Qrljacking क्या है और आप इसे कैसे रोक सकते हैं?
क्यूआर कोड, या त्वरित प्रतिक्रिया कोड, बहुत अच्छे हैं। उनका उपयोग अनिवार्य रूप से सभी अल्फ़ान्यूमेरिक और डिजिटल चीजों को एन्कोड करने के लिए किया जा सकता है। साथ ही वे कुछ हद तक भविष्यवादी भी दिखते हैं। क्यूआर कोड बार कोड (एक्स-अक्ष-बाएं से दाएं) का एक तकनीकी संवर्द्धन है। जबकि बार कोड को एक-आयामी माना जाता है, क्यूआर कोड दो-आयामी (एक्स और वाई अक्ष-बाएं से दाएं और ऊपर से नीचे) होते हैं। QR कोड 7089 अंक या 4296 अक्षर तक संग्रहीत हो सकते हैं। इसमें विराम चिह्न और विशेष वर्ण शामिल हैं। इसलिए क्यूआर कोड का उपयोग शब्दों, वाक्यांशों, इंटरनेट यूआरएल और लॉगिन क्रेडेंशियल को एन्कोड करने के लिए भी किया जा सकता है।
लेकिन उनकी सभी सुविधा के लिए, क्यूआरएल कोड एक ऑनलाइन आक्रमण वेक्टर भी हैं। QRLजैकिंग दर्ज करें।
QR कोड इतिहास
QR कोड नामक जापानी विनिर्माण कंपनी द्वारा बनाए गए थे घनी लहर . कंपनी को एक बेहतर कोडिंग प्रणाली की आवश्यकता थी जो पारंपरिक बारकोड की तुलना में अधिक डेटा (अधिक वर्णों को एन्कोड करने में सक्षम) को संभाल सके। कंपनी को अपने द्वारा निर्मित किए जा रहे वाहनों और भागों की बढ़ती संख्या पर नज़र रखने में सक्षम होने के लिए इसकी आवश्यकता थी। डेन्सो वेव कर्मचारी, मासाहिरो हारा ने दो सहयोगियों की एक टीम के साथ, वह विकसित किया जिसे अब हम क्यूआर कोड के रूप में जानते हैं। QR कोड 1994 से उपलब्ध हैं।
क्यूआरएल क्या हैं?
क्यूआरएल, या त्वरित प्रतिक्रिया कोड लॉगिन, पासवर्ड-आधारित प्रमाणीकरण का एक विकल्प है। क्यूआरएल उपयोगकर्ताओं को एक क्यूआर कोड को स्कैन करके (फोटो खींचकर) अपने खाते में लॉग इन करने की अनुमति देता है, जिसने उपयोगकर्ता के लॉगिन क्रेडेंशियल को एन्कोड किया है। तो, हाँ इसका मतलब है कि आपको एक ऐसे कैमरे से लैस उपकरण की आवश्यकता है जो क्यूआर कोड की व्याख्या करने में सक्षम हो। लेकिन आज आप जो अधिकांश स्मार्टफोन और कंप्यूटर खरीदते हैं उनमें वह कार्यक्षमता अंतर्निहित होती है।
क्यूआरएल, या क्विक रिस्पांस कोड लॉगिन, पारंपरिक पासवर्ड-आधारित लॉगिन को प्रभावित करने वाली दो मुख्य शिकायतों को दूर करने के एक तरीके के रूप में उभरा।
- पासवर्ड की थकान:दैनिक आधार पर ऑनलाइन सेवाओं की संख्या बढ़ने के साथ, उपयोगकर्ता को अपने प्रत्येक खाते के लिए एक सुरक्षित पासवर्ड लाने और याद रखने के लिए कहना जल्दी से असहनीय हो जाता है। इसलिए लोग कई साइटों/सेवाओं के लिए एक ही पासवर्ड का पुन: उपयोग करते हैं। यह कई कारणों से बहुत बुरा विचार है। अर्थात्, क्योंकि यदि आप कई सेवाओं के लिए उपयोग किए जाने वाले पासवर्ड से कभी समझौता करते हैं, तो उन सभी सेवाओं के लिए आपके खाते से समझौता हो जाता है। यह प्रभावी रूप से उस पासवर्ड को साझा करने वाली साइटों/सेवाओं की संख्या से होने वाले नुकसान को कई गुना बढ़ा देता है। अधिक जानकारी के लिए, आप पासवर्ड का पुन: उपयोग करने पर हमारा समर्पित लेख पढ़ सकते हैं।
