے ہیں۔
انہوں نے سوچا، "میں شرط لگاتا ہوں کہ بہت سے لوگ اس وقت 2FA تصدیق کنندہ ایپس کی تلاش میں ہیں۔ مجھے حیرت ہے کہ اگر آپ ایپ اسٹور یا گوگل پلے پر جائیں اور صرف ٹائپ کریں تو کیا ہوتا ہے۔ مستند ایپ؟ "
اور اگر آپ Naked Security پر مضمون پر جائیں، جس کا عنوان "Beware rogue 2FA ایپس" ہے، تو آپ کو ایک اسکرین شاٹ نظر آئے گا جو ان محققین نے تیار کیا ہے۔
یہ یکساں نظر آنے والے تصدیق کاروں کی قطار کے بعد ایک قطار ہے۔ [ہنسی]
ڈوگ ان سب کو بلایا جاتا ہے۔ استناد, سب ایک تالا اور ایک ڈھال کے ساتھ!
بطخ. ان میں سے کچھ جائز ہیں، اور ان میں سے کچھ نہیں ہیں۔
پریشان کن۔ جب میں گیا - یہاں تک کہ یہ خبروں میں آنے کے بعد بھی… جب میں ایپ اسٹور پر گیا تو سب سے اوپر جو ایپ آئی، وہ تھی، جہاں تک میں دیکھ سکتا تھا، ان بدمعاش ایپس میں سے ایک تھی۔
اور میں واقعی حیران تھا!
میں نے سوچا، "کریکی - یہ ایپ ایک بہت ہی مشہور چینی موبائل فون کمپنی کے نام سے سائن کی گئی ہے۔"
خوش قسمتی سے، ایپ غیر پیشہ ورانہ لگ رہی تھی (لفظ بہت خراب تھے)، اس لیے مجھے ایک لمحے کے لیے بھی یقین نہیں آیا کہ واقعی یہ موبائل فون کمپنی ہے۔
لیکن میں نے سوچا، "زمین پر انہوں نے ایک جائز کمپنی کے نام پر کوڈ پر دستخط کرنے کا سرٹیفکیٹ کیسے حاصل کیا، جب کہ واضح طور پر ان کے پاس یہ ثابت کرنے کے لیے کوئی دستاویزات نہیں ہوں گی کہ وہ وہ کمپنی ہیں؟" (میں اس کے نام کا ذکر نہیں کروں گا۔)
پھر میں نے اس نام کو واقعی غور سے پڑھا… اور یہ درحقیقت ایک ٹائپوسکویٹ تھا، ڈوگ!
لفظ کے وسط میں ایک حرف تھا، میں کیسے کہہ سکتا ہوں، اصلی کمپنی سے تعلق رکھنے والے سے بہت ملتی جلتی شکل اور سائز۔
اور اس لیے، غالباً، اس لیے اس نے خودکار ٹیسٹ پاس کیے تھے۔
یہ کسی معروف برانڈ نام سے مماثل نہیں ہے جس کے لیے کسی کے پاس کوڈ پر دستخط کرنے کا سرٹیفکیٹ پہلے سے موجود تھا۔
اور یہاں تک کہ مجھے اسے دو بار پڑھنا پڑا… حالانکہ میں جانتا تھا کہ میں ایک بدمعاش ایپ دیکھ رہا ہوں، کیونکہ مجھے وہاں جانے کے لیے کہا گیا تھا!
