26 October 2020

News Flash

महामोहजाल : धोकादायक ‘लिंक्स’

या धोकादायक ‘लिंक्स’ कशा ओळखायच्या?  डिजिटल सुरक्षा कशी राखावी ? हे सांगणारा हा लेख.

अन्यथा तुमचं अकाऊंट हॅक व्हायचा धोका असतो.

प्रसाद शिरगांवकर – prasad@aadii.net

तुमच्या ईमेल अकाऊंटमध्ये, मोबाइलवर एसएमएसद्वारे किंवा अगदी समाजमाध्यमावरील तुमच्या  अकाऊंटवर अनेकदा काहीतरी आमिष दाखवणारे किंवा ‘तुमचं कोणतं तरी अकाऊंट बंद होईल,’ अशी भीती दाखवणारे मेसेज येत असतात. अनेक मेसेजेसमध्ये एखादी ‘लिंक’ क्लिक करायला सांगतात. मात्र अशा लिंक्स अत्यंत सावधपणे उघडणं गरजेचं आहे. अन्यथा तुमचं अकाऊंट हॅक व्हायचा धोका असतो. या धोकादायक ‘लिंक्स’ कशा ओळखायच्या?  डिजिटल सुरक्षा कशी राखावी ? हे सांगणारा हा लेख.

‘अभिनंदन! आमच्या ‘लकी ड्रॉ’मध्ये तुम्हाला पाच हजार रुपये मिळाले आहेत. तुमच्या अकाऊंटमध्ये पैसे जमा होण्यासाठी पुढील लिंकवर क्लिक करा’..एका मित्राला गेल्या आठवडय़ात हा एसएमएस आला. त्या मेसेजमधल्या ‘लिंक’वर क्लिक केल्यावर एक संके तस्थळ उघडलं आणि तिथून आपोआप एक अ‍ॅप ‘डाऊनलोड’ व्हायला लागलं. मित्रानं ताबडतोब फोन बंद केला म्हणून ते अ‍ॅप डाऊनलोड झालं नाही. पण त्यानं दिलेल्या लिंकवरून तपास करता ते मोबाइलमधला डेटा (माहिती) चोरणारं ‘स्पायवेअर अ‍ॅप’ होतं असं लक्षात आलं.

नुकताच एका मैत्रिणीचा मेसेज आला की तिचं फेसबुक पेज ‘हॅक’ झालंय आणि त्या पेजवरून भलतंच कोणी जाहिराती चालवत आहे. तपास केल्यावर असं लक्षात आलं, की तिला ‘तुमचं फे सबुक अकाऊंट / पेज कु णी तरी ‘रिपोर्ट’ केलं आहे आणि ते ‘डी-अ‍ॅक्टिव्हेट’ होणार आहे,’ असा मेसेज आला होता. ते डी-अ‍ॅक्टिव्हेट होऊ नये म्हणून तुम्ही पुढील लिंकवर क्लिक करून अकाऊंट ‘व्हेरिफाय’ करा,’ असं त्या मेसेजमध्ये लिहिलं होतं. तिनं अर्थातच घाबरून जाऊन घाईनं ती लिंक क्लिक केली. त्या लिंकवरून आलेल्या पानावर आपला फेसबुक पासवर्ड वगैरे देऊन ‘लॉगिन’ केलं आणि पुढच्या काही मिनिटांत तिचं पेज हॅक झालं!

तिसऱ्या एका घटनेत एका परिचित व्यक्तीला ‘तुमचा एक अत्यंत ‘रोचक’ व्हिडीओ आम्हाला सापडलाय. तो बघण्यासाठी आणि डीलीट करण्यासाठी पुढील लिंकवर क्लिक करा,’ असा मेसेज ‘फेसबुक मेसेंजर’वर आला. लिंकवर क्लिक केल्यावर अत्यंत अश्लील चित्रं असलेलं संके तस्थळ उघडलं जाऊन अनेक ‘पॉप अप विण्डोज’ उघडायला लागल्या आणि प्रत्येक पॉप अप विण्डोजमध्ये काही तरी डाऊनलोड करायच्या लिंक्स होत्या.

