कास्परस्की ने कॉर्पोरेट क्रेडेंशियल्स को लक्षित करने वाली गूगल टास्क्स फिशिंग अभियान की खोज की

संपादक का नोट: निम्नलिखित संक्षिप्त जानकारी में कैस्परस्की द्वारा उजागर किए गए एक नए फ़िशिंग अभियान का वर्णन किया गया है, जो वैध Google Tasks सूचनाओं को हाइजैक करके कॉर्पोरेट पासवर्ड चुराता है। हमलावर विश्वसनीय सेवाओं का नकल करते हैं, @google.com डोमेन और आंतरिक कंपनी संकेतों का उपयोग करके मानक फ़िल्टरों से बचते हैं और उपयोगकर्ताओं को त्वरित कार्रवाई के लिए दबाव बनाते हैं। पीड़ितों को एक लिंक पर क्लिक करने और एक धोखेबाज़ कर्मचारी प्रमाणीकरण प्रपत्र पूरा करने के लिए आमंत्रित किया जाता है, जिससे संवेदनशील पासवर्ड सामने आते हैं, जिनसे अनधिकृत पहुँच प्राप्त की जा सकती है। यह सलाह अपराधियों द्वारा परिचित उपकरणों का दुरुपयोग करने के लिए विकसित होते जा रहे तरीकों पर प्रकाश डालती है और उद्यम पर्यावरण में सतर्कता के महत्व पर जोर देती है।

• हमलावर वैध गूगल टास्क्स अलर्ट का दुरुपयोग करके कॉर्पोरेट पासवर्ड चुराते हैं।
• अभियान, फिल्टरों को बाईपास करने और विश्वास बनाने के लिए विश्वसनीय @google.com डोमेन का उपयोग करता है।
• उपयोगकर्ता एक लिंक पर क्लिक करने के बाद एक धोखाधड़ी वाले कर्मचारी सत्यापन फॉर्म पर निर्देशित किए जाते हैं।
• सामाजिक इंजीनियरिंग त्वरितता और आंतरिक प्रक्रिया के दृश्य के आधार पर काम करती है ताकि सुरक्षा कम हो जाए।

परिचित सेवाओं का दुरुपयोग करके, अभियान दैनिक उपकरणों में विश्वास का दुरुपयोग करता है, जिससे कर्मचारियों द्वारा पासवर्ड उजागर करने की संभावना बढ़ जाती है। यह दृष्टिकोण कई सुरक्षा फिल्टरों को बायपास करता है और संगठनों में जागरूकता और परतदार सुरक्षा की आवश्यकता पर प्रकाश डालता है। इस घटना से यह स्पष्ट होता है कि क्यों प्रशिक्षण, MFA और मजबूत सत्यापन प्रक्रियाएँ महत्वपूर्ण हैं, क्योंकि हमलावर निरंतर कानूनी प्लेटफॉर्म के अनुसार अपनी रणनीति बदल रहे हैं।

• विश्वसनीय सूचना चैनलों के माध्यम से उद्यम उपकरणों का नकल करने वाले अधिक फिशिंग प्रयासों की तलाश करें।
• कॉर्पोरेट क्रेडेंशियल्स के लिए मांग करने वाले धोखेबाज़ फॉर्म्स के लिए सावधान रहें और इंटरैक्ट करने से पहले URL की पुष्टि करें।
• खातों की सुरक्षा के लिए MFA और मेल-सर्वर सुरक्षा उपायों को लागू करें।
• संदिग्ध गतिविधि की रिपोर्ट आईटी को करें और आवश्यकता के अनुसार सुरक्षा नीतियों को अद्यतन करें।

प्रकाशन: नीचे दिया गया सामग्री कंपनी/पीआर प्रतिनिधि द्वारा प्रदान किया गया प्रेस रिलीज है। इसे सूचनात्मक उद्देश्यों के लिए प्रकाशित किया गया है।

26 फरवरी, 2026

कैस्परस्की ने एक नया फिशिंग योजना उजागर की है जो वैध गूगल टास्क्स सूचनाओं का दुरुपयोग करके कॉर्पोरेट उपयोगकर्ताओं को कॉर्पोरेट लॉगिन पासवर्ड देने के लिए धोखा देती है। गूगल के विश्वसनीय @google.com ईमेल डोमेन और सूचना प्रणाली का उपयोग करके, हमलावर पारंपरिक ईमेल सुरक्षा फिल्टरों को बायपास करते हैं और उपयोगकर्ताओं के परिचित सेवाओं पर विश्वास का दुरुपयोग करते हैं।

इस अभियान में, पीड़ितों को Google Tasks से एक वास्तविक दिखने वाली सूचना मिलती है, जिसका विषय पंक्ति “आपके पास एक नया कार्य है” है। संदेश यह भ्रम पैदा करता है कि प्राप्तकर्ता की कंपनी ने Google के कार्य प्रबंधन उपकरण को अपना लिया है, जिससे उन्हें त्वरित कार्रवाई के लिए दबाव बनाया जाता है। सूचना में अक्सर तत्काल प्रतिक्रिया के लिए तत्कालता के तत्व, जैसे उच्च प्राथमिकता फ्लैग और संकीर्ण अंतिम तिथि, शामिल होते हैं।