گوگل پلے پر، مجھے ایک ایسی ایپ بھی ملی جس کے بارے میں مجھے ان لوگوں نے الرٹ کیا تھا جنہوں نے یہ تحقیق کی تھی…
…جو کہ آپ سے صرف ایک سال میں $40 ادا کرنے کو نہیں کہتا ہے جو آپ iOS میں بلٹ مفت میں حاصل کر سکتے ہیں، یا براہ راست Play Store سے اس پر گوگل کا نام مفت میں حاصل کر سکتے ہیں۔
اس نے آپ کے 2FA اکاؤنٹس کے ابتدائی بیج بھی چرا لیے، اور انہیں ڈویلپر کے تجزیاتی اکاؤنٹ میں اپ لوڈ کر دیا۔
اس کے بارے میں کیا، ڈوگ؟
تو یہ بہترین انتہائی نااہلی ہے۔
اور، بدترین طور پر، یہ صرف سراسر بدتمیزی ہے۔
اور پھر بھی، یہ وہاں تھا… جب محققین پلے اسٹور میں تلاش کرنے گئے تو غالباً اس وجہ سے کہ انہوں نے اس پر اشتہار کی تھوڑی بہت محبت چھڑک دی۔
یاد رکھیں، اگر کسی کو وہ ابتدائی بیج مل جاتا ہے، تو وہ جادوئی چیز جو QR کوڈ میں ہوتی ہے جب آپ ایپ پر مبنی 2FA سیٹ اپ کرتے ہیں…
...وہ آپ کے لیے صحیح کوڈ تیار کر سکتے ہیں، مستقبل میں کسی بھی 30 سیکنڈ لاگ ان ونڈو کے لیے، ہمیشہ کے لیے، ڈوگ۔
ایسا ہی آسان ہے.
یہ مشترکہ راز *لفظی طور پر* آپ کے مستقبل کے تمام یک وقتی کوڈز کی کلید ہے۔
ڈوگ اور ہمیں اس بدمعاش 2FA کہانی پر قارئین کا تبصرہ ملا ہے۔
ننگے سیکورٹی ریڈر LR تبصرے، جزوی طور پر:
میں نے کئی سال پہلے ٹویٹر اور فیس بک کو چھوڑ دیا تھا۔
چونکہ میں ان کا استعمال نہیں کر رہا ہوں، کیا مجھے دو عوامل کی صورت حال کے بارے میں فکر مند ہونے کی ضرورت ہے؟
بطخ. ہاں، یہ ایک دلچسپ سوال ہے، اور جواب ہے، ہمیشہ کی طرح، "یہ منحصر ہے۔"
یقینی طور پر اگر آپ ٹویٹر استعمال نہیں کر رہے ہیں، تب بھی جب 2FA ایپ انسٹال کرنے کی بات آتی ہے تو آپ برا انتخاب کر سکتے ہیں…
…اور ہو سکتا ہے کہ آپ جا کر ایک حاصل کرنے کے لیے زیادہ مائل ہوں، اب 2FA ٹویٹر کی کہانی کی وجہ سے خبروں میں ہے، جو آپ کے پاس ہفتوں، مہینوں یا برسوں پہلے ہوتا تھا۔
اور اگر آپ *جا کر* 2FA کا انتخاب کرنے جا رہے ہیں، تو بس اس بات کو یقینی بنائیں کہ آپ اسے جتنا محفوظ طریقے سے کر سکتے ہیں۔
صرف جا کر تلاش نہ کریں، اور جو سب سے واضح ایپ لگتا ہے اسے ڈاؤن لوڈ کریں، کیونکہ یہاں اس بات کا پختہ ثبوت ہے کہ آپ خود کو بہت زیادہ نقصان پہنچا سکتے ہیں۔
یہاں تک کہ اگر آپ ایپ اسٹور یا گوگل پلے پر ہیں، اور کچھ میک اپ ایپ کو سائڈ لوڈ نہیں کررہے ہیں جو آپ کو کہیں اور سے ملی ہے!