हल्ली सर्रास दिसणारी ही प्रातिनिधिक उदाहरणं आहेत. एसएमएस, व्हॉट्सअ‍ॅप, फेसबुक मेसेंजर, ई-मेल अशा कोणत्याही माध्यमातून एखादा संदेश येतो. त्या संदेशात ‘तुमचं सोशल मीडिया अकाऊंट बंद पडेल’, ‘बँक अकाऊंट गोठवलं जाईल’, ‘तुमचे अश्लील फोटो, व्हिडीओ आमच्याकडे आहेत’ असा काहीही भीती दाखवणारा आशय असतो किंवा ‘तुम्हाला लॉटरी लागली आहे’, ‘कसलातरी रीफंड किंवा कॅशबॅक मिळणार आहे’, ‘काही तरी फुकट मिळणार आहे,’ अशी लालूच दाखवणारा आशय असतो. आणि अर्थातच एक लिंक दिलेली असते. त्या लिंकवर आपण क्लिक केल्यावर एखादं संकेतस्थळ उघडतं. त्या उघडलेल्या संकेतस्थळावर एखाद्या ‘फॉर्म’मध्ये आपले तपशील भरायला सांगतात किंवा आपोआप काही तरी डाऊनलोड व्हायला लागतं.

आपल्याला कोणती तरी भीती किंवा आमिष दाखवून रचलेला हा अगदी पद्धतशीर सापळा असतो. तो ओळखायचा आणि टाळायचा कसा, हे जाणून घेणं सध्याच्या काळात अत्यंत महत्त्वाचं झालं आहे. या सापळ्यात अडकू नये म्हणून लक्षात ठेवायची महत्त्वाची गोष्ट अशी, की कोणतीही लिंक क्लिक करण्यापूर्वी ती कु णाकडून, म्हणजे कोणत्या स्रोतातून आली आहे आणि ती लिंक नेमकी काय आहे, हे लक्षात घ्यायला हवं.

१. स्रोत : वरील उदाहरणातील माझ्या मित्राला आलेला एसएमएस हा अनोळखी मोबाइल क्रमांकावरून आला होता (कोणत्याही बँकेच्या अधिकृत ‘एसएमएस आयडी’वरून नाही). दुसऱ्या उदाहरणातील माझ्या मैत्रिणीला आलेला मेसेजही फेसबुकचा अधिकृत मेसेज नव्हता, तर ‘ब्लॉकिंग पेज’ नावाच्या अधिकृत भासणाऱ्या अकाऊंटनं तिच्या पेजच्या वॉलवर तो मेसेज ‘पोस्ट’ केला होता.

इथे लक्षात ठेवायची गोष्ट अशी, की अकाऊंट डी-अ‍ॅक्टिव्हेशन किंवा व्हेरिफिकेशनसारखे महत्त्वाचे मेसेज फेसबुक आपल्या वॉलवर किंवा पेजवर कधीच पोस्ट करत नाही. आपल्याला ‘नोटिफिकेशन सेंटर’ किंवा ‘सिक्युरिटी रिव्ह्य़ू’मध्ये दाखवतं. त्यामुळे आपली किंवा आपल्या पेजची वॉल ओपन असेल, तर त्यावर आलेल्या कोणत्याही- अगदी अधिकृत दिसणाऱ्या ‘आयडी’कडून आलेल्याही संदेशावरही विश्वास ठेवू नका. तसंच कोणत्याही बँका, विमा कंपन्या, सरकारी खाती इत्यादी जे एसएमएस पाठवतात, ते व्यक्तिगत फोन क्रमांकावरून पाठवत नाहीत, तर विशिष्ट प्रकारच्या ‘एसएमएस आयडी’वरून पाठवतात. कोणत्याही खऱ्या ई-मेल्स या अधिकृत ई-मेल पत्त्यावरून येतात, मात्र अशा प्रकारची फसवणूक करण्यासाठी आलेल्या ई-मेलच्या बाबतीतलं एक वैशिष्टय़ म्हणजे पाठवणाऱ्याचा ई-मेल पत्ता अधिकृत वाटणारा पण थोडंसं स्पेलिंग बदलून केलेला बनावट पत्ता असतो.

आपली फसवणूक होणं टाळण्यासाठी आपल्याला आलेला एसएमएस, समाजमाध्यमांवरचा मेसेज किंवा ई-मेलचा स्रोत काळजीपूर्वक तपासणं ही पहिली महत्त्वाची पायरी असते.

