यदि तुम प्रयोग करते हो माइक्रोसॉफ्ट आउटलुक, टीम्स या वनड्राइव जैसे ऐप्स के साथ काम करने के लिए 365 एफबीआई आप एक नए और तेजी से बढ़ते फ़िशिंग घोटाले से अवगत होना चाहते हैं, एफबीआई के इंटरनेट अपराध शिकायत केंद्र के अनुसार, 21 मई को, एजेंसी ने एक सार्वजनिक सेवा घोषणा जारी कर जनता को “काली365 फ़िशिंग किट” नामक एक उभरते खतरे के बारे में चेतावनी दी, जिसका पहली बार अप्रैल 2026 में पता चला था।
और जो बात इस घोटाले को विशेष रूप से खतरनाक बनाती है वह यह है कि इसमें शामिल होने के लिए हैकर्स को आपके पासवर्ड की आवश्यकता नहीं होती है
Kali365 क्या है और यह कैसे काम करता है?
Kali365 एक सदस्यता-आधारित साइबर अपराध प्लेटफ़ॉर्म है जो हमलावरों को Microsoft 365 खातों को लक्षित करने वाले स्वचालित फ़िशिंग अभियान चलाने की अनुमति देता है। डी एफबीआई यह इसे एक उभरते हुए “फ़िशिंग-ए-ए-सर्विस” (PhaaS) प्लेटफ़ॉर्म के रूप में वर्णित करता है, जिसका अर्थ है कि सीमित तकनीकी कौशल वाले हैकर भी इसके माध्यम से उन्नत टूल तक पहुंच सकते हैं। के अनुसार पहाड़यह प्लेटफ़ॉर्म स्कैमर्स के लिए $250 के मासिक शुल्क पर उपलब्ध है और कथित तौर पर इसे टेलीग्राम के माध्यम से वितरित किया जा रहा है।
एफबीआई ने अपनी सार्वजनिक सेवा घोषणा में कहा, “Kali365 प्रवेश की बाधाओं को कम करता है, एआई-जनित फ़िशिंग लालच, स्वचालित अभियान टेम्पलेट, वास्तविक समय लक्षित व्यक्ति/इकाई ट्रैकिंग डैशबोर्ड और OAuth टोकन कैप्चर क्षमताओं के साथ कम तकनीक वाले हमलावरों को प्रदान करता है।”
एफबीआई के अनुसार, घोटाला आम तौर पर इस प्रकार होता है:
चरण 1 – आपको एक विश्वसनीय दस्तावेज़-साझाकरण या क्लाउड उत्पादकता सेवा से होने का दिखावा करते हुए एक फ़िशिंग ईमेल प्राप्त होता है। ईमेल में एक डिवाइस कोड और निर्देश होते हैं जो आपको इसे दर्ज करने के लिए वास्तविक Microsoft सत्यापन पृष्ठ पर जाने के लिए कहते हैं।
चरण 2- आप वास्तविक माइक्रोसॉफ्ट पेज पर जाएं और कोड दर्ज करें, बिना यह जाने कि आप हमलावर के डिवाइस को अपने खाते तक पहुंचने की अनुमति दे रहे हैं।
चरण 3 – एक बार जब आप कोड दर्ज करते हैं, तो एफबीआई के पीएसए के अनुसार, हमलावर OAuth एक्सेस को कैप्चर कर लेता है और टोकन को रीफ्रेश कर देता है, जिससे उन्हें आपके Microsoft 365 खाते पर नियंत्रण मिल जाता है।
चरण 4- हमलावर अब आपके पासवर्ड या किसी अतिरिक्त मल्टीफैक्टर प्रमाणीकरण जांच की आवश्यकता के बिना आपके आउटलुक, टीम्स और वनड्राइव तक स्वतंत्र रूप से पहुंच सकता है।
यह भी पढ़ें: नैन्सी गुथरी अपडेट: ताजा सुराग भयावह सवाल उठाता है – अगर वह कभी नहीं मिली तो क्या होगा? विशेषज्ञता का वजन होता है
फ़िशिंग क्या है और यह स्मिशिंग से किस प्रकार भिन्न है?
ईमेल के माध्यम से भेजे गए घोटाले फ़िशिंग की श्रेणी में आते हैं। संघीय व्यापार आयोग के अनुसार, हमलावर पासवर्ड, खाता संख्या या सामाजिक सुरक्षा नंबर जैसी संवेदनशील जानकारी चुराने के लिए किसी विश्वसनीय व्यक्ति या सेवा का रूप धारण करते हैं।
फ़िशिंग ईमेल में आम तौर पर एक साधारण अभिवादन शामिल होता है, दावा किया जाता है कि आपके खाते पर तत्काल ध्यान देने की आवश्यकता है, या क्लिक करने के लिए एक लिंक या अनुलग्नक होता है। उनमें अक्सर वर्तनी या व्याकरण की त्रुटियां होती हैं और उन्हें “बाहरी” या सत्यापित के रूप में चिह्नित किया जा सकता है।
स्मिशिंग समान है लेकिन ईमेल के बजाय आपके मोबाइल डिवाइस पर टेक्स्ट संदेश के माध्यम से आता है। डेट्रॉइट फ्री प्रेस के अनुसार, साइबररेडी के अनुसार, फ़िशिंग की तरह, स्मिशिंग उपयोगकर्ताओं को संवेदनशील जानकारी छोड़ने या उनकी सुरक्षा को खतरे में डालने वाली कार्रवाई करने के लिए बरगलाने की कोशिश करता है।
यह भी पढ़ें: पैट साज़ेक का जीवन अपडेट: फॉर्च्यून होस्ट के सेवानिवृत्त व्हील ने महीनों की चुप्पी के बाद क्या खुलासा किया है
यदि आपको निशाना बनाया गया तो आपको क्या करना चाहिए?
माइक्रोसॉफ्ट ने उपयोगकर्ताओं को एफबीआई के दिशानिर्देशों का पालन करने की सलाह दी। माइक्रोसॉफ्ट के एक प्रवक्ता ने द हिल को बताया: “अधिक व्यापक रूप से, माइक्रोसॉफ्ट अपने ग्राहकों की सुरक्षा के लिए फ़िशिंग-ए-ए-सर्विस और खाता अधिग्रहण गतिविधि के पीछे साइबर आपराधिक पारिस्थितिकी तंत्र को बाधित करने के लिए सक्रिय रूप से काम करता है।”
द हिल के अनुसार, कंपनी की डिजिटल अपराध इकाई ने पहले इसी तरह के टूल को बाधित किया था, जिसमें RaccoonO365 और अन्य फ़िशिंग घोटाले शामिल थे।
एफबीआई प्रभावित किसी भी व्यक्ति से ic3.gov पर इंटरनेट अपराध शिकायत केंद्र में शिकायत दर्ज करने का आग्रह करती है, जिसमें फ़िशिंग ईमेल, समय के साथ संदिग्ध लॉगिन प्रयास, आईपी पते और स्थान, और किसी भी अनधिकृत डिवाइस या खातों पर सक्रिय सत्र जैसे विवरण शामिल हैं।
कंपनी ने उपयोगकर्ताओं को सलाह दी कि वे ऐसे एक्सेस कोड वाले लिंक न खोलें जिनके लिए उन्होंने अनुरोध नहीं किया है, और सिफारिश की है कि कंपनियां ऐसे हमलों के जोखिम को कम करने के लिए जहां भी संभव हो डिवाइस प्रमाणीकरण कोड को सीमित या ब्लॉक कर दें।