एम्बेडेड लिंक पर क्लिक करने पर, उपयोगकर्ताओं को एक धोखेबाज़ फॉर्म पर निर्देशित किया जाता है, जो एक “कर्मचारी सत्यापन” पेज के रूप में छिपा होता है, जहाँ उनसे अपनी कॉर्पोरेट प्राधिकरण जानकारी दर्ज करने के लिए कहा जाता है, जिसका बहाना उनकी स्थिति की पुष्टि करना होता है। इन चोरी की गई प्राधिकरण जानकारी का उपयोग फिर कंपनी के सिस्टम, डेटा चोरी या अतिरिक्त हमलों के लिए अनधिकृत पहुँच के लिए किया जा सकता है।

गूगल के विशाल परितंत्र का धोखेबाज़ द्वारा दुरुपयोग किया जाता है। गूगल टास्क्स के साथ यह योजना एक व्यापक प्रवृत्ति का हिस्सा है, जिसे पहले भी देखा गया है और 2026 तक जारी रहेगी, जहां साइबर अपराधी वैध प्लेटफॉर्म का उपयोग धोखेबाज़ी और फ़िशिंग फैलाने के लिए करते हैं। वैध डोमेन से आने वाले सूचनाएं प्राकृतिक रूप से कई स्पैम और फ़िशिंग फ़िल्टर को भेद जाती हैं, जबकि सामाजिक इंजीनियरिंग का पहलू – इसे एक आंतरिक कंपनी प्रक्रिया की तरह दिखाना – पीड़ित की सावधानी कम कर देता है,” कास्परस्की के एंटी-स्पैम विशेषज्ञ रोमन डेडेनोक कमेंट करते हैं।

इस रणनीति के बारे में Kaspersky के ब्लॉग पर लेख पढ़ें।

इस और इसी तरह के खतरों के खिलाफ, कास्परस्की सुझाव देता है:

• किसी भी प्लेटफॉर्म से आए अनचाहे आमंत्रणों के प्रति संदेह के साथ व्यवहार करें, भले ही वे विश्वसनीय स्रोतों से आने का प्रतीत हों
• क्लिक करने से पहले URL का ध्यान से निरीक्षण करें
• संदिग्ध ईमेल में दिए गए किसी भी फोन नंबर पर फोन न करें – यदि आप किसी विशिष्ट सेवा के समर्थन से संपर्क करना चाहते हैं, तो इस सेवा की आधिकारिक वेबसाइट पर फोन नंबर ढूंढना सबसे अच्छा है
• संदिग्ध ईमेल की रिपोर्ट प्लेटफॉर्म प्रदाता को करें और सभी खातों के लिए मल्टी-फैक्टर प्रमाणीकरण का उपयोग करें
• कॉर्पोरेट उपयोगकर्ताओं के लिए, Kaspersky Security for Mail Server मशीन लर्निंग एल्गोरिदम द्वारा संचालित बहु-स्तरीय रक्षा तंत्र के साथ विकसित हो रहे खतरों के विरुद्ध मजबूत सुरक्षा प्रदान करता है और बदलते साइबर जोखिमों के सामने व्यवसायों को शांति प्रदान करता है
• व्यक्तिगत उपयोगकर्ताओं के लिए Kaspersky Premium AI-सक्षम फ़िशिंग रोकने वाली सुविधाएँ प्रदान करता है, जो फ़िशिंग हमलों से बचने और सामान्य साइबर सुरक्षा में सुधार करने में मदद करती हैं।

कास्परस्की 1997 में स्थापित एक वैश्विक साइबर सुरक्षा और डिजिटल गोपनीयता कंपनी है। अब तक, कास्परस्की ने उभरते साइबर खतरों और लक्षित हमलों से एक अरब से अधिक उपकरणों की सुरक्षा की है। कास्परस्की की गहन खतरा बुद्धिमत्ता और सुरक्षा विशेषज्ञता लगातार नवीन समाधानों और सेवाओं में बदल रही है, जो विश्वभर के व्यक्तियों, व्यवसायों, महत्वपूर्ण अवसंरचनाओं और सरकारों की सुरक्षा करती हैं। कंपनी का व्यापक सुरक्षा पोर्टफोलियो व्यक्तिगत उपकरणों के लिए अग्रणी डिजिटल जीवन सुरक्षा, कंपनियों के लिए विशेषज्ञ सुरक्षा उत्पाद और सेवाएँ, और जटिल और विकसित होते डिजिटल खतरों से लड़ने के लिए साइबर प्रतिरोधी समाधान शामिल हैं। हम मिलियनों व्यक्तियों और लगभग 200,000 कॉर्पोरेट ग्राहकों की मदद करते हैं, ताकि वे अपने लिए सबसे महत्वपूर्ण चीजों की सुरक्षा कर सकें। अधिक जानने के लिए www.kaspersky.com पर जाएँ।

यह लेख मूल रूप से Kaspersky Uncovers Google Tasks Phishing To Steal Credentials के रूप में Crypto Breaking News पर प्रकाशित किया गया था – आपका विश्वसनीय स्रोत क्रिप्टो समाचार, बिटकॉइन समाचार और ब्लॉकचेन अपडेट्स के लिए।