२. ‘लिंक’चं विश्लेषण : आपण आपल्याला आलेल्या संदेशांमधील लिंक्स क्लिक करतोच, पण दिवसभरात आपण इतरही अनेक कारणांसाठी अनेक लिंक्स क्लिक करत असतो. त्यातल्या खऱ्या कोणत्या आणि खोटय़ा, फसव्या किंवा धोकादायक कोणत्या हे ओळखायचं कसं? कोणतीही लिंक (म्हणजे ‘यूआरएल’) ही अशी दिसते-

http:// example . com / some_path ?some_information या लिंकचे चार भाग असतात. पहिला ‘एचटीटीपी’ किंवा ‘एचटीटीपीएस’ हा संकेतशब्द. दुसरा भाग म्हणजे ‘डोमेन’ किंवा ‘वेबसाइट’चं- म्हणजे संके तस्थळाचं नाव. तिसरा भाग म्हणजे त्या डोमेन किंवा संके तस्थळावरचा विशिष्ट मार्ग किंवा पान (‘पाथ’) आणि चौथा भाग म्हणजे प्रश्नचिन्हानंतर येणारी काही माहिती. यातले पहिले दोन भाग अत्यंत महत्त्वाचे असतात.

कोणतीही लिंक क्लिक करताना लिंकचे पहिले दोन भाग डोळ्यांत तेल घालून बघितलेच पाहिजेत. लिंकचा पहिला भाग म्हणजे ‘एचटीटीपी’ किंवा ‘एचटीटीपीएस’. फक्त एका ‘एस’चा फरक, पण अत्यंत महत्त्वाचा. यातला ‘एस’ म्हणजे ‘सिक्युएर्ड’! जेव्हा लिंकमध्ये फक्त ‘एचटीटीपी’ असतं, तेव्हा आपण पाठवलेली कोणतीही माहिती सुरक्षित नसते. ती अधलामधला कु णीही ‘हॅकर’ अडवून वाचू शकतो आणि वापरू शकतो. कुठेही, कधीही ‘रजिस्ट्रेशन’, ‘व्हेरिफिकेशन’ किंवा ‘ऑनलाइन पेमेंट’ वगैरेंसाठी लिंक आली, तर ती नुसती ‘एचटीटीपी’ नसून ‘एचटीटीपीएस’ आहे का, हे आपण तपासलं पाहिजे आणि ती ‘एचटीटीपीएस’ असेल तरच क्लिक केलं पाहिजे.

लिंकचा दुसरा भाग म्हणजे ‘डोमेन नेम’ किंवा संके तस्थळाचं नाव. उदा. माझ्या मैत्रिणीला मेसेजमध्ये आलेली लिंक अशी होती- http://ow.ly /zwUutxxxxx.. आता जर फेसबुकनं ही लिंक पाठवली असेल, तर ‘यूआरएल’च्या दुसऱ्या भागात facebook.com किंवा fb.com असायला पाहिजे. पण इथे भलतंच काही तरी नाव आहे (ow.ly). पण घाईघाईत आपण हे नाव वाचत नाही किंवा दुर्लक्ष करतो. ‘यूआरएल’च्या दुसऱ्या भागातलं नाव, डोमेन नेम किंवा संके तस्थळाचं नाव काय आहे, हे कोणतीही लिंक क्लिक करायच्या आधी वाचलंच पाहिजे. बहुसंख्य हॅकर्सचा सगळा ‘गेम’ इथे असतो. आपल्याला फेसबुक किंवा गूगल (किंवा तुमची बँक) यांच्याकडून मेल आली आहे, असं भासवतात आणि क्लिक करायची लिंक मात्र भलत्याच कोणत्या ठिकाणची असते. ते ठिकाण कोणतं हे लिंकच्या दुसऱ्या भागात आपल्याला स्पष्ट दिसतं. मात्र इथे एक गडबड असू शकते.

