Kurt भी फिशिंग का शिकार हुए

 (fly.io)
1 पॉइंट द्वारा GN⁺ 2025-10-10 | 1 टिप्पणियां | WhatsApp पर शेयर करें
  • Fly.io का Twitter अकाउंट phishing attack का शिकार होकर hijack हो गया
  • CEO Kurt Mackey ने बताया कि एक बेहद परिष्कृत phishing email के ज़रिए अकाउंट जानकारी कैसे लीक हुई
  • Twitter अकाउंट को कंपनी के भीतर कम-प्राथमिकता वाली asset माना जाता था, इसलिए वह security priority से बाहर था
  • phishing को रोकने के लिए phishing-resistant authentication (MFA, Passkeys, FIDO2 आदि) के महत्व पर ज़ोर दिया गया
  • इस घटना के बाद Twitter अकाउंट MFA security को मज़बूत करने और security awareness को फिर से परिभाषित करने की ज़रूरत बताई गई

Fly.io Twitter phishing घटना का सार

  • Fly.io का Twitter अकाउंट phishing attack के बाद hijack हो गया
  • CEO Kurt Mackey को एक बारीकी से तैयार किया गया phishing email मिला, और अकाउंट जानकारी दर्ज करने के बाद वे हमले के संपर्क में आ गए
  • phishing attack के सफल होने की मूल वजह यह थी कि उस Twitter अकाउंट की वस्तुनिष्ठ अहमियत कम समझी गई, साथ ही management team की वह मनोवैज्ञानिक कमजोरी भी थी कि वे युवा internet culture से पर्याप्त रूप से परिचित नहीं थे

phishing attack का विस्तृत क्रम

  • Fly.io लंबे समय से Twitter channel management का कुछ हिस्सा बाहरी contractors को सौंपता रहा था, और creative meme जैसे नई पीढ़ी के content से पर्याप्त रूप से परिचित नहीं था
  • इस हमले में इस्तेमाल किया गया phishing email ऐसा डिज़ाइन किया गया था कि वह x.com (Twitter) की वास्तविक warning notification जैसा लगे, और उसने management की anxiety को उकसाने वाले psychological trigger को निशाना बनाया
  • Kurt ने 1Password से अकाउंट जानकारी निकाली और attacker द्वारा तैयार phishing site पर login कर लिया
  • हमले के तुरंत बाद यह पता चल गया कि Twitter अकाउंट का email address attacker के नियंत्रण में बदल दिया गया था, और अंदरूनी स्तर पर सभी access permissions की जाँच और blocking की प्रक्रिया चलाई गई

phishing defense strategy और संगठन की security स्थिति

  • आम तौर पर phishing defense केवल “employee training” से पूरी नहीं हो सकती, और यह मानना ज़रूरी है कि कोई भी गलती से क्लिक कर सकता है
  • phishing-resistant authentication (U2F, FIDO2, Passkeys आदि) के ज़रिए mutual authentication structure लागू करना ही मूल समाधान है
  • Fly.io का आंतरिक infrastructure Google IdP के ज़रिए SSO और सुरक्षित MFA से सुरक्षित है, इसलिए अपेक्षाकृत कमजोरी केवल Twitter और legacy क्षेत्रों में मौजूद थी
  • इस घटना के बाद यह समझ बनी कि shared SNS accounts जैसे non-core क्षेत्रों पर भी उसी स्तर की authentication security लागू होनी चाहिए

incident response और recovery process

  • attacker ने तुरंत सभी sessions invalidate कर दिए और 2FA reset की कोशिश की, इसलिए Fly.io ने तेज़ी से password बदल दिया, फिर भी अकाउंट recovery में समय लगा
  • X.com की manual support की मदद से लगभग 15 घंटे में अकाउंट का पूरा नियंत्रण वापस पा लिया गया
  • कुल मिलाकर user या customer data leak नहीं हुआ, लेकिन अल्पकालिक brand image damage और engineers पर response workload ज़रूर बढ़ा
  • attacker ने Fly.io की कुछ Twitter history delete कर दी, लेकिन वास्तविक नुकसान बड़ा नहीं था

निष्कर्ष और सीख

  • इस घटना की सबसे बड़ी सीख यह है कि “CEO भी email पर आसानी से भरोसा कर सकते हैं, और phishing का शिकार कोई भी हो सकता है
  • आगे से सभी महत्वपूर्ण accounts पर Passkeys-आधारित MFA को अनिवार्य रूप से लागू किया जाएगा, और SOC2 जैसे security compliance मामलों में इस घटना का उपयोग किया जाएगा
  • संगठन के security decision-making में यदि कोई asset “phishing-resistant authentication और SSO IdP” के बिना है, तो उसे अनिवार्य रूप से risk factor माना जाना चाहिए
  • उम्मीद है कि यह घटना समान संगठनों के लिए चेतावनी का उदाहरण बनेगी