- हमलों को फिर से खेलना:पारंपरिक पासवर्ड-आधारित क्रेडेंशियल दोबारा हमलों के प्रति संवेदनशील होते हैं। रीप्ले आक्रमण एक प्रकार का है बीच में आदमी का हमला , जिसमें वैध डेटा (उदाहरण के लिए, उपयोगकर्ता की लॉगिन क्रेडेंशियल) के प्रसारण में देरी होती है और हमलावर द्वारा इसे इंटरसेप्ट किया जाता है, जो वास्तविक उपयोगकर्ता का प्रतिरूपण करने और संभावित रूप से उनका डेटा चुराने के लिए इंटरसेप्ट किए गए डेटा को फिर से प्रसारित करता है। क्योंकि क्यूआरएल प्रत्येक लॉगिन प्रयास के साथ बदलते हैं, यह इस प्रकार के हमलों के लिए दरवाजा बंद कर देता है।
लेकिन इसका मतलब यह नहीं है कि क्यूआरएल किसी भी तरह से अजेय हैं, जैसा कि हम देखेंगे।
QRLजैकिंग क्या है?
क्यूआरएलजैकिंग एक ऑनलाइन हमला है जिसमें सेवा प्रदाता द्वारा जारी किए गए वास्तविक क्यूआरएल के बजाय हमलावर द्वारा प्रदान किए गए क्यूआरएल को स्कैन करने के लिए एक अनजान उपयोगकर्ता को बेवकूफ बनाना शामिल है। एक बार जब उपयोगकर्ता दुर्भावनापूर्ण क्यूआरएल को स्कैन करता है, तो हमलावर उपयोगकर्ता के खाते तक पहुंच प्राप्त कर लेता है और बुरी चीजें होती हैं।
क्यूआरएलजैकिंग, कई ऑनलाइन हमलों की तरह, पीड़ित को समझौता किए गए क्यूआरएल को स्कैन करने के लिए मूर्ख बनाने के लिए किसी प्रकार की सोशल इंजीनियरिंग की आवश्यकता होती है।
यहां एक विशिष्ट QRLजैकिंग हमले का एक उदाहरण दिया गया है:
- हमलावर संबंधित वेबसाइट/सेवा के लिए क्लाइंट-साइड क्यूआर सत्र शुरू करता है।
- इसके बाद हमलावर एक वैध ऑनलाइन सेवा की नकल करते हुए लॉगिन क्यूआर कोड को नकली लॉगिन पेज पर क्लोन कर देता है। इसके द्वारा प्रदर्शित क्यूआर कोड वैध और नियमित रूप से अपडेट किए जाते हैं।
- किसी प्रकार की सोशल इंजीनियरिंग का उपयोग करके, हमलावर पीड़ित को नकली पेज भेजता है। यह एक यूआरएल वाला ईमेल, एक फेसबुक पोस्ट, यहां तक कि एक टेक्स्ट संदेश भी हो सकता है, जब तक कि यह पीड़ित को लिंक पर क्लिक करने के लिए प्रेरित करता है।
- उपयोगकर्ता दुर्भावनापूर्ण QRL को उस मोबाइल एप्लिकेशन से स्कैन करता है जिसके लिए QRL बनाया गया था।
- हमलावर पीड़ित के खाते तक पहुंच प्राप्त कर लेता है और ऑनलाइन सेवा इतनी समझदार नहीं है क्योंकि यह उपयोगकर्ता का डेटा हमलावर के साथ साझा करती है।
वास्तविक दुनिया QRLजैकिंग हमले
अप्रैल 2019 में, OWASP.org , ओपन वेब एप्लिकेशन सिक्योरिटी प्रोजेक्ट ने एक बनाया गिटहब रिपॉजिटरी क्यूआरएलजैकिंग हमलों को अंजाम देने के लिए निर्देशों और विकी के साथ सॉफ्टवेयर टूल होस्ट करना। सुरक्षा शोधकर्ता कभी-कभी शोध उद्देश्यों के लिए 'बुरा' सामान पोस्ट करते हैं।