कधी कधी डोमेन नेमच्या आधी एक टिंब देऊन त्याआधी एखादा शब्द असू शकतो, उदा. something.example.com – यामध्ये ‘डॉट कॉम’च्या अलीकडचा शब्द हा ‘डोमेन नेम’ असतो, अन् त्या अलिकडच्या शब्दाला ‘सब-डोमेन’ असं म्हणतात. अनेकदा हॅकर्स हा शब्द आपल्या ओळखीचा किंवा अधिकृत

संके तस्थळाचं नाव वाटेल असा वापरतात. पण ती फसवणूक असू शकते. त्यामुळे डोमेन नेम महत्त्वाचं असतं. सब डोमेन कितीही अधिकृत वाटलं तरी तिकडे दुर्लक्ष करावं. हाच नियम लिंकच्या तिसऱ्या आणि चौथ्या भागाच्या बाबतीतही वापरावा. तिथेही अधिकृत वाटणारे शब्द वापरले जाऊ शकतात, पण या भागांनाही फार महत्त्व देऊ नये.

तर महत्वाची गोष्ट अशी, की कोणतीही लिंक पूर्णपणे वाचल्याशिवाय आणि त्याचे पहिले दोन भाग नीट वाचून त्याचा अर्थ लावल्याशिवाय त्यावर कधीही क्लिक करायचं नाही. याला एक अपवाद असू शकतो. काही वेळा एखादी मोठी लिंक छोटी करण्यासाठी  bit.ly सारखी लिंकचा शॉर्टकट करणारी सेवा वापरलेली असू शकते. अशा वेळी फक्त लिंक वाचून आपल्याला ती योग्य आहे का नाही हे ठरवता येत नाही. अशा वेळी ती लिंक ज्या संदेशातून आली आहे त्याचा स्रोत तपासून बघावा. तो जर खरोखर अधिकृत अथवा अस्सल वाटत असेल तरच लिंकवर क्लिक करावं. अन् लिंकवर क्लिक केल्यानंतर संके तस्थळ जेव्हा उघडते, तेव्हा आपल्या ‘ब्राऊझर’च्या ‘अ‍ॅड्रेस बार’मध्ये खरी पूर्ण लिंक दिसते. ती वरील नियमांनुसार तपासून बघावी. जर वरील नियमांत ती बसत नसेल तर ब्राऊझर बंद करून टाकावा.

आपल्याला आलेल्या कोणत्याही संदेशामधली कोणतीही लिंक किंवा ‘यूआरएल’ही अशा पद्धतीनं वाचणं आणि मग ती योग्य का अयोग्य हे ठरवून त्यावर क्लिक करणं, हे आपण नियमितपणे आणि प्रत्येक लिंक क्लिक करताना केलं पाहिजे. फेसबुकपासून ते आपल्या बँक अकाऊंटपर्यंत आपलं कोणतंही अकाऊंट कधीही हॅक होऊ नये यासाठी ही काळजी आपण सगळ्यांनीच घेतली पाहिजे.

डिजिटल युगामध्ये अनेक प्रकारच्या व्यक्ती आपल्याला अनेक माध्यमांमधून वेगवेगळे संदेश पाठवू शकतात. आपल्या मोबाइल वा लॅपटॉपवर येऊन कोसळणाऱ्या रोजच्या शेकडो संदेशांच्या महापुरातले खरे कोणते आहेत आणि फसवणूक करणारे कोणते आहेत, हे ओळखू शकणं ही डिजिटल युगातली अत्यंत महत्त्वाची नवी ‘साक्षरता’ आहे. आपल्या सुरक्षेसाठी ती आपण आत्मसात करायला हवीच अन् अधिकाधिक लोकांपर्यंत पोहोचवायलाही हवी.

(लेखक मुक्तस्रोत तंत्रज्ञानामध्ये आंतरराष्ट्रीय पातळीवर काम करणारे प्रशिक्षक आणि वक्ते आहेत.)

लोकसत्ता आता टेलीग्रामवर आहे. आमचं चॅनेल (@Loksatta) जॉइन करण्यासाठी येथे क्लिक करा आणि ताज्या व महत्त्वाच्या बातम्या मिळवा.

First Published on October 3, 2020 4:54 am

Web Title: dangerous links harmful websites mahamohajal dd70
Next Stories
1 सायक्रोस्कोप : लोक काय म्हणतील?
2 पडसाद : अंधारलेल्या कोपऱ्यावर उजेड टाकणारा लेख
3 शाळेचं ते एक वर्ष!
Just Now!
X