ਕੋਬੋਲਡ ਅੱਖਰ: HTML-ਅਧਾਰਿਤ ਈਮੇਲ ਫਿਸ਼ਿੰਗ ਹਮਲੇ
31 ਮਾਰਚ 2024 ਨੂੰ, ਲੂਟਾ ਸਕਿਓਰਿਟੀ ਨੇ ਇੱਕ ਨਵੇਂ ਸੂਝਵਾਨ 'ਤੇ ਰੌਸ਼ਨੀ ਪਾਉਂਦੇ ਹੋਏ ਇੱਕ ਲੇਖ ਜਾਰੀ ਕੀਤਾ। ਫਿਸ਼ਿੰਗ ਵੈਕਟਰ, ਕੋਬੋਲਡ ਅੱਖਰ। ਪਰੰਪਰਾਗਤ ਫਿਸ਼ਿੰਗ ਕੋਸ਼ਿਸ਼ਾਂ ਦੇ ਉਲਟ, ਜੋ ਪੀੜਤਾਂ ਨੂੰ ਸੰਵੇਦਨਸ਼ੀਲ ਦੱਸਣ ਲਈ ਭਰਮਾਉਣ ਲਈ ਧੋਖੇਬਾਜ਼ ਸੰਦੇਸ਼ਾਂ 'ਤੇ ਨਿਰਭਰ ਕਰਦੇ ਹਨ ਜਾਣਕਾਰੀ, ਇਹ ਰੂਪ ਈਮੇਲਾਂ ਦੇ ਅੰਦਰ ਛੁਪੀ ਸਮੱਗਰੀ ਨੂੰ ਏਮਬੈਡ ਕਰਨ ਲਈ HTML ਦੀ ਲਚਕਤਾ ਦਾ ਸ਼ੋਸ਼ਣ ਕਰਦਾ ਹੈ। ਸੁਰੱਖਿਆ ਮਾਹਰਾਂ ਦੁਆਰਾ "ਕੋਇਲੇ ਦੇ ਅੱਖਰ" ਵਜੋਂ ਡੱਬ ਕੀਤੇ ਗਏ, ਇਹ ਲੁਕਵੇਂ ਸੁਨੇਹੇ ਈਮੇਲ ਢਾਂਚੇ ਦੇ ਅੰਦਰ ਉਹਨਾਂ ਦੀ ਰਿਸ਼ਤੇਦਾਰ ਸਥਿਤੀ ਦੇ ਅਧਾਰ ਤੇ ਆਪਣੇ ਆਪ ਨੂੰ ਚੋਣਵੇਂ ਰੂਪ ਵਿੱਚ ਪ੍ਰਗਟ ਕਰਨ ਲਈ ਦਸਤਾਵੇਜ਼ ਆਬਜੈਕਟ ਮਾਡਲ (DOM) ਦਾ ਸ਼ੋਸ਼ਣ ਕਰਦੇ ਹਨ।
ਹਾਲਾਂਕਿ ਈਮੇਲਾਂ ਦੇ ਅੰਦਰ ਭੇਦ ਛੁਪਾਉਣ ਦੀ ਧਾਰਨਾ ਸ਼ੁਰੂ ਵਿੱਚ ਨਿਰਦੋਸ਼ ਜਾਂ ਇੱਥੋਂ ਤੱਕ ਕਿ ਹੁਸ਼ਿਆਰ ਲੱਗ ਸਕਦੀ ਹੈ, ਅਸਲੀਅਤ ਇਸ ਤੋਂ ਕਿਤੇ ਵੱਧ ਭਿਆਨਕ ਹੈ। ਖ਼ਰਾਬ ਅਭਿਨੇਤਾ ਖੋਜ ਨੂੰ ਬਾਈਪਾਸ ਕਰਨ ਅਤੇ ਨੁਕਸਾਨਦੇਹ ਪੇਲੋਡ ਵੰਡਣ ਲਈ ਇਸ ਜੁਗਤ ਦਾ ਸ਼ੋਸ਼ਣ ਕਰ ਸਕਦੇ ਹਨ। ਈਮੇਲ ਬਾਡੀ ਦੇ ਅੰਦਰ ਖਤਰਨਾਕ ਸਮੱਗਰੀ ਨੂੰ ਏਮਬੈਡ ਕਰਨ ਦੁਆਰਾ, ਖਾਸ ਤੌਰ 'ਤੇ ਸਮੱਗਰੀ ਜੋ ਅੱਗੇ ਭੇਜਣ 'ਤੇ ਕਿਰਿਆਸ਼ੀਲ ਹੁੰਦੀ ਹੈ, ਅਪਰਾਧੀ ਸੰਭਾਵੀ ਤੌਰ 'ਤੇ ਸੁਰੱਖਿਆ ਉਪਾਵਾਂ ਤੋਂ ਬਚ ਸਕਦੇ ਹਨ, ਜਿਸ ਨਾਲ ਮਾਲਵੇਅਰ ਦੇ ਪ੍ਰਸਾਰਣ ਜਾਂ ਧੋਖਾਧੜੀ ਵਾਲੀਆਂ ਸਕੀਮਾਂ ਨੂੰ ਅੰਜਾਮ ਦੇਣ ਦੇ ਜੋਖਮ ਨੂੰ ਵਧਾਇਆ ਜਾ ਸਕਦਾ ਹੈ।
ਖਾਸ ਤੌਰ 'ਤੇ, ਇਹ ਕਮਜ਼ੋਰੀ ਪ੍ਰਸਿੱਧ ਈਮੇਲ ਕਲਾਇੰਟਸ ਨੂੰ ਪ੍ਰਭਾਵਿਤ ਕਰਦੀ ਹੈ ਜਿਵੇਂ ਕਿ ਮੋਜ਼ੀਲਾ ਥੰਡਰਬਰਡ, ਵੈੱਬ 'ਤੇ ਆਉਟਲੁੱਕ, ਅਤੇ ਜੀਮੇਲ। ਵਿਆਪਕ ਪ੍ਰਭਾਵਾਂ ਦੇ ਬਾਵਜੂਦ, ਸਿਰਫ ਥੰਡਰਬਰਡ ਨੇ ਹੀ ਆਉਣ ਵਾਲੇ ਪੈਚ 'ਤੇ ਵਿਚਾਰ ਕਰਕੇ ਇਸ ਮੁੱਦੇ ਨੂੰ ਹੱਲ ਕਰਨ ਲਈ ਸਰਗਰਮ ਕਦਮ ਚੁੱਕੇ ਹਨ। ਇਸਦੇ ਉਲਟ, ਮਾਈਕ੍ਰੋਸਾਫਟ ਅਤੇ ਗੂਗਲ ਨੇ ਅਜੇ ਤੱਕ ਇਸ ਕਮਜ਼ੋਰੀ ਨੂੰ ਹੱਲ ਕਰਨ ਲਈ ਠੋਸ ਯੋਜਨਾਵਾਂ ਪ੍ਰਦਾਨ ਕਰਨੀਆਂ ਹਨ, ਜਿਸ ਨਾਲ ਉਪਭੋਗਤਾਵਾਂ ਨੂੰ ਸ਼ੋਸ਼ਣ ਦਾ ਸਾਹਮਣਾ ਕਰਨਾ ਪੈਂਦਾ ਹੈ।
ਹਾਲਾਂਕਿ ਈਮੇਲ ਆਧੁਨਿਕ ਸੰਚਾਰ ਦਾ ਇੱਕ ਅਧਾਰ ਬਣਿਆ ਹੋਇਆ ਹੈ, ਇਹ ਕਮਜ਼ੋਰੀ ਮਜਬੂਤ ਈਮੇਲ ਸੁਰੱਖਿਆ ਉਪਾਵਾਂ ਦੀ ਜ਼ਰੂਰਤ ਨੂੰ ਉਜਾਗਰ ਕਰਦੀ ਹੈ। ਈ-ਮੇਲ ਖਤਰਿਆਂ ਦੇ ਵਿਕਾਸ ਦੇ ਜੋਖਮਾਂ ਨੂੰ ਘਟਾਉਣ ਲਈ ਉੱਚੀ ਚੌਕਸੀ ਅਤੇ ਕਿਰਿਆਸ਼ੀਲ ਉਪਾਅ ਜ਼ਰੂਰੀ ਹਨ। ਇਸ ਤੋਂ ਇਲਾਵਾ, ਸਹਿਯੋਗ ਅਤੇ ਸਮੂਹਿਕ ਕਾਰਵਾਈ ਦੁਆਰਾ ਸਾਂਝੀ ਜ਼ਿੰਮੇਵਾਰੀ ਅਤੇ ਕਿਰਿਆਸ਼ੀਲ ਸ਼ਮੂਲੀਅਤ ਦੇ ਸੱਭਿਆਚਾਰ ਨੂੰ ਉਤਸ਼ਾਹਿਤ ਕਰਨਾ ਰੱਖਿਆ ਨੂੰ ਮਜ਼ਬੂਤ ਕਰਨ ਦੀ ਕੁੰਜੀ ਹੈ।