GitHub पेज पर, OWASP उन ऑनलाइन सेवाओं को सूचीबद्ध करता है, जिन्हें अप्रैल 2019 में QRLजैकिंग हमलों के प्रति संवेदनशील माना जाता था। मैंने नीचे दी गई सूची पुन: प्रस्तुत की है। OWASP की सूची में शामिल कुछ ऑनलाइन सेवाएँ आपको आश्चर्यचकित कर सकती हैं।
इनमें से अधिकांश सेवाएँ चीनी या रूसी हैं, जहाँ QR कोड बहुत अधिक सामान्य हैं।
चैट एप्लिकेशन
- रेखा
- QQ त्वरित संदेश सेवा
मेल सेवाएँ
- QQ मेल (व्यक्तिगत और व्यावसायिक कॉर्पोरेट),
- यांडेक्स मेल
ई-कॉमर्स
- अली बाबा
- अलीएक्सप्रेस
- ताओबाओ
- टीमॉल
- 1688.com
- प्राप्त नहीं हो रहा है
- ताओबाओ यात्राएँ
ऑनलाइन बैंकिंग
- अलीपे
- यांडेक्स मनी
- टेनपे
पासपोर्ट सेवाएँ
- यांडेक्स पासपोर्ट (यांडेक्स मेल, यांडेक्स मनी, यांडेक्स मैप्स, यांडेक्स वीडियो, आदि…)
मोबाइल प्रबंधन सॉफ्टवेयर
- एयरड्रॉइड
अन्य सेवाएं
- माईडिजीपास
- क्यूआर कोड प्लगइन द्वारा जैपर और जैपर वर्डप्रेस लॉगिन
- भरोसेमंद ऐप
- येलोफ़ोन
- अलीबाबा यूनुस
QRLजैकिंग हमलों को कम करना
क्यूआरएलजैकिंग हमलों से बचाव के लिए उपयोगकर्ता क्यूआरएल का उपयोग न करने के अलावा और कुछ नहीं कर सकते। वास्तव में, यह QRLजैकिंग को कम करने में OWASP की नंबर एक सिफारिश है।
इसके अलावा, कुछ उपाय हैं जो वेबसाइट प्रशासक हमले की सतह को कम करने के लिए अपना सकते हैं। हालाँकि, उन्हें अपने उपयोगकर्ताओं को प्रमाणित करने के साधन के रूप में इसका उपयोग करना भी बंद कर देना चाहिए। लेकिन यदि आपको क्यूआरएल का उपयोग करना ही है, तो यहां कुछ सुरक्षा युक्तियाँ दी गई हैं।
पुष्टिकरण ईमेल/एसएमएस
QRL के साथ लॉग इन करने के बाद, वेबसाइट/सेवा उपयोगकर्ता को एक पुष्टिकरण ईमेल या एसएमएस संदेश भेजती है। इस तरह, यदि उपयोगकर्ता को पुष्टिकरण संदेश नहीं मिलता है तो वह यह निर्धारित कर सकता है कि कुछ गड़बड़ है।
प्रतिबंधित आईपी पते
क्यूआरएल का उपयोग करने वाले आईपी पते को प्रतिबंधित करना क्यूआरएलजैकिंग हमलों को कम करने का एक और तरीका है। उपयोगकर्ता को साइट/सेवा से क्यूआरएल का अनुरोध करने की आवश्यकता है, ताकि सेवा इस बिंदु से उनका आईपी पता जान सके। यह हमलावर के सर्वर से प्रमाणीकरण अनुरोध को अवरुद्ध कर देगा। हालाँकि, ऐसे तरीके हैं जिनसे कोई हमलावर हो सकता है चकमा देना उनका आईपी पता और संभावित रूप से इस सुरक्षा उपाय को बायपास कर देता है।
प्रतिबंधित स्थान
उपरोक्त के समान, एक अन्य शमन उपाय उन स्थानों को प्रतिबंधित करना होगा जहां से प्रमाणीकरण अनुरोध स्वीकार किए जाते हैं। क्योंकि वेबसाइट/सेवा अनिवार्य रूप से उपयोगकर्ता का आईपी पता जानती है, यह उनका सामान्य स्थान भी जानती है। हालाँकि यह फुलप्रूफ नहीं है, फिर भी यह हमलावर के प्रमाणीकरण अनुरोध को तब तक विफल कर सकता है जब तक कि दुर्भावनापूर्ण सर्वर पीड़ित के समान सामान्य स्थान पर न हो।
