سلیکان ویلی – سائبر سیکیورٹی کے یوٹیوب چینل ’’انفینیٹ لاگنز‘‘ نے اپنی تازہ وڈیو میں انکشاف کیا ہے کہ ہیکرز نے انٹرنیٹ صارفین کے یوزر نیمز اور پاس ورڈز چوری کرنے کے لیے ’’فشنگ‘‘ phishing کا ایک نیا طریقہ ڈھونڈ لیا ہے، جسے ’’براؤزر اِن دی براؤزر‘‘ (BitB) کہا جاتا ہے
یہ وڈیو سائبر سیکیورٹی ماہرین کے لیے ہے، جس میں ’’مسٹر ڈاکس‘‘ (mr.d0x) نامی ایک وائٹ ہیٹ ہیکر کے حوالے سے ’’بِٹ بی‘‘ (BitB) طریقے کی تفصیل بیان کی گئی ہے
انفینیٹ لاگنز، مسٹر ڈاکس اور آرس ٹیکنیکا پر اس بارے میں شائع ہونے والی ایک خبر کے مطابق، یہ نیا طریقہ اس قدر شاطرانہ ہے کہ ایک سمجھدار اور ہوشیار رہنے والا انٹرنیٹ صارف بھی اس سے دھوکا کھا سکتا ہے
’’بِٹ بی‘‘ کا انحصار ’’تھرڈ پارٹی لاگ اِن‘‘ پر ہے، جو آج دنیا کی لاکھوں ویب سائٹس استعمال کر رہی ہیں
تھرڈ پارٹی لاگ اِن میں آپ کو کسی ویب سائٹ پر لاگ اِن ہونے کے لیے علیحدہ اکاؤنٹ بنانے کی ضرورت نہیں ہوتی بلکہ آپ اپنے موجودہ گوگل، فیسبُک یا ایپل اکاؤنٹ کی تصدیق کرواتے ہوئے اس ویب سائٹ پر لاگ اِن ہو سکتے ہیں
اس مقصد کے لیے ’’او آتھ‘‘ (OAuth) نامی اوپن پروٹوکول استعمال کیا جاتا ہے، جو کسی ویب سائٹ پر لاگ اِن ہونے کے لیے گوگل، فیسبُک یا ایپل اکاؤنٹ وغیرہ کی خودکار، فوری اور محفوظ تصدیق کی سہولت فراہم کرتا ہے
’’بِٹ بی‘‘ طریقے کے تحت ہائپر ٹیکسٹ مارک اپ لینگویج (HTML) میں کاسکیڈنگ اسٹائل شیٹ (CSS) نامی تکنیک سے استفادہ کرتے ہوئے، تھرڈ پارٹی لاگ اِن کے لیے ایک ایسی پاپ ونڈو بنائی جاتی ہے، جو دیکھنے میں بالکل اصل تصدیقی (آتھورائزیشن) ونڈو کی طرح دکھائی دیتی ہے
لیکن بات صرف یہیں تک محدود نہیں رہتی بلکہ اس ونڈو کی ایڈریس بار میں یو آر ایل بھی بالکل اصل دکھائی دیتا ہے، جیسے کہ accounts.google.com وغیرہ
ایک اچھا خاصا سمجھدار انٹرنیٹ صارف بھی اس سے دھوکا کھا جاتا ہے اور اس تھرڈ پارٹی لاگ اِن ونڈو میں اپنا یوزر نیم اور پاس ورڈ لکھ کر اینٹر کر دیتا ہے اور اس طرح وہ لاعلمی میں اپنی اہم ترین معلومات اور اپنے اکاؤنٹس تک رسائی کسی نامعلوم ہیکر کو دے دیتا ہے
آرس ٹیکنیکا کی متعلقہ پوسٹ میں سیکیورٹی ایڈیٹر ڈین گڈن نے ’’بِٹ بی‘‘ فشنگ کو پہچاننے اور اس سے بچنے کے لیے کچھ مشورے بھی دیئے ہیں
وہ لکھتے ہیں کہ ’’بِٹ بی‘‘ فشنگ میں نمودار ہونے والی لاگ اِن ونڈو علیحدہ نہیں ہوتی بلکہ یہ ’’براؤزر کے اندر براؤزر‘‘ ونڈو ہوتی ہے، جو بظاہر ایک الگ اور اصلی لاگ اِن ونڈو کی طرح دکھائی دیتی ہے
یہ لاگ اِن ونڈو اصلی ہے یا نقلی؟ اگر وہ دائیں بائیں حرکت دینے پر اپنی جگہ سے ہل رہی ہے تو وہ جعلی لاگ اِن ونڈو ہے، کیونکہ اسے ’سی ایس ایس‘ کی مدد سے ظاہری طور پر ایسی شکل دی گئی ہے
ڈین گڈن نے ’’بِٹ بی‘‘ فشنگ پہچاننے کا جو دوسرا طریقہ بتایا ہے، وہ کچھ مشکل ہے
اس میں آپ کو لاگ اِن ونڈو پر رائٹ کلک کرکے inspect سلیکٹ کرنا ہوگا، جس کے بعد نمودار ہونے والی انسپکشن ونڈو میں لکھی عبارت (ٹیکسٹ) کا بغور جائزہ لینا ہوگا، جہاں اِن پُٹ کیے گئے یوزر نیم اور پاس ورڈ محفوظ کرنے کےلیے کسی نامعلوم ویب سائٹ کا ایڈریس درج ہوگا
اس طرح آپ کو خود ہی اس جعلی لاگ اِن ونڈو کی حقیقت کا پتا چل جائے گا
ان کے علاوہ، آپ چاہیں تو آزمائش کی غرض سے اس لاگ اِن ونڈو میں غلط یوزر نیم اور پاس ورڈ اینٹر کیجیے۔ اگر یہ اصلی ہوگی تو غلط یوزر نیم اور پاس ورڈ کا پیغام دے گی، لیکن جعلی لاگ اِن ونڈو انہیں ’’درست‘‘ کے طور پر قبول کرلے گی
سائبر سیکیورٹی ماہرین کا کہنا ہے کہ اب تک فشنگ کے بیشتر حملوں کو پہچاننا بہت آسان ہوا کرتا تھا لیکن ’’بِٹ بی‘‘ طریقہ بہت پیچیدہ ہے، جس سے بچنے کےلیے صارفین کو تصدیق کے متبادل طریقوں سے بھی باخبر رہنا ہوگا؛ اور اکثر صارفین سہل پسندی میں ایسا نہیں کرتے
مسٹر ڈاکس کے مطابق، فشنگ کا نیا طریقہ اگرچہ کچھ ہفتے پہلے ہمارے علم میں آیا ہے لیکن ہیکرز اسے غالباً 2020ع سے استعمال کر رہے ہیں.
