ઇન્ટરનેટ પર કોઇ પણ લિંક પર ક્લિક કરતા પહેલાં તમે બે વાર વિચારો છો ખરા? તમને ખાતરી હોય છે ખરી કે એ લિંક તમને ખરેખર સાચા વેબપેજ પર જ દોરી જશે?
જો તમે ઇન્ટરનેટના અનુભવી, સ્માર્ટ યૂઝર હશો તો પીસી પર એ લિંક પર માઉસનો એરો લઇ જઇને નીચેના સ્ટેટસ બારમાં એ લિંકનું આખું એડ્રેસ જરૂર તપાસી લેતા હશો. એ જ રીતે, સ્માર્ટફોનમાં જે તે લિંક થોડો લાંબો સમય પ્રેસ કરી રાખવાથી તેની આખું એડ્રેસ જોવા મળે એ પણ તમે જાણતા હશો.
જોકે, આટલું જાણવાથી તમે સલામત છો એવી ધરપત હવે રાખી શકાય તેમ નથી.
ફિશિંગની જૂની રીત : નીચેનામાંથી જીમેઇલનું સાચું એડ્રેસ કયું, એ ફટાફટ કહી શકો?
gmai.com
gmai1.com
gmaill.com
gmial.com
gmail.co
gmail.com
grnail.com
grnaill.com
જાણીતી, અસલ વેબસાઇટના નામને તદ્દન મળતું આવતું યુઆરએલ બનાવીને, સામાન્ય યૂઝરને ભરમાવી દેવાની ટ્રિક વર્ષોથી ચાલી રહી છે.
ફિશિંગની નવી રીત : નીચેનામાંથી કયું એડ્રેસ અસલ એપલની વેબસાઇટ પર લઈ જશે, કહી શકશો?
બંને એક જ છે એવું તમે માનતા હો, તો તમારી ભૂલ થાય છે! બંને એડ્રેસ ભલે એક સરખાં દેખાતાં હોય, બંને જુદી જુદી સાઈટ પર લઈ જાય છે! માન્યામાં ન આવતું હોય તો બંને પર માઉસ લઈ જાઓ કે સ્માર્ટફોનમાં બંને લિંકને વારાફરતી જરા પ્રેસ કરતાં, ખૂલતી વિન્ડોમાં એમનાં આખાં એડ્રેસ વાંચી જુઓ!
‘‘આવું તો બની જ કેમ શકે?’’ એવું વિચારતા હો તો વાંચો આગળ!
આપણી મહત્વની વિગતો, જેમ કે ફુસબુક કે જીમેઇલ જેવી વેબસર્વિસ કે નેટબેન્કિંગના યૂઝરનેમ-પાસવર્ડ જેવી વિગતો ચોરવા માટે હેકર્સ વર્ષોથી આવી ટ્રિક્સ અજમાવતા રહ્યા છે. તેઓ જે તે વેબસર્વિસ કે બેન્કમાંથી મોકલાયો હોય એ રીતે આપણને ઈ-મેઇલ મોકલે અને તેમાં જણાવાયું હોય કે આગળની કાર્યવાહી માટે આ લિંક પર ક્લિક કરી, તમારા એકાઉન્ટમાં લોગ-ઇન થવું જરૂરી છે. આ ટ્રિક હવે ખાસ્સી જૂની થઈ છે અને અનુભવી લોકો હવે તેમાં ફસાતા નથી, કારણ કે તેઓ ઈ-મેઇલમાંની લિંકનું આખું સાચું એડ્રેસ તપાસી શકે છે, જે કોઈ બનાવટી વેબપેજનું હોય છે.
પરંતુ કલ્પના કરો કે તમને કોઈ ઈ-મેઇલમાં apple.com લખેલી બે લિંક મળી. પીસીમાં ગૂગલ ક્રોમમાં, આ બંને લિંક પર માઉસ લઇ જતાં કે સ્માર્ટફોનમાં લિંક પ્રેસ કરી રાખતાં એ વેબપેજના પૂરા એડ્રેસ તરીકે પણ https://www.apple.com લખેલું જોવા મળે છે. તો સ્વાભાવિક છે કે આપણે એવું માનીએ કે આ બંને લિંક આપણને એપલ કંપનીની અસલી વેબસાઇટ પર લઈ જશે. પરંતુ વાસ્તવમાં એવું બનતું નથી.