लेकिन फिर, ये अपेक्षाकृत अव्यवहारिक शमन उपाय हैं। और उनमें से कोई भी चांदी की गोली नहीं है। नंबर एक सैद्धांतिक है. नंबर दो से बचना उतना मुश्किल नहीं है। और यदि हमलावर का सर्वर पीड़ित के समान सामान्य स्थान पर है तो नंबर तीन काम नहीं करेगा।
इसलिए सबसे अच्छा उपाय यह है कि क्यूआरएल का बिल्कुल भी उपयोग न किया जाए।
यदि, एक उपयोगकर्ता के रूप में, आपको क्यूआरएल का उपयोग करना चाहिए, तो यहां कुछ सामान्य ज्ञान सलाह दी गई है जो आपकी मदद कर सकती है। ये ऐसी चीजें हैं जो आपको वैसे भी करनी चाहिए। केवल उस संदर्भ में नहीं जिसमें आप क्यूआरएलजैकिंग से बचाव का प्रयास कर रहे हैं।
- फ़ायरवॉल का उपयोग करें - सभी प्रमुख ऑपरेटिंग सिस्टम में एक अंतर्निर्मित इनकमिंग फ़ायरवॉल होता है और बाज़ार के सभी वाणिज्यिक राउटर में एक अंतर्निर्मित NAT फ़ायरवॉल होता है। सुनिश्चित करें कि ये सक्षम हैं क्योंकि किसी दुर्भावनापूर्ण लिंक पर क्लिक करने की स्थिति में ये आपकी सुरक्षा कर सकते हैं।
- यदि आपका वेब ब्राउज़र उस वेबसाइट या उसके एसएसएल प्रमाणपत्र के बारे में चेतावनी प्रदर्शित करता है जिस तक आप पहुंचने का प्रयास कर रहे हैं, तो ध्यान दें और उस साइट से दूर चले जाएं।
- ईमेल में लिंक या अटैचमेंट पर तब तक क्लिक न करें जब तक आपको यह पता न हो कि इसे किसने भेजा है और यह क्या है।
निष्कर्ष
सुरक्षा और सुविधा निरंतर संतुलन की स्थिति में हैं। जनता के लिए इंटरनेट के लिए दोनों की आवश्यकता है, लेकिन संतुलन बनाना कठिन है। हालाँकि, कभी-कभी सुविधा को बढ़ा-चढ़ाकर पेश किया जाता है। उदाहरण के लिए, क्या क्यूआरएल वन-टाइम पासवर्ड (ओटीपी) से कहीं अधिक सुविधाजनक हैं? इसके बारे में सोचें, आपको अभी भी अपना फोन बाहर निकालना होगा, कैमरा ऐप लॉन्च करना होगा और एक तस्वीर लेनी होगी। क्या यह ओटीपी ऐप खोलने और उसे कॉपी और पेस्ट करने से कहीं अधिक सुविधाजनक है? मुझे यकीन नहीं है कि यह है। और, क्या अब हम इतने 'इंटरनेट-आलसी' हो गए हैं कि एक या दो अतिरिक्त स्वाइप डीलब्रेकर बन जाते हैं?
हालाँकि सुविधा सुविधाजनक हो सकती है (अच्छा सच है, नहीं?) यह हमेशा सुरक्षित नहीं होती है। और जबकि इंटरनेट हमें बहुत सारी मज़ेदार और दिलचस्प चीज़ें दिखा सकता है, यह कभी न भूलें कि इंटरनेट एक शत्रुतापूर्ण जगह है जहाँ ऐसे व्यक्तियों और संगठनों की कोई कमी नहीं है जो आपका हिस्सा चाहते हैं। इसलिए क्यूआरएल का उपयोग न करें—कम से कम अपने अधिक महत्वपूर्ण ऑनलाइन खातों के लिए। और जबकि शायद आपके वेब ब्राउज़र की ऑटो-लॉगिन सुविधा जितनी सुविधाजनक नहीं है, ओटीपी, हालांकि सही नहीं है, क्यूआरएल की तुलना में कहीं बेहतर सुरक्षा प्रदान करेगा। सुविधा में थोड़ी सी गिरावट अक्सर महत्वपूर्ण सुरक्षा लाभ प्रदान करती है।