यदि आप अधिकतर लोगों की तरह हैं, तो आप कष्टप्रद वेब फ़ॉर्म को पूरा करने के लिए ब्राउज़र ऑटोफिल पर भरोसा करते हैं। ब्राउजर "ऑटोफिल" स्वचालित रूप से इन फ़ील्ड में आपके द्वारा दर्ज की गई जानकारी के आधार पर वेब फ़ॉर्म में फ़ील्ड में आपकी जानकारी भरता है।

बुरी खबर यह है कि दुर्भावनापूर्ण तीसरे पक्ष और ब्लैक-टोपी हैकर्स ब्राउज़र में इस ऑटोफिल सुविधा का उपयोग कर सकते हैं ताकि आप अपनी संवेदनशील जानकारी को दूर कर सकें। फ़िनलैंड से एक व्हाइट-टोपी हैकर, विल्जामी कुओसमैन, जो एक वेब डेवलपर भी है, ने अपने गिटहब डेमो में दिखाया कि हमलावर प्लगइन, पासवर्ड प्रबंधक (और ऐसे टूल) और ब्राउज़र में ऑटोफिल सुविधा को हाइजैक कर सकते हैं।

कुओसमैन से बहुत पहले, ग्यारहवें सुरक्षा विश्लेषक, रिकार्डो मार्टिन रोड्रिगेज ने 2013 में इस ब्राउज़र ऑटोफिल भेद्यता की खोज की थी। अब तक, Google को इस भेद्यता का समाधान नहीं मिला है।

अनजाने में अपनी संवेदनशील जानकारी फैलाना

कुओसमैन के सबूत-ऑफ-अवधारणा डेमो वेबसाइट पर आपको एक साधारण वेब फॉर्म दिखाई देगा जिसमें केवल दो फ़ील्ड शामिल हैं - नाम और ईमेल पता। हालांकि, इस फार्म में कई छुपे हुए (यानी दृष्टि से बाहर) फ़ील्ड हैं; इन छिपे हुए क्षेत्रों में पता, संगठन, फोन नंबर, शहर, पोस्टल कोड और देश शामिल हैं।

ऊपर दिए गए फॉर्म की तरह, आपको केवल नाम और ईमेल फ़ील्ड दिखाई देंगे, लेकिन आपकी ऑटोफिल सुविधा स्वचालित रूप से शेष फ़ील्ड में आपके विवरण भर जाएगी। जब आप सबमिट बटन पर क्लिक करते हैं, तो आप उपरोक्त की तरह एक फ़िशिंग वेब फ़ॉर्म को अधिक जानकारी एकत्रित कर लेते हैं।

अपने ब्राउज़र और एक्सटेंशन ऑटोफिल सुविधाओं का परीक्षण करने के लिए, आप प्रूफ-ऑफ-अवधारणा साइट कुओसमैन की स्थापना कर सकते हैं। फॉर्म जमा करने पर मैंने देखा कि यह मेरे द्वारा दी गई जानकारी से अधिक जानकारी प्राप्त करेगा। मैंने इस परीक्षण के लिए नवीनतम मोज़िला फ़ायरफ़ॉक्स का उपयोग किया और मुझे आश्चर्य हुआ कि मैंने कितनी जानकारी निकाल दी है।

क्रोम में ऑटो-भरने वाला वित्तीय डेटा HTTPS के बिना वेबसाइटों के लिए चेतावनी ट्रिगर करता है। मेरे अनुभव में कुओसमैन के फॉर्म ने जिस तारीख को फॉर्म, मेरा पता, मेरा क्रेडिट कार्ड नंबर, सीवीवी, क्रेडिट कार्ड की समाप्ति तिथि, मेरा शहर, देश, ईमेल, नाम, संगठन, फोन और डाक कोड भरने की तारीख को इकट्ठा करने का प्रयास किया।

फ़ॉर्म ने मेरे ब्राउज़र प्रकार, मेरे वर्तमान आईपी पते आदि पर कुछ मेटाडेटा एकत्र करने का भी प्रयास किया। नीचे मेरा स्क्रीनशॉट देखें।

कुओसमैन हमले परीक्षण के दौरान ऐप्पल सफारी, Google क्रोम, और ओपेरा सभी कमजोर थे।

जनवरी 2017 में, मोज़िला के प्रमुख सुरक्षा अभियंता डैनियल वेदित्ज़ ने कहा कि फ़ायरफ़ॉक्स ब्राउज़र को टेक्स्ट बॉक्स को प्रोग्रामेटिक रूप से भरने में धोखा नहीं दिया जा सकता है। फ़ायरफ़ॉक्स उपयोगकर्ता ब्राउज़र ऑटोफिल हमलों (कम से कम अभी तक) से सुरक्षित हैं, क्योंकि ब्राउज़र में मल्टी-बॉक्स ऑटोफिल सिस्टम नहीं है। मोज़िला का फ़ायरफ़ॉक्स ब्राउज़र उपयोगकर्ताओं के लिए वेब फॉर्म में प्रत्येक टेक्स्ट बॉक्स के लिए मैन्युअल रूप से प्री-भरे डेटा का चयन करना अनिवार्य बनाता है।

निष्कर्ष: अपने ब्राउज़र ऑटोफिल सुविधा को बंद करें

फ़िशिंग हमलों के खिलाफ लेने का सबसे आसान सावधानी आपके ब्राउज़र, एक्सटेंशन सेटिंग्स या पासवर्ड मैनेजर में फ़ॉर्म ऑटोफिल सुविधा को बंद करना है। डिफ़ॉल्ट रूप से, आपकी ब्राउज़र ऑटोफिल सुविधा चालू होती है।

क्रोम में ऑटोफिल बंद करने के लिए:

1. ब्राउज़र की "सेटिंग्स" पर जाएं।

2. पृष्ठ के नीचे "उन्नत सेटिंग्स" खोजें।

3. "पासवर्ड और फॉर्म" क्षेत्र में "ऑटोफिल सक्षम करें" अनचेक करें।

ओपेरा में ऑटोफिल बंद करने के लिए:

1. सेटिंग्स के लिए सिर।

2. "ऑटोफिल" पर जाएं और इसे बंद करें।

सफारी में ऑटोफिल बंद करने के लिए:

1. "प्राथमिकताएं" पर जाएं।

2. इसे बंद करने के लिए "ऑटोफिल" पर क्लिक करें।

अगर आपको यह पोस्ट उपयोगी लगता है तो कृपया नीचे "हां" पर क्लिक करें। हमें आपकी टिप्पणियां भी देखकर खुशी होगी।