બેમાંથી એક લિંક પર ક્લિક કરતાં એડ્રેસ બારમાં https://www.apple.com જોવા મળે છે અને એપલની અસલી વેબસાઇટ જોવા મળે છે જ્યારે બીજી વેબસાઇટ પર એડ્રેસ બારમાં હજી પણ https://www.apple.com જોવા મળે છે તેમ છતાં એ પેજ એપલની અસલી વેબસાઇટનું નથી.
ઝાટકો લાગ્યો? આવું બની જ ન શકે એવું માનો છો? પણ આ હકીકત છે. જુઓ નીચેની તસવીરો!
એક જ જેવું લાગતું યુઆરએલ ક્લિક કર્યા પછી, ગૂગલ ક્રોમ અને માઇક્રોસોફ્ટ એજના એડ્રેસ બારમાં જુદું જુદું દેખાય છે. એ જ રીતે ફેસબુક જેવી સાઇટ પર પણ, બ્રાઉઝર બદલાય તેમ યુઆરએલ જુદું જુદું દેખાય છે!
આવું કેવી રીતે શક્ય છે અને તેનાથી બચવું કઈ રીતે?
આવું કેવી રીતે શક્ય છે એ પછી જાણીએ, પહેલાં તો એ જાણીએ કે આવું બનવાથી આપણે કેવી મુશ્કેલીમાં મુકાઈ શકીએ છીએ. માની લો કે તમે એપલ, ગૂગલ, ફેસબુક કે સેમસંગ જેવી પ્રતિષ્ઠિત કંપનીની પ્રોડક્ટ કે સર્વિસનો લાભ લઈ રહ્યા છો. આ કંપની તરફથી આવ્યો હોય એ રીતે તમને કોઇ ઈ-મેઇલ મળે કે જેમાં કોઈ નક્કર કારણ બતાવીને તમને એ કંપનીની સાઇટ પર લોગ-ઇન થવા માટે લિંક આપવામાં આવી છે.
એક સ્માર્ટ યૂઝર તરીકે તમે પહેલાં તો ચેતી જશો અને ઉપર જણાવ્યા મુજબ ઈ-મેઇલમાંની લિંક પર માઉસ લઇ જઇને અથવા સ્માર્ટફોનમાં લિંક પર જરા લાંબો સમય પ્રેસ કરીને ખાતરી કરશો કે એ લિંક કોઈ ભળતા, બનાવટી વેબપેજ પર તો લઇ જતી નથી ને?
જો એ લિંકના આખા એડ્રેસ તરીકે બનાવટી વેબપેજનું એડ્રેસ જોવા ન મળે અને ખરેખર ફક્ત gmail.com કે facebook.com કે apple.com જેવું એડ્રેસ જોવા મળે તો તમે ખચકાયા વગર તેના પર ક્લિક કરશો. તમારી બેન્કની વેબસાઇટનું એડ્રેસ આ રીતે જોવા મળે તો પણ પૂરતી ખાતરી કરીને તમે લિંક પર ક્લિક કરશો.
હવે વેબડેવલપમેન્ટ કે વેબડિઝાઇનિંગ ટેકનોલોજી એટલી આગળ વધી ગઈ છે કે કોઈ પણ જાણીતી કંપની કે બેન્કની વેબસાઇટની આબેહૂબ નકલ કરવી રમત વાત છે. આગળ કહ્યું તેમ આપણી બેન્ક કે જાણીતી કંપનીનું જ એડ્રેસ દેખાતું હોવા છતાં આપણે બનાવટી વેબપેજ પર પહોંચી જઈએ અને આપણને તેનો અણસાર સુધ્ધાં ન આવે તેવું બની શકે છે.