لہذا، اگر آپ SMS پر مبنی 2FA استعمال کر رہے ہیں لیکن آپ کے پاس ٹوئٹر نہیں ہے، تو آپ کو اس سے دور جانے کی ضرورت نہیں ہے۔
اگر آپ ایسا کرنے کا انتخاب کرتے ہیں، تاہم، یقینی بنائیں کہ آپ اپنی ایپ کو سمجھداری سے چنتے ہیں۔
ڈوگ ٹھیک ہے، بہت اچھا مشورہ، اور آپ کا بہت شکریہ، LR، اسے بھیجنے کے لیے۔
اگر آپ کے پاس کوئی دلچسپ کہانی، تبصرہ یا سوال ہے جسے آپ جمع کروانا چاہتے ہیں، تو ہم اسے پوڈ کاسٹ پر پڑھنا پسند کریں گے۔
آپ tips@sophos.com پر ای میل کر سکتے ہیں، آپ ہمارے کسی بھی مضمون پر تبصرہ کر سکتے ہیں، یا آپ ہمیں سوشل پر مار سکتے ہیں: @nakedsecurity۔
یہ ہمارا آج کا شو ہے – سننے کا بہت بہت شکریہ۔
پال ڈکلن کے لیے، میں ڈوگ آموت ہوں، آپ کو اگلی بار تک یاد دلاتا ہوں کہ...
دونوں محفوظ رہو!
[میوزیکل موڈیم]
- SEO سے چلنے والا مواد اور PR کی تقسیم۔ آج ہی بڑھا دیں۔
- پلیٹو بلاک چین۔ Web3 Metaverse Intelligence. علم میں اضافہ۔ یہاں تک رسائی حاصل کریں۔
- ماخذ: https://nakedsecurity.sophos.com/2023/03/02/s3-ep124-when-so-called-security-apps-go-rogue-audio-text/
- 000
- 2FA
- a
- قابلیت
- ہمارے بارے میں
- تک رسائی حاصل
- اکاؤنٹ
- اکاؤنٹس
- کے پار
- سرگرمی
- اصل میں
- Ad
- مشورہ
- وابستہ
- کے بعد
- کے خلاف
- قرون
- مقصد
- انتباہ
- تمام
- مبینہ طور پر
- مبینہ طور پر
- اجازت دے رہا ہے
- اکیلے
- پہلے ہی
- ٹھیک
- ہمیشہ
- ایمیزون
- کے درمیان
- رقم
- تجزیاتی
- اور
- جواب
- کہیں
- اپلی کیشن
- اپلی کیشن سٹور
- ایپ اسٹورز
- ظاہر
- ایپل
- ایپس
- رقبہ
- ارد گرد
- گرفتار
- مضمون
- مضامین
- ایسوسی ایٹ
- حملہ
- حملے
- توجہ
- آڈیو
- کی توثیق
- مصنف
- آٹومیٹڈ
- دستیاب
- سے اجتناب
- واپس
- برا
- بری طرح
- بار
- بنیادی
- بنیادی طور پر
- صبر
- کیونکہ
- اس سے پہلے
- کیا جا رہا ہے
- یقین ہے کہ
- نیچے
- BEST
- بیٹ
- کے درمیان
- بل
- بل گیٹس
- بنگو
- پیدائش
- بٹ
- بلیک میل
- بلاگ
- بلاگز
- بلیو
- نیلی بیج
- بورڈ
- جرات مندانہ
- بونس
- پایان
- برانڈ
- خلاف ورزی
- عمارت
- تعمیر
- کاروبار
- کیلی فورنیا
- کہا جاتا ہے
- مہم
- حاصل کر سکتے ہیں
- کارڈ
- کارڈ
- کیس
- مقدمات
- وجہ
- یقینی طور پر
- سرٹیفکیٹ
- چین
- چیلنج
- تبدیل
- چارج
- چینی
- میں سے انتخاب کریں
- کا دعوی
