ভিডিও: 15 दिन में सà¥?तनों का आकार बढाने के आसाà (নভেম্বর 2024)
আমরা এখানে সিকিউরিটি ওয়াচে বিদেশী ম্যালওয়্যার আক্রমণ এবং অস্পষ্ট সুরক্ষা দুর্বলতাগুলি সম্পর্কে অনেক কথা বলি, তবে আক্রমণটি আপনার পর্দায় উইন্ডোগুলি কীভাবে প্রদর্শিত হয় তার মতো বেসিক কিছু গ্রহণ করতে পারে। একজন গবেষক এমন একটি কৌশল দেখিয়েছেন যার মাধ্যমে ভুক্তভোগীরা কেবল "আর" চিঠিটি চাপ দিয়ে ম্যালওয়্যার চালানোর উদ্দেশ্যে প্রতারিত হয়।
গত মাসের শেষদিকে, গবেষক রোজারিও ভালোটা তার ওয়েবসাইটে একটি পোস্ট লিখেছিলেন যেখানে তিনি "ব্রাউজারের ইউজার ইন্টারফেসকে অপব্যবহার করে" আশেপাশে নির্মিত একটি আক্রমণটির রূপরেখা দিয়েছেন। এই কৌশলটি ওয়েব ব্রাউজারগুলিতে কিছু কীর্তি ব্যবহার করে, কেবলমাত্র একটি ড্যাশ সোশ্যাল ইঞ্জিনিয়ারিং দিয়ে thrown
আক্রমণ
ক্লিকজ্যাকিং কৌশলটির পরে একে "কীজ্যাকিং" বলা হচ্ছে, যেখানে ক্ষতিগ্রস্থদের এমন কোনও বস্তুতে ক্লিক করার চেষ্টা করা হয় যা অপ্রত্যাশিত প্রতিক্রিয়া তৈরি করে gene ভলোটার উদাহরণে, আপনি একটি দূষিত সাইটটিতে যান এবং একটি স্বয়ংক্রিয় ডাউনলোড শুরু হয়। উইন্ডোজ 7 এর জন্য ইন্টারনেট এক্সপ্লোরার 9 বা 10 এ, এটি চালানো, সংরক্ষণ করা বা বাতিল করার বিকল্পগুলির সাথে একটি অতি-পরিচিত ডায়ালগ উইন্ডোকে ট্রিগার করে।
কৌশলটি এখানে আসে: আক্রমণকারী একটি ওয়েবপৃষ্ঠার পিছনে নিশ্চিতকরণ উইন্ডোটি লুকানোর জন্য ওয়েবসাইট সেট করে তবে কনফার্মেশন উইন্ডোটিকে ফোকাসে রাখে। ওয়েবসাইটটি ব্যবহারকারীকে সম্ভবত একটি ক্যাপচা ব্যবহার করে "আর" চিঠিটি চাপতে অনুরোধ জানায়। ওয়েবসাইটে একটি ফ্ল্যাশিং কার্সার জিআইএফ ব্যবহারকারীকে ভাবতে পরিচালিত করে যে তার কীস্ট্রোকগুলি ভুয়া ক্যাপচার সংলাপ বাক্সে উপস্থিত হবে, তবে এটি আসলে কনফার্মেশন উইন্ডোতে পাঠানো হচ্ছে যেখানে রান রান করার শর্টকাট ut
এই আক্রমণটি উইন্ডোজ 8-এও ব্যবহৃত হতে পারে, সামাজিক ইঞ্জিনিয়ারিং দিকটি সংশোধন করে টিএফ + আর-তে আঘাতের শিকারটিকে প্ররোচিত করতে। এর জন্য, ভলোটা একটি টাইপিং টেস্ট গেমটি ব্যবহার করার পরামর্শ দেয়।
ওখানে আমাদের সমস্ত ক্রোম ব্যবহারকারীদের জন্য, ভালোট্টা আরও একটি কৌশল আবিষ্কার করেছেন যা প্রচলিত ক্লিকজ্যাকিং শিরাতে রয়েছে। এই দৃশ্যে, ভুক্তভোগী কেবলমাত্র সর্বশেষ দ্বিতীয়টিতে অদৃশ্য হয়ে যাওয়ার জন্য এবং নীচের উইন্ডোতে ক্লিক করুন নিবন্ধটিতে ক্লিক করতে যান।