આપણે નિશ્ચિંત રહીને બેન્ક કે ફેસબુક કે જીમેઇલમાં લોગઇન થવા માટે આપણી વિગતો આપીએ અને એ બધું જ પહોંચે સીધું હેકરના હાથમાં. પછી તો ઘડીના છઠ્ઠા ભાગમાં આપણા બેન્ક ખાતામાંથી રકમ ઉપડી શકે કે ફેસબુક અને ગૂગલના પાસવર્ડ બદલાઇ જાય અને આપણે તેની એક્સેસ હંમેશ માટે ગુમાવી દઈએ તેવું પણ બની શકે છે.
હવે ખ્યાલ આવ્યો કે આ બાબત કેટલી ગંભીર છે?
બે અલગ અલગ સાઇટ માટે એક જ એડ્રેસ કેવી રીતે શક્ય બને?
આ ખરેખર ટેકનોલોજીની ખામી છે, અથવા કહો કે દીવા નીચેનું અંધારું! આપણને બંને એડ્રેસ બિલકુલ એક લાગતા હોવા છતાં ટેકનિકલી તે એક નથી હોતા.
આવું કેમ બને છે એ સમજવા માટે આપણે કમ્પ્યુટર કઈ ભાષા સમજે છે તેમાં અને ‘યુનિકોડ’માં થોડા ઊંડા ઉતરવું પડે.
આપણે જાણીએ છીએ કે કમ્પ્યુટર માત્ર ૦ અને ૧ની ભાષા સમજે છે. તેને જે કંઈ ઇનપુટ આપવામાં આવે તે આખરે ૦ અને ૧ ની જ રમત હોય છે. અંગ્રેજી મૂળાક્ષરોથી લખાયેલું લખાણ કમ્પ્યુટર સમજી શકીએ તેવી ભાષામાં પલટવા માટે દરેક ભાષાના દરેક કેરેકટરને એક નિશ્ચિત ન્યુમેરિક કોડ આપીને તેનું ‘એનકોડિંગ’ કરવામાં આવે છે.
આખા વિશ્વમાં અંગ્રેજી ઉપરાંત અનેક ભાષાઓ છે અને દરેક ભાષામાં અનેક કેરેકટર્સ છે. ‘યુનિકોડ’ના આગમન પહેલાં સ્થાનિક ભાષાઓમાં કમ્પ્યુટિંગ માટે અંગ્રેજીની જેમ જુદી જુદી ભાષાના દરેક કેરેકટર માટે જુદા જુદા પ્રકારના એનકોડિંગ વિકસ્યા. તકલીફ એ થઈ કે એક જ ભાષાના અલગ અલગ કેરેકટર્સ માટે અલગ અલગ કંપની કે સંસ્થાએ એનકોડિંગ વિકસાવ્યા હોય એવું બનવા લાગ્યું. પરિણામે જબરો ગૂંચવાડો થવા લાગ્યો (એટલે જ અંગ્રેજીમાં એક જ લખાણના ફોન્ટ સહેલાઈથી બદલી શકાય છે, જ્યારે ગુજરાતીમાં ભાષાભારતી નામના પ્રોગ્રામથી ટાઈપ થયેલા લખાણના ફોન્ટ બદલીને, શ્રીલિપિ નામના પ્રોગ્રામના ફોન્ટ લાગુ કરવામાં આવે તો આખું લખાણ વાંચી શકાય એવું રહેતું નથી).
આ સમસ્યાના ઉપાય તરીકે ‘યુનિકોડ’ની વ્યવસ્થા વિકસાવવામાં આવી, જેમાં વિશ્વની જુદી જુદી ભાષાના દરેક કેરેકટર માટે બિલકુલ યુનિક એવા આગવા એનકોડિંગની વ્યવસ્થા વિકસાવવામાં આવી. જગતભરની લગભગ તમામ મોટી ટેકનોલોજી કંપની યુનિકોડની પહેલમાં જોડાઈ છે, જેને પરિણામે આજે ઇન્ટરનેટ પર અંગ્રેજી ઉપરાંત વિશ્વની અસંખ્ય ભાષાઓનું કન્ટેન્ટ વિપુલ પ્રમાણમાં જોવા મળે છે તથા ફોન્ટના લગભગ કોઈ પ્રશ્ન વિના આપણે પોતાના પીસી કે સ્માર્ટફોન પર સ્થાનિક ભાષાઓનું કન્ટેન્ટ જોઈ-વાંચી શકીએ છીએ.