- واضح طور پر
- کلوز
- کلب
- کوڈ
- کوڈ
- COM
- کس طرح
- تبصرہ
- تبصروں
- کمیونٹی
- کمپنیاں
- کمپنی کے
- کمپیوٹر
- متعلقہ
- سیاق و سباق
- جاری
- روایتی
- پولیس
- کونے
- کارپوریٹ
- سکتا ہے
- کوپن
- کورس
- پھٹے
- تخلیق
- بنائی
- اسناد
- کریڈٹ
- کریڈٹ کارڈ
- جرم
- کروک
- کپ
- سائبر بھتہ خوری
- اعداد و شمار
- تاریخ
- خرابی
- ضرور
- خوشی ہوئی
- مطالبات
- انحصار کرتا ہے
- ڈویلپرز
- DID
- مشکل
- براہ راست
- ڈائریکٹر
- بات چیت
- تقسیم کرو
- دستاویزات
- نہیں کرتا
- نہیں
- نیچے
- ڈاؤن لوڈ، اتارنا
- ڈرامائی
- چھوڑ
- ابتدائی
- حاصل
- زمین
- آسان
- آسانی سے
- مؤثر طریقے
- ای میل
- کافی
- اتساہی
- کاروباری
- مہاماری
- بنیادی طور پر
- یورو
- بھی
- کبھی نہیں
- ہر کوئی
- سب کچھ
- ثبوت
- دھماکہ
- بھتہ خوری
- اضافی
- انتہائی
- آنکھ
- فیس بک
- گر
- دور
- فیشن
- خوف
- فروری
- چند
- سمجھا
- فائلوں
- بھرنے
- مل
- پہلا
- ہمیشہ کے لیے
- ملا
- مفت
- فرانسیسی
- دوست
- سے
- مکمل
- مزید
- مستقبل
- گیٹس
- جمع
- پیدا
- حاصل
- حاصل کرنے
- وشال
- تحفہ
- دے دو
- دے
- Go
- جا
- اچھا
- گوگل
- گوگل کھیلیں
- گوگل
- قبضہ
- عظیم
- ہیک
- ہینگ
- ہوا
- ہوتا ہے
- خوش
- ہارڈ ویئر
- نقصان دہ
- ہارورڈ
- ہونے
- سر
- شہ سرخی
- سن
- سنا
- مدد
- یہاں
- تاریخ
- مارو
- ہولڈرز
- ہوم پیج (-)
- میزبانی کی
- کس طرح
- تاہم
- HTML
- HTTPS
- میں ہوں گے
- in
- واقعہ
- واقعہ کا جواب
- مائل
- سمیت
- ناگزیر
- معلومات
- بصیرت
- انسٹال
- انسٹال کرنا
- کے بجائے
- دلچسپی
- دلچسپ
- iOS
- IT
- شبدجال
- جاوا سکرپٹ
- ایوب
- نوکریاں
- جج
- رکھیں
- کلیدی
- بچے
- جان
- جانا جاتا ہے
- آخری
- LastPass
- لیک
- جانیں
- چھوڑ دو
- قیادت
- علامہ
- لنکس
- سن
- تھوڑا
- لوڈ
- لابی
- تالا لگا
- دیکھو
- دیکھا
- تلاش
- دیکھنا
- بہت
- محبت
- بنا
- ماجک
- اکثریت
- بنا
- بنانا
- میلویئر
- انتظام
- مینیجر
- بہت سے
- مارچ
- میچ
- معاملہ
- کا مطلب ہے کہ
- اس دوران
- اجلاس
- میکسیکو
- مشرق
- شاید
- برا
- موبائل
- موبائل فون
- وضع
- لمحہ
- قیمت
- ماہ
- زیادہ
- سب سے زیادہ
- منتقل
- موسیقی
- موسیقی
- ننگی سیکیورٹی
- ننگی سیکورٹی پوڈ کاسٹ
- نام
- یعنی
- ضروری ہے
- ضرورت ہے
- نیدرلینڈ
- نیٹ ورک
- نئی
- خبر
- اگلے
- تعداد
