फ़िशिंग घोटाले कोई नई बात नहीं है, लेकिन हाल ही में सिमेंटेक के शोधकर्ताओं द्वारा खोजे गए एक घोटाले ने सुरक्षा उद्योग का ध्यान आकर्षित किया है। Google डॉक्स और Google ड्राइव उपयोगकर्ताओं को लक्षित करने वाला यह नया घोटाला विशेष रूप से प्रभावी है क्योंकि यह दुर्भावनापूर्ण फ़िशिंग वेबसाइट को होस्ट करने के लिए Google के स्वयं के सर्वर का उपयोग करता है, जिससे उपयोगकर्ताओं के लिए यह पता लगाना मुश्किल हो जाता है कि कुछ गड़बड़ हो गया है।
सबसे परिष्कृत फ़िशिंग घोटाले वैध वेबसाइटों को फिर से तैयार कर सकते हैं, जैसे कि बैंक या ऑनलाइन सेवा, नीचे सटीक विवरण के लिए। लेकिन इन घोटालों में आमतौर पर एक दोष होता है, जिसमें वे "वास्तविक" साइट या सेवा द्वारा होस्ट नहीं किए जाते हैं, जिससे उपयोगकर्ता अपने ब्राउज़र में एक जालसाज़ वेब पते या एसएसएल सुरक्षा की कमी देख सकते हैं। लेकिन सिमेंटेक द्वारा खोजा गया यह नया घोटाला Google द्वारा अनजाने में होस्ट किया गया है, जिससे पीड़ितों को अपने ब्राउज़र में SSL-सक्षम Google पता दिया गया है।
यहां बताया गया है कि यह कैसे काम करता है: स्कैमर्स ने Google ड्राइव खाते के अंदर एक फ़ोल्डर बनाया और इसे सार्वजनिक रूप से चिह्नित किया, जिससे कोई भी इसे देख सके। फिर वे उस फ़ोल्डर में एक फ़ाइल अपलोड करते हैं, जो Google लॉग-इन पृष्ठ की तरह दिखने के लिए स्वरूपित है, और फ़ाइल के लिए सार्वजनिक रूप से सुलभ URL प्राप्त करने के लिए Google ड्राइव के पूर्वावलोकन सुविधा का उपयोग करता है।
स्कैमर्स तब किसी भी विधि के माध्यम से इस लिंक को वितरित कर सकते हैं, उपयोगकर्ताओं को यह विश्वास दिलाते हुए कि यह एक Google डॉक्स फ़ाइल की ओर जाता है, और उस पर क्लिक करने वाले उपयोगकर्ता Google लॉग-इन की तरह दिखने वाले पृष्ठ पर उतरेंगे। जबकि Google में लॉग इन करने के लिए URL सही नहीं होगा, यह Google.com डोमेन और SSL सुरक्षा दिखाएगा, जो अधिकांश पीड़ितों को रौंदने के लिए पर्याप्त हो सकता है।
जो उपयोगकर्ता अपने लॉग-इन क्रेडेंशियल्स में प्रवेश करते हैं, उन्हें स्कैमर द्वारा एक PHP स्क्रिप्ट के माध्यम से रिकॉर्ड किया जाएगा और, शायद सबसे खराब, उन उपयोगकर्ताओं को जो "लॉग-इन" तब एक वास्तविक Google डॉक्टर फ़ाइल में स्थानांतरित हो जाएंगे, जिससे यह संभव हो सकेगा कि अधिकांश पीड़ित। यह एहसास भी नहीं होगा कि जब तक बहुत देर हो चुकी है, तब तक वे बदनाम नहीं हुए।
Google की लगातार बढ़ती सेवाओं के कारण, उपयोगकर्ता के Google लॉगिन क्रेडेंशियल्स वाले स्कैमर के पास ईमेल, कैलेंडर, दस्तावेज़ और यहां तक कि Google संगीत जैसी सेवाओं का भुगतान होगा।
इस घोटाले के सापेक्ष परिष्कार के बावजूद, उपयोगकर्ता अभी भी अपने लॉगिन क्रेडेंशियल दर्ज करने से पहले किसी साइट के एड्रेस बार पर करीब से ध्यान देकर और दो-कारक प्रमाणीकरण को सक्षम करके संरक्षित किया जा सकता है, जो इसे प्रदान करने वाली प्रत्येक सेवा के लिए दृढ़ता से अनुशंसित है।
