टु फ्याक्टर अथेन्टिकेसन र बलियो पासवर्ड राख्दा पनि यसरी ह्याक हुन सक्छ तपाईँको अकाउन्ट

इ. रबिनराज गौतम

आफ्नो अनलाइन अकाउन्ट सुरक्षित राख्न बलियो पासवर्ड प्रयोग गर्न र टु-फ्याक्टर अथेन्टिकेसन (टुएफए) इनेबल गर्न सुझाव दिइन्छ । हुन त यी महत्त्वपूर्ण कदम हुन्, जो कहिल्यै बेवास्ता गर्नु हुँदैन ।

तर यहाँ सत्य केही फरक छ । यदि तपाईँले अकाउन्टका लागि बलियो पासवर्ड राख्नु भएको छ र टुएफए इनेबल गर्नु भएको छ भने पनि तपाईँको अकाउन्ट ह्याक गर्न सकिन्छ, हुन्छ ।

तर, कसरी ? त्यो हो ‘कुक‍िज चोरी’ । यो तपाईँ हामीले सोचेभन्दा धेरै सजिलो छ । आउनुहोस् विस्तृतमा बुझौँ ।

के हो कुकिज चोरी ?

तपाईँले कुनै सवेबसाइटमा लग इन गर्दा तपाईँको ब्राउजरले कुकिज भनिने चिज सेभ गर्छ । यी कुकिजमा तपाईँको ‘सेसन आईडी’ समावेश हुन्छ । यो त्यही चिज हो, जसले तपाईँले पहिले नै उक्त वेबसाइटमा लगइन गर्नुभएको थियो भन्ने जानकारी दिन्छ ।

यसलाई ‘गेट पास’को रूपमा बुझ्नुहोस् । जबसम्म तपाईँसँग कुकिज छ, तबसम्म वेबसाइटले तपाईँलाई पुनः पासवर्ड वा टुएफए माग्दैन । सरासर वेबसाइटभित्र प्रवेश गर्ने अनुमति दिन्छ ।

यदि कसैले त्यस्तो कुकिज चोरी गर्‍यो भने त्यस्तो व्यक्तिले तपाईँले जस्तै सजिलै वेबसाइटमा तपाईँकै पहिचान वा हैसियत प्रयोग गर्न सक्छ । त्यस्ता व्यक्तिलाई तपाईँको पासवर्ड आवश्यक पर्दैन, न त टुएफए नै चाहिन्छ । केवल तपाईँको कुकिज भए पुग्छ ।

कुकिज चोरीमा प्रयोग हुने केही सामान्य तरिका

१. ‘इन्सपेक्ट एलिमेन्ट’ प्रयोग गरेर म्यानुअल कुकिज चोरी

यो विधि एकदमै सरल छ । यसबाट जोगिन यो कहाँ हुन्छ र कसरी लिइन्छ भन्ने कुरा बुझ्नुपर्ने हुन्छ । त्यसका लागि तलको प्रक्रिया अपनाउन सक्नुहुन्छ ।

सबैभन्दा पहिला ब्राउजरमा अकाउन्ट लगइन भएको कुनै वेबसाइटमा जानुहोस् र डेभलपर टुल खोल्नुहोस् । (यसका लागि माउसको दायाँ बटन क्लिक गरेर इन्सपेक्टको अप्सनमा गएर वा ‘F12’ वा ‘Fn’ सँगै F12 कि थिच्न सक्नुहुन्छ ।)

त्यसपछि एप्लिकेसन (Application) को ट्याबमा गएर कुकिज (Cookies) को अप्सनमा जानुहोस् ।

अब लगइन भएको अकाउन्टको सेसन कुकिज (Session Cookies) जस्तै ‘session_id’, ‘auth_token’ कपी गर्नुहोस् ।

त्यसपछि अर्को ब्राउजरमा सेसन कुकिज पेस्ट गर्नुहोस् । यति गरेपछि तपाईँले अकाउन्ट लगइन नगरेको ब्राउजरमा तपाईँको अकाउन्ट लगइन भएर देखिन्छ ।

यहाँ विन्डोजको क्रोम ब्राउजरमा गिटहबको डेमो देखाइएको छ ।

सबैभन्दा पहिला ‘https://github.com’ मा जानुहोस् र साइन इन गर्नुहोस् । त्यसपछि ‘डेभलपर्स टुल्स’ (Developers Tools) खोल्न एफ १२ (F12) थिच्नुहोस् । त्यसपछि एप्लिकेसनको ट्याबमा गई कुकिज सेक्सनमा जानुहोस् । र ‘https://github.com’ मा क्लिक गर्नुहोस् । हाइलाइट गरिएको नाम (user_session र saved_user_session ID) फेला पार्नुहोस् र यसको भ्यालु कपी गर्नुहोस् ।