ઇન્ટરનેટની શરૂઆતનાં ઘણાં વર્ષો સુધી વેબસાઇટનાં એડ્રેસ તરીકે માત્ર અંગ્રેજી મૂળાક્ષરો એટલે કે એ થી ઝેડ, નંબર્સ અને અન્ય કેટલાંક સ્પેશિયલ કેરેકટર્સનો ઉપયોગ થતો આવ્યો છે. પરંતુ છેલ્લાં થોડાં વર્ષથી આ સ્થિતિ બદલાઈ અને વિશ્વની અન્ય ભાષાઓમાં પણ ડોમેઇન નેમ રજિસ્ટર્ડ થઈ શકે તેવી સગવડ મળી.
પરંતુ અહીંથી તકલીફની શરૂઆત થઈ. એક રીતે જોઈએ તો આ સગવડ હતી પણ બીજી તરફ મોટી સમસ્યાના મૂળિયાં નંખાયા. ઇન્ટરનેશનલાઇઝ્ડ ડોમેઇન નેમ (આઇડીએન) તરીકે ઓળખાતી આ વ્યવસ્થામાં કોઈ પણ એક ભાષાના કેરેકટર્સનો ઉપયોગ કરીને અથવા વિવિધ ભાષાનાં કેરેકટર્સની ભેળસેળ કરીને પણ ડોમેઇન નેમ નોંધાવી શકાય છે.
લેટિન અને અન્ય ભાષાનાં કેરેક્ટર્સની ભેળસેળ કરીને એક સરખાં લાગતાં ડોમેઇન બતાવી શકાય છે.
ખાટલે મોટી ખોડ એ છે કે વિશ્વની સંખ્યાબંધ ભાષાના અનેક કેરેકટર્સ જોવામાં એકમેકને બિલકુલ મળતાં આવે છે. પરિણામે માત્ર લેટિન કેરેકટર્સનો ઉપયોગ કરીને મૂળ એપલ કંપનીએ apple.com ડોમેઇન રજિસ્ટર્ડ કરાવ્યું હોય, ત્યાર પછી રશિયા કે ચીનમાંની કોઈ કંપની અન્ય ભાષામાં અદ્દલ “a’ જેવા દેખાતા કેરેકટર તથા બાકીના લેટિન કેરેકટરનો ઉપયોગ કરીને નવું apple.com ડોમેઇન નેમ રજિસ્ટર્ડ કરાવી શકે છે!
હવે બીજી એક વાત. વેબસાઇટના એડ્રેસમાં અંગ્રેજી સિવાયની ભાષા આવી પરંતુ તેના પર ક્લિક કર્યા પછી સર્વર પરથી એ વેબસાઇટની ફાઇલ્સ ખેંચીને આપણને બતાવવા માટે જે ડીએનએસ કે અન્ય વિગતોનો ઉપયોગ થાય છે તે સિસ્ટમ હજી પણ લેટિન કેરેકટર્સ પર આધારિત છે. આથી અન્ય ભાષાના ડોમેઇન નેમને પ્યુનિકોડ નામની એક વ્યવસ્થાથી સર્વરને સમજાય તેવા કેરેકટર્સમાં ફેરવી નાખવામાં આવે છે. ક્રોમ અને ફાયરફોક્સ જેવાં બ્રાઉઝર આ કેરેક્ટર્સે જે તે ભાષાને બદલે લેટિમાં દર્શાવે છે એટલે ગોટાળો થાય છે. આગળ જે ઉદાહરણ જોયું તે વાસ્તવમાં xn--80ak6aa92e.com તરીકે રજિસ્ટર થયેલું છે અને પ્યુનિકોડની કરામત કે ખામીને કારણે બ્રાઉઝરમાં apple.com તરીકે દેખાય છે!