- واضح
- دفتر
- پرانا
- ایک
- آن لائن
- کھول دیا
- حکم
- دیگر
- خود
- پیکج
- پیکجوں کے
- ادا
- درد
- افراتفری
- پارک
- حصہ
- خاص طور پر
- منظور
- پاس ورڈ
- پاس ورڈز
- گزشتہ
- پیچ
- پیچ کرنا
- پال
- ادا
- ادائیگی
- PC
- لوگ
- شاید
- حوصلہ افزائی
- پیٹر
- فون
- لینے
- مقام
- کی منصوبہ بندی
- پلاٹا
- افلاطون ڈیٹا انٹیلی جنس
- پلیٹو ڈیٹا
- کھیلیں
- سٹور کھیلیں
- کھلاڑی
- podcast
- پوڈ کاسٹ
- پولیس
- مراسلات
- تیار
- خوبصورت
- وزیر اعظم
- شاید
- مسئلہ
- عمل
- جائیداد
- ثابت کریں
- کارٹون
- ڈال
- QR کوڈ
- سوال
- خاموشی سے
- بلند
- ransomware کے
- پڑھیں
- ریڈر
- اصلی
- وجہ
- وجوہات
- حال ہی میں
- ہٹا
- دوبارہ
- رپورٹ
- محققین
- جواب
- باقی
- نتیجہ
- آمدنی
- رسک
- ROW
- آر ایس ایس
- برباد کر دے
- حکمرانی
- رن
- چل رہا ہے
- محفوظ
- محفوظ طریقے سے
- کہا
- خاطر
- اسی
- کا کہنا ہے کہ
- تلاش کریں
- خفیہ
- محفوظ بنانے
- سیکورٹی
- بیج
- بیج
- دیکھ کر
- لگ رہا تھا
- لگتا ہے
- دیکھتا
- حصے
- بھیجنا
- سیریز
- سروس
- مقرر
- شکل
- مشترکہ
- شیلف
- مختصر
- دکھائیں
- کنارے
- دستخط
- دستخط کی
- خاموشی
- اسی طرح
- سادہ
- بعد
- سائٹ
- سائٹس
- صورتحال
- سائز
- SMS
- چپکے سے
- So
- سماجی
- سافٹ ویئر کی
- کچھ
- کسی
- کچھ
- کہیں
- ماخذ
- ماخذ کوڈ
- بات
- خاص طور پر
- بڑھتی ہوئی وارداتوں
- Spotify
- اسٹیج
- کھڑے ہیں
- شروع کریں
- شروع
- شروع
- رہنا
- مرحلہ
- سٹیو
- سٹیو Wozniak
- ابھی تک
- چرا لیا
- چوری
- ذخیرہ
- پردہ
- کہانی
- براہ راست
- مضبوط
- جمع
- کامیاب
- اتوار
- اضافے
- سوئچ کریں
- کے نظام
- چائے
- ٹیک
- ٹیکنالوجی
- ٹیسٹ
- ۔
- مستقبل
- ہالینڈ
- چوری
- ان
- خود
- لہذا
- بات
- چیزیں
- سوچو
- سوچا
- ہزاروں
- تین
- کے ذریعے
- وقت
- اوقات
- کرنے کے لئے
- آج
- مل کر
- کل
- سب سے اوپر
- سچ
- بھروسہ رکھو
- قابل اعتماد
- ٹویٹر
- کے تحت
- انلاک
- اپ لوڈ کردہ
- URL
- us
- استعمال کی شرائط
- صارفین
- والٹ
- وکٹم
- متاثرین
- ویڈیو
- خطرے کا سامنا
- انتظار
- انتباہ
- ویب
- ہفتے
- مہینے
- کیا
- جس
- جبکہ
- ڈبلیو
- گے
- حکمت
- لفظ
- الفاظ
- WordPress
- الفاظ
- کام
- مشقت
- کام کرتا ہے
- بدترین
- گا
- X
- سال
- سال
- نوجوان
- اور
- اپنے آپ کو
- زیفیرنیٹ