"আপনি কিছু নির্দিষ্ট স্ক্রিনের স্থানাঙ্কিতে একটি পপন্ডার উইন্ডোটি খোলেন এবং এটি অগ্রভাগের উইন্ডোর নীচে রাখেন, তারপরে একটি এক্সিকিউটেবল ফাইলের ডাউনলোড শুরু হয়, " তিনি লিখেছেন। অগ্রভাগের একটি উইন্ডো ব্যবহারকারীকে ক্লিক করতে p সম্ভবত কোনও বিজ্ঞাপন বন্ধ করতে অনুরোধ জানায়।
"আক্রমণকারী, কিছু জেএস ব্যবহার করে, মাউস পয়েন্টার স্থানাঙ্কগুলি ট্র্যাক করতে সক্ষম হয়েছে, মাউসটি বোতামটির উপরের ঘোরাঘুরি হওয়ার সাথে সাথে আক্রমণকারী অগ্রভাগের উইন্ডোটি বন্ধ করতে পারে, " ভালোটটা আরও বলেছে। "যদি সময়সীমা যথাযথ হয় তবে ভুক্তভোগী অন্তর্নিহিত পপুন্ডার বিজ্ঞপ্তি বারটিতে ক্লিক করার ভাল সম্ভাবনা রয়েছে, সুতরাং প্রকৃতপক্ষে সম্পাদনযোগ্য ফাইলটি আত্ম-প্রবর্তন করুন।"
এই আক্রমণটির ভীতিকর অংশটি হল সামাজিক প্রকৌশল। তার ব্লগ পোস্টে, ভলোটা উল্লেখ করেছেন যে এম জালিউস্কি এবং সি জ্যাকসন ইতিমধ্যে ক্লিক জ্যাকিংয়ের জন্য পড়ে যাওয়া কোনও ব্যক্তির সম্ভাবনা নিয়ে গবেষণা করেছেন। ভালোটার মতে, এটি সময়ের 90 শতাংশেরও বেশি সময় ধরে সফল হয়েছিল।
খুব বেশি আতঙ্কিত হবেন না
ভলোটা স্বীকার করেছেন যে তাঁর পরিকল্পনায় কয়েকটি হিচাপ আছে। এক হিসাবে, মাইক্রোসফ্টের স্মার্টস্ক্রিন ফিল্টার তাদের প্রতিবেদন হওয়ার পরে এই ধরণের আক্রমণগুলি ছড়িয়ে দিতে পারে। যদি লুকানো এক্সিকিউটেবলের অ্যাডমিন প্রিভিলিজেস প্রয়োজন হয়, তবে ব্যবহারকারীর অ্যাক্সেস কন্ট্রোল আরেকটি সতর্কতা উত্পন্ন করবে। অবশ্যই, স্মার্টস্ক্রিনটি নির্বোধ নয় এবং ভলোটা ইউএসি সমস্যাটি জিজ্ঞাসা করে সম্বোধন করে, "আপনার ক্ষতিগ্রস্থদের গুরুতর ক্ষতি করার জন্য আপনার কি সত্যিই প্রশাসনিক সুযোগ-সুবিধা দরকার?"
সর্বদা হিসাবে, আক্রমণ এড়ানোর সহজ উপায় হ'ল ওয়েবসাইটে না যাওয়া। মানুষের কাছ থেকে অদ্ভুত ডাউনলোডের জন্য এবং নীচের লিঙ্কের অফারগুলি এড়িয়ে চলুন। এছাড়াও, আপনার স্ক্রিনে কোন উইন্ডোটি হাইলাইট করা হয়েছে তা নোট করুন এবং টাইপ করার আগে পাঠ্য ক্ষেত্রগুলিতে ক্লিক করুন। আপনি পপআপ / পপন্ডার ব্লকিং সমর্থনগুলিতে নির্মিত ব্রাউজারগুলিও ব্যবহার করতে পারেন।
অন্য কিছু না হলে, এই গবেষণাটি এমন একটি অনুস্মারক যে সমস্ত দুর্বলতা হ'ল কোড বা বিদেশী ম্যালওয়্যার নয়। কিছু আমরা এমন জায়গাগুলিতে লুকিয়ে থাকতে পারি যেখানে আমরা আশা করি না - যেমন ভিওআইপি ফোনগুলি computers বা কম্পিউটারেরা তাদের সামনে মানুষের বোধগম্য করার জন্য ডিজাইন করা হয়েছে এমন সুবিধা গ্রহণ করে।