આવાં ડોમેઇન નેમ કાયદેસર રીતે નોંધાયેલાં હોવાથી તે ‘સિક્યોર’ હોવાનું સર્ટિફિકેટ પણ મેળવી શકે છે (જેને કારણે આપણને એડ્રેસ બારમાં તેના યુઆરએલ પહેલાં, મૂળ કંપનીના યુઆરએલની જેમ લીલા તાળાની નિશાની, ‘સિક્યોર’ શબ્દ અને https લખેલું જોવા મળે છે.
ખાસ નોંધવા જેવી વાત એ છે કે ફક્ત ગૂગલ ક્રોમ, ફાયરફોક્સ અને ઓપેરા બ્રાઉઝર્સમાં જ આ તકલીફ છે. એપલનું સફારી કે માઇક્રોસોફ્ટનું એજ બ્રાઉઝર આવા ડોમેઇન નેમને તેના મૂળ સ્વરૂપે એટલે કે xn--80ak6aa92e.com તરીકે જ દર્શાવે છે.
અહીં એપલના એડ્રેસનું જે ઉદાહરણ આપ્યું છે, તે એક વેબડેવલપરે આ ખામી દર્શાવવા માટે જ તૈયાર કરેલું છે. આ ખામી ગૂગલ ક્રોમના ધ્યાન પર લાવવામાં આવી છે અને ક્રોમે આ ખામી શોધનારને 2,000 ડોલરનું ઇનામ પણ આપ્યું છે.
ક્રોમના આગામી વર્ઝનમાં આ ખામી સુધારી લેવાશે તેવું કંપનીએ આશ્વાસન આપ્યું છે. ક્રોમમાં તમે આવા યુઆરએલને કોપી કરીને ફરી ત્યાં જ પેસ્ટ કરશો તો તે મૂળ સ્વરૂપે જોવા મળશે! મોઝિલા ફાયરફોક્સમાં આના ઉપાયની હજી કોઈ સ્પષ્ટતા નથી. હા, કામચલાઉ ઉપાય તરીકે, તમે ફાયરફોક્સના એડ્રેસબારમાં about:config ટાઇપ કરો. તેમાં punycode સર્ચ કરો. તેમાં network.IDN_show_punycode વેલ્યુને Falseમાંથી True કરી દો. હવે ફાયરફોક્સ જે તે આઇડીએે xn--80ak6aa92e.com જેવા મૂળ સ્વરૂમાં જ બતાવશે.
આમાંથી બચવા આપણે શું કરવું?
આ આખી વાતનો સાર એટલો જ છે કે અગાઉ જેમ આપણે ઇમેલમાં કે અન્ય કોઇ જગ્યાએ આપેલી લિંક પર સીધું ક્લિક કરી દેવાને બદલે પીસીમાં માઉસ લિંક ઉપર લઈ જઈને કે સ્માર્ટફોનમાં લિંકને જરા લાંબો સમય પ્રેસ કરીને એ લિંકનું આખું ડ્રેસ તપાસતાં હતા એટલી ચોકસાઈ આપણને હવે બચાવી શકે તેમ નથી.
આપણે જ્યારે પણ કોઇ પણ મહત્વની વેબસાઇટ ખાસ કરીને બેંક અને જેમાં આપણે કોઇ પણ પ્રકારનું એકાઉન્ટ ખોલાવ્યું હોય તેવી વેબસાઇટ પર જવું હોય ત્યારે બિલકુલ એના જ નામની લાગતી હોય તેવી લિંક પર પણ ભરોસો રાખવા જેવો નથી. હંમેશાં એડ્રેસ બારમાં જે તે બેંક કે વેબસર્વિસનું એડ્રેસ જાતે જ ટાઇપ કરીને તેના પર પહોંચવાનો સાદો ઉપાય આપણને ઘણી તકલીફોમાંથી બચાવી શકે છે. એ ઉપરાંત ટુ સ્ટેપ ઓથેન્ટિકેશન અને પાસવર્ડ મેનેજર જેવી સુવિધાઓનો ઉપયોગ પણ આપણને ઇન્ટરનેટના વધુ ને વધુ અસલામત બનાવતા વાતાવરણમાં સલામત રાખી શકે છે.
ઇન્ટરનેટ પર તમે જેટલું વધુ જાણશો, એટલા વધુ સલામત રહી શકશો!