Gmail की सुरक्षा चेतावनी "गलत सूचना", फिर भी फ़िशिंग नियमित रूप से इनबॉक्स को निशाना बना रही है: Google का आधिकारिक दृष्टिकोण और व्यावहारिक गाइड

1. क्या हुआ - "आपातकालीन चेतावनी" रिपोर्टिंग और Google का खंडन

सितंबर की शुरुआत में, "Gmail ने सभी उपयोगकर्ताओं को आपातकालीन चेतावनी जारी की" और "2.5 अरब लोगों को पासवर्ड बदलने के लिए कहा" जैसी खबरें विदेशी मीडिया और सोशल मीडिया पर तेजी से साझा की गईं। इसके जवाब में, Google ने अपने आधिकारिक ब्लॉग पर स्पष्ट किया कि ऐसी कोई "व्यापक चेतावनी" जारी नहीं की गई थी, और रिपोर्टिंग गलत थी। उन्होंने कहा कि "Gmail की सुरक्षा मजबूत और प्रभावी है" और गलत जानकारी साइबर सुरक्षा पर चर्चा को भ्रमित कर सकती है।blog.google

NDTV Profit और अमेरिकी स्थानीय चैनलों ने भी Google के "गलत रिपोर्टिंग" बयान को प्रस्तुत किया। गलत जानकारी के प्रति चिंता के साथ, उपयोगकर्ताओं से अत्यधिक प्रतिक्रिया न देने और शांत रहकर स्थिति का सामना करने की अपील की गई।NDTV ProfitNBC Chicago

2. आधिकारिक दृष्टिकोण के मुख्य बिंदु (3)

1. "विस्तृत Gmail चेतावनी" स्वयं गलत है
   Google ने "Several inaccurate claims… (कई गलत दावे फैलाए गए)" के रूप में रिपोर्टिंग की श्रृंखला को खारिज किया।blog.google
   
   

2. ब्लॉक दर: 99.9% से अधिक
   Gmail स्पैम, फ़िशिंग, और मैलवेयर के 99.9% से अधिक को पहले से ही अवरुद्ध कर रहा है।blog.googlesafety.google
   
   

3. सिफारिश: पासकी आदि की अतिरिक्त सुरक्षा
   गलत रिपोर्टिंग का फायदा उठाने वाले फर्जी नोटिफिकेशन और धोखाधड़ी के सामान्य होने के कारण, पासकी का उपयोग और फ़िशिंग के खिलाफ सर्वोत्तम प्रथाओं का पालन करने की सिफारिश की गई है।blog.google

3. पृष्ठभूमि में "भ्रम" - असल में क्या समस्या थी

कुछ रिपोर्टों में, Salesforce जैसी बाहरी प्लेटफ़ॉर्म से संबंधित घटनाएं और उनसे जुड़ी धोखाधड़ी को "Gmail के बड़े पैमाने पर उल्लंघन" के साथ भ्रमित किए जाने की संभावना जताई गई है। इसके अलावा, **वॉयस इम्पर्सनेशन (vishing)** जैसी अधिक जटिल सामाजिक अभियंत्रण हमलों की बढ़ती रिपोर्टिंग ने इस माहौल में असुरक्षा को बढ़ाया।The Telegraph

4. वर्तमान में लक्षित हमले के तरीके (उदाहरण)

• फर्जी समर्थन/आपातकालीन नोटिफिकेशन प्रकार:
  "खाते को खतरा है", "अभी जाँच करें" जैसे गंभीर चिंता को भड़काने वाले संदेशों के माध्यम से फर्जी लॉगिन पृष्ठ पर ले जाया जाता है।

• पासवर्ड रीसेट का फर्जीवाड़ा:
  असली जैसी दिखने वाली पृष्ठों पर प्रमाणीकरण जानकारी चुराई जाती है।

• OAuth सहमति स्क्रीन का दुरुपयोग:
  "ऐप को अनुमति दें" के लिए प्रेरित कर, ईमेल पढ़ने आदि के लिए स्थायी पहुंच प्राप्त की जाती है।

• इनवॉइस/व्यावसायिक संचार का फर्जीवाड़ा (BEC/स्पीयर फ़िशिंग):
  व्यापारिक साझेदार या बॉस के रूप में प्रस्तुत कर, भुगतान स्थानांतरण या संवेदनशील जानकारी की मांग की जाती है।

• वॉयस (फोन) + ईमेल का संयोजन (vishing):
  ईमेल के माध्यम से संपर्क→फोन पर "पहचान सत्यापन" के नाम पर जानकारी निकाली जाती है - बहुस्तरीय सामाजिक अभियंत्रण का प्रचलन।Google समर्थन

5. व्यक्तिगत उपयोगकर्ताओं के लिए "आज से करने योग्य" 10 नियम

1. पासकी को सेट करें (यदि संभव हो तो प्राथमिकता दें)।blog.google

2. **2-स्टेप वेरिफिकेशन (2SV)** को सक्षम करें।

3. सुरक्षा जांच (Security Checkup) के माध्यम से कमजोरियों की पहचान करें।safety.google

4. मजबूत और पुनः उपयोग न करने वाले पासवर्ड + पासवर्ड मैनेजर का उपयोग करें।

5. लिंक पर पासवर्ड न डालें (यदि आवश्यक हो तो ब्राउज़र के एड्रेस बार से सीधे एक्सेस करें)।Google समर्थन

6. प्रेषक डोमेन/प्रदर्शन नाम की जालसाजी से सावधान रहें (समान दिखने वाले डोमेन से सतर्क रहें)।Google समर्थन

7. संलग्न फ़ाइलों के स्वतः निष्पादन से बचें।

8. संदिग्ध ईमेल को "रिपोर्ट" करें (Gmail की फ़िशिंग रिपोर्टिंग सुविधा)।Google समर्थन

9. Chrome की "सेफ ब्राउजिंग" को मजबूत करें ताकि वास्तविक समय में सुरक्षा हो सके।Safe Browsing

10. सरकारी, वित्तीय, या डिलीवरी के रूप में प्रस्तुत आपातकालीन संपर्क पर एक बार गहरी सांस लें - आधिकारिक ऐप या वेबसाइट पर फिर से जांचें।blog.google

6. Google Workspace (प्रशासक) के लिए आपातकालीन चेकलिस्ट

• SPF/DKIM/DMARC को सही करें और जालसाजी को प्रभावी ढंग से पहचानें।

• **"अप्रमाणित ईमेल की प्रक्रिया"** को सख्त करें (चेतावनी/क्वारंटाइन/स्पैम में डालें)।

• BEC सुरक्षा और डोमेन जालसाजी के खिलाफ उपाय को सक्षम करें।

• Enhanced Safe Browsing (विस्तारित सुरक्षा) का संगठनात्मक अनुप्रयोग पर विचार करें। ये प्रबंधन कंसोल में बारीकी से नियंत्रित किए जा सकते हैं।Google समर्थन+1

7. इनबॉक्स में "लाल झंडे संकेत" की जांच

1. आपातकालीनता का जोर (कुछ घंटों के भीतर प्रतिक्रिया की मांग)

2. प्रेषक से असंगति (फ्री ईमेल/समान वर्तनी वाले डोमेन)

3. लिंक URL का असंगति (प्रदर्शित और वास्तविक गंतव्य)

4. धन, प्रमाणीकरण जानकारी, या संख्या की मांग (गिफ्ट कार्ड, OTP, पुनर्प्राप्ति कोड)

5. संलग्न निष्पादन योग्य फ़ाइलें/पासवर्ड-संरक्षित ZIP

6. OAuth अनुमतियों की अत्यधिक मांग (पढ़ना, भेजना, संपर्कों तक पहुंच)

7. फोन नंबर का उल्लेख (वापसी कॉल के लिए प्रेरित करने वाला vishing संयोजन)
   इनमें से यदि कोई एक भी लागू होता है तो सावधान रहें। ईमेल को बंद करें और आधिकारिक साइट या ऐप से स्वयं जांचें।##HTML_TAG