अब, यी सेसन आईडीहरू अर्को डिभाइस वा त्यही डिभाइसको अर्को ब्राउजरमा एउटै फिल्डमा पेस्ट गर्नुहोस् र, रिफ्रेश गर्नुहोस् । यसरी हामी लगइन नगरी प्रयोगकर्ताको अकाउन्टमा एक्सेस पाउन सक्छौँ ।

यो उदाहरणले के देखाउँछ भने कसैले डिभाइस प्रयोग गरेर म्यानुअल रूपमा सेसन चोरी गर्न सक्छ ।

२. जोखिमयुक्त ब्राउजर एक्सटेन्सन

केही ब्राउजर एक्स्टेन्सन तपाईँका लागि उपयोगी देखिए पनि ती भित्रभित्रै गोप्य रूपमा तपाईँको कुकिज चोर्ने काम गरिरहेका हुन सक्छन् ।

यी एक्स्टेन्सनले तपाईँको सबै सेसन कुकिज चुपचाप सङ्कलन गरी बाहिर पठाउन सक्छन् ।

ह्याकरले त्यसपछि ति सङ्कलित कुकिजलाई आफ्नो ब्राउजरमा इन्जेक्ट गर्छन् ।

तिनीहरू अब तपाईँको अकाउन्टमा सहजै पहुँच पाउँछन् । यसमा उनीहरूलाई तपाईँको पासवर्ड वा टुएफए केही आवश्यक पर्दैन ।

त्यसैले विश्वसनीय डेभलपरले तयार पारेका एक्स्टेन्सन मात्र प्रयोग गर्नुपर्ने हुन्छ । तिनीहरूले कुन अनुमति लिइरहेका छन् भन्ने कुरा सधैँ चेकजाँच गर्न सक्नुहुन्छ । अनावश्यक एक्सेस मागेको छ भने तत्कालै हटाउन सक्नुहुन्छ ।

३. प्रत्यक्ष रूपमा कुकिज फाइल चोरी

तपाईँ हामीले प्रयोग गर्ने प्रमुख ब्राउजरहरूले सिस्टमभित्र फाइलमा कुकिज भण्डारण गरेर राख्छन् ।

फायरफक्सः (C:\Users\<तपाईंको_युजरनेम>\AppData\Roaming\Mozilla\Firefox\Profiles\<प्रोफाइल_नाम>\cookies.sqlite)

क्रोमः (C:\Users\<तपाईंको_युजरनेम>\AppData\Local\Google\Chrome\User Data\Default\Cookies

)

कुकिज चोरीको प्रक्रिया

सुरुमा ह्याकरले भौतिक रूपमा पहुँच बनाएर वा म्यालवेयर प्रयोग गरी तपाईँको कम्प्युटरमा पहुँच प्राप्त गर्छ ।

सम्बन्धित कुकिज फाइलहरू (जस्तै cookies.sqlite वा Cookies) कपी गर्छ ।

त्यसपछि उसले अर्को कम्प्युटरको ब्राउजरबाट तपाईँको सेसन प्रयोग गर्न सक्छ ।

ब्राउजरले ती कुकिज पढ्छ ।

र, ह्याकरले पासवर्ड वा टुएफए बिनै तपाईँको एक्टिभ सेसनलाई पुनः निर्माण गरी सिधा तपाईँको अकाउन्टमा प्रवेश गर्न सक्छ ।

४. मालवेयर र स्क्रिप्टेड आक्रमण

ह्याकरहरूले क्रोम, फायरफक्स र एज जस्ता ब्राउजरबाट कुकिज र पासवर्डहरू चोर्न मालवेयरको प्रयोग पनि उत्तिकै गर्ने गर्छन् । केही मालवेयर एन्टिभाइरस प्रोग्रामलाई बाइपास गर्न र चुपचाप तपाईँको डेटा ह्याकरलाई पठाउन सक्ने किसिमका हुन्छन् ।

यही कारणले गर्दा तपाईँले अनधिकृत, अज्ञात वा अपरिचित सफ्टवेयर कहिल्यै इन्स्टल गर्नु हुँदैन । खासगरी अनियमित वेबसाइट वा टोरेन्टहरूबाट सफ्टवेयर इन्स्टल गर्दा यस्तो जोखिम हुन्छ ।

टुएफएले किन कुकिज चोरीलाई रोक्न सक्दैन ?

