अमेरिका की जांच एजेंसी फेडरल ब्यूरो ऑफ इन्वेस्टिगेशन (FBI) ने Microsoft 365 यूजर्स के लिए एक बड़ी चेतावनी जारी की है। एक नए फिशिंग स्कैम के जरिए साइबर अपराधी Microsoft 365 के यूजर्स को निशाना बना रहे हैं, जिसमें वे पासवर्ड जाने बिना भी अकाउंट का एक्सेस हासिल कर सकते हैं। इस स्कैम का खतरा खास तौर पर Microsoft Outlook, Microsoft Teams और Microsoft OneDrive इस्तेमाल करने वाले लोगों के लिए बताया जा रहा है।
बिना पासवर्ड के अकाउंट में सेंध
आमतौर पर फिशिंग हमलों में अपराधी यूजर का पासवर्ड चोरी करने की कोशिश करते हैं, लेकिन इस नए तरीके में साइबर अपराधी Microsoft के ऑथेंटिकेशन टोकन को निशाना बना रहे हैं। इन डिजिटल टोकन की मदद से ऐप्स बिना बार-बार पासवर्ड मांगे यूजर के डेटा तक पहुंच पाती हैं। अपराधी इन्हीं टोकन को चुराकर मल्टी-फैक्टर ऑथेंटिकेशन (MFA) जैसी सुरक्षा को भी बायपास कर सकते हैं।
Kali365 क्या है?
इस पूरे हमले के पीछे एक साइबर क्राइम प्लेटफॉर्म Kali365 बताया जा रहा है। यह एक सब्सक्रिप्शन आधारित सेवा है, जो अपराधियों को ऑटोमेटेड फिशिंग हमले करने के लिए तैयार टूल उपलब्ध कराती है। रिपोर्ट के अनुसार, यह प्लेटफॉर्म अप्रैल 2026 में सामने आया था और इसे Telegram जैसे प्लेटफॉर्म पर प्रमोट किया जा रहा है। Bitdefender के अनुसार, इसे साइबर अपराधी करीब 250 डॉलर प्रति महीने या 2,000 डॉलर सालाना की कीमत पर इस्तेमाल कर सकते हैं।Kali365 अपराधियों को क्या सुविधाएं देता है?
- FBI के अनुसार, इस प्लेटफॉर्म में कई ऐसे टूल शामिल हैं जो हमलों को आसान बनाते हैं:
- AI की मदद से तैयार किए गए फिशिंग ईमेल और मैसेज टेम्पलेट
- ऑटोमेटेड फिशिंग कैंपेन मैनेजमेंट सिस्टम
- पीड़ितों को ट्रैक करने के लिए रियल-टाइम डैशबोर्ड
- OAuth टोकन चोरी करने की क्षमता
- इससे कम तकनीकी जानकारी रखने वाले अपराधी भी बड़े पैमाने पर हमले कर सकते हैं।
कैसे काम करता है यह स्कैम?
यह हमला काफी चालाक तरीके से किया जाता है। सबसे पहले यूजर को एक ऐसा ईमेल भेजा जाता है जो देखने में किसी भरोसेमंद क्लाउड सर्विस जैसा लगता है। ईमेल में एक डिवाइस कोड दिया जाता है और यूजर से कहा जाता है कि वह Microsoft की असली वेरिफिकेशन वेबसाइट पर जाकर यह कोड दर्ज करे।
जैसे ही यूजर कोड डालता है, अपराधी OAuth एक्सेस टोकन हासिल कर लेते हैं। इसके बाद वे बिना पासवर्ड और बिना दोबारा ऑथेंटिकेशन के यूजर के Microsoft 365 अकाउंट में प्रवेश कर सकते हैं। फिर वे Outlook के ईमेल, Teams की जानकारी और OneDrive में मौजूद फाइलों तक पहुंच बना सकते हैं।
यह स्कैम पहचानना मुश्किल क्यों है?
इस हमले की सबसे बड़ी समस्या यह है कि इसमें कोई नकली वेबसाइट या गलत डोमेन जरूरी नहीं होता। यूजर को यह सामान्य Microsoft सिक्योरिटी प्रक्रिया जैसी लग सकती है। AI से बनाए गए ज्यादा भरोसेमंद दिखने वाले ईमेल और ऑटोमेटेड टेम्पलेट इस खतरे को और बढ़ा रहे हैं।
यूजर्स कैसे बचें?
FBI ने यूजर्स को कुछ सावधानियां बरतने की सलाह दी है:
संदिग्ध गतिविधि दिखने पर तुरंत रिपोर्ट करें।
ऐसे किसी भी लिंक या एक्सेस कोड पर क्लिक न करें जिसकी आपने खुद मांग नहीं की हो।
अनजान ईमेल में दिए गए डिवाइस कोड को इस्तेमाल करने से बचें।
Microsoft अकाउंट की सुरक्षा सेटिंग्स और लॉगिन एक्टिविटी को नियमित रूप से जांचें।