टुएफएले त्यतिबेला मात्र काम गर्छ, जतिबेला कसैले तपाईँको अकाउन्ट युजरनेम र पासवर्ड राखेर लगइन गर्ने प्रयास हुन्छ । तर, ह्याकरले तपाईँको सेसन कुकिज पायो भने उनीहरूलाई लगइन गरिरहनु पर्दैन । सेसन आईडी हुने बित्तिकै वेबसाइटले त्यो व्यक्ति तपाईँ नै हो भन्ने ठान्छ र, लगइन गरिदिन्छ । त्यसैले कुकिज चोरीले पावसर्ड र टुएफए सहजै बाइपास गरिदिन्छ ।

उसो भए कुकिज चोरीबाट कसरी सुरक्षित रहने ?

विश्वसनीय ब्राउजर एक्सटेन्सनहरू मात्र प्रयोग गर्नुहोस् ।

अज्ञात सफ्टवेयर डाउनलोड वा इन्स्टल नगर्नुहोस् ।

टाढा हुँदा आफ्नो कम्प्युटर लक गर्नुहोस् ।

नियमित रूपमा आफ्नो कुकिज खाली गर्नुहोस्

नयाँ सुरक्षा जोखिमको बारेमा जानकारी राख्नुहोस् ।

भीपीएन बिना संवेदनशील लेनदेनको लागि सार्वजनिक वाईफाई प्रयोग नगर्नुहोस् ।

आफ्नो काम पुरा गरिसकेपछि एप्लिकेसनबाट साइन आउट गर्नुहोस् ।

कसैले कम्प्युटरको रिमोट एक्सेस मागेको छ भने त्यो व्यक्ति कत्तिको भरपर्दो र विश्वसनीय हो भन्ने यकिन गर्नुहोस् । जोकोहीले रिमोट एक्सेस मागेको छ भने भरसक नदिनुहोस् ।

यदि तपाईँ फेसबुक पेज चलाउनु हुन्छ भने केहीले तपाईँको पेज मेन्सन गर्दै पेज बन्द हुन लागेको र जोगाउन भन्दै युजर आईडी र कुकिज आईडी माग्छन् । त्यस्तोमा सेसन कुकिज नदिनुहोस् । कुनै पनि व्यक्तिलाई त्यस्तो सेसन कुकिज कपी गरेर उपलब्ध गराउने गल्ती पनि नगर्नुहोस् ।

यदि तपाईँ डेभलपर हुनुहुन्छ भने कुकिज दुरुपयोग रोक्न ‘HttpOnly’, ‘Secure’ र ‘SameSite’ जस्ता सुरक्षित कुकिज सेटिङहरू प्रयोग गर्न सक्नु हुन्छ ।

कुकिज चोरी एक डरलाग्दो साइबर आक्रमण हो, जुन प्रायः बेवास्ता गर्ने गरिन्छ । तपाईँ साइबर सुरक्षाका विषयमा जानकार हुनुहुन्छ, कडा पासवर्ड राख्नुहुन्छ, टुएफए अन गर्नुहुन्छ भने पनि चोरी भएको कुकिजले तपाईँको अकाउन्टमा पहुँच दिन सकिन्छ ।

यस्ता साइबर आक्रमणका घटनाबाट जोगिन बलिया पासवर्डहरू प्रयोग गर्नुहोस् र टुएफए (2FA) इनेबल गर्नुहोस् । तर यो पनि याद राख्नुहोस्: तपाईँका सेसन कुकिज तपाईँका पासवर्ड जत्तिकै महत्त्वपूर्ण छन् ।

(काठमाडौँ इन्जिनियरिङ कलेजबाट स्नातकमा कम्प्युटर इन्जिनियरिङ उत्तिर्ण लेखक गौतमले पुल्चोक क्याम्पसबाट कम्प्युटर सिस्टम र नलेज इन्जिनियरिङमा स्नातकोत्तर समेत पास गरेका छन् । यहाँ क्लिक गरी उनको लिंक्डइनमा रहेको अङ्ग्रेजी लेख समेत पढ्न सक्नु हुनेछ ।)

पछिल्लो अध्यावधिक: बैशाख ४, २०८२ ११:१७