संबंधित पढ़ाई

1 टिप्पणियां

 
GN⁺ 2025-10-10
Hacker News की राय

  • पिछली कंपनी में जब भी हर साल pentest security audit होता था, audit कंपनी हमेशा phishing या social engineering attack भी आज़माने का सुझाव देती थी, लेकिन कहती थी कि यह लगभग हमेशा सफल हो जाता है इसलिए इसकी सिफारिश नहीं करती थी
    एक बात जो याद रह गई, वह यह थी कि अगर pentest करने वाली कंपनी पार्किंग में जानबूझकर कुछ USB छोड़ दे, तो कोई न कोई उसे उठाकर ऑफिस PC में ज़रूर लगाकर देखता, और आखिरकार hack हो जाता था
    phishing भी असल में बहुत अलग नहीं है
    Passkeys सेट करने का अच्छा समय है, Passkeys guide देखें

    • हमारी कंपनी भी internal team के खिलाफ नियमित रूप से phishing training करती है, और link पर click न करने वालों का अनुपात 90% तक पहुंचता है (सटीक संख्या पक्की नहीं है)
      फिर भी यह सोचकर फिर से हैरानी होती है कि 10% मतलब 1500 लोग हैं
      हाल में phishing mail के sender domain को internal domain में बदल दिया गया था, इसलिए जो आम तौर पर external mail होने का banner दिखता था वह नहीं दिखा, और मैं भी फंस गया

    • किसी ने उठाकर लाए USB को लगाया और hack हो गया, यह सुनकर मुझे एक quote याद आता है जो मुझे पसंद है
      यह 2012 में Iran के nuclear plant पर हुए attack (Stuxnet) में शामिल एक anonymous व्यक्ति का कथन था
      उसने कहा था, "हमेशा कोई न कोई ऐसा बेवकूफ होता है जो हाथ में पकड़े USB के बारे में ज़्यादा नहीं सोचता"

    • पिछले साल कंपनी mail पर मुझे एक phishing mail मिला था जो काफ़ी भरोसेमंद लग रहा था
      मुझे पता था कि वह phishing है, लेकिन अगर मैं बहुत ज़्यादा व्यस्त होता तो शायद फंस भी सकता था
      ऐसे sophisticated phishing site देखकर मुझे उन्हें जानबूझकर sandbox environment में खोलना और form में सिर्फ dummy जानकारी भरकर attacker का समय बर्बाद करना पसंद है
      लेकिन बाद में पता चला कि वह हमारी कंपनी द्वारा hired pentest कंपनी ने भेजा था, और URL में मेरे account से जुड़ा code था, इसलिए मैंने कोई जानकारी दर्ज न करने के बावजूद इसे phishing success के रूप में report कर दिया गया
      अगर phishing success को ऐसे मापा जाए, तो pentest का बहुत अर्थ नहीं लगता

    • अगर USB drive वगैरह से कोई लापरवाही में executable चला दे और hack हो जाए, तो passkeys भी बेकार होंगी
      social engineering से कोई random executable install करवा दिया जाए तो भी वही बात है

    • कहा जाता है कि Stuxnet भी इसी तरह USB drive से फैलाया गया था, लेकिन सच कहूं तो समझ नहीं आता कि आज की दुनिया में यह तरीका अब भी कितना काम करता है

  • एक बार मैं लगभग phishing का शिकार हो ही गया था
    domain name में हल्का-सा बदलाव था, जो मेरी नज़र से छूट गया, लेकिन hardware wallet इस्तेमाल करने की वजह से बच गया
    तब समझ आया कि कोई भी व्यक्ति, अगर वह व्यस्त हो, थका हो, या एक पल के लिए ध्यान चूक जाए, phishing का शिकार हो सकता है
    Thomas की तरह मेरा भी मानना है कि हर service में passkeys इस्तेमाल करना ज़रूरी है

    • अगर आप Apple ecosystem से परिचित हैं, तो iOS app में PassKey implement करने के तरीके पर खुद लिखा गया tutorial मौजूद है

    • उल्टा तर्क यह है कि passkeys अभी भी उलझाऊ हैं और इनमें कई सीमाएं हैं, इसलिए एक अच्छे password manager और मजबूत password की तुलना में इनमें कोई खास फ़ायदा नहीं है

    • "कोई भी phishing से 100% सुरक्षित नहीं है" इस बात से मैं पूरी तरह सहमत हूँ
      कुछ साल पहले हमने security lead को भी test के दौरान phishing में फंसा दिया था
      तब सच में महसूस हुआ कि जोखिम सबके लिए है

  • Fly.io fraud phishing वाले topic में, अगर attack ने सच में बड़ा नुकसान किया होता, तो शायद लोग इसे इतनी हल्के में नहीं लेते
    फिर भी अगर किसी ने सच में उस link के जरिए crypto खोया हो, तो क्या Fly.io की ज़िम्मेदारी का सवाल उठ सकता है, यह चिंता बनी रहती है

  • research में दिखाया गया है कि phishing training बहुत असरदार नहीं होती
    "Understanding the Efficacy of Phishing Training in Practice" देखें

    • "जहाँ password नहीं डालना चाहिए वहाँ मत डालिए, और जहाँ डालना चाहिए वहीं डालिए" जैसी सलाह आखिरकार गोलमोल ही है
      यह कुछ वैसा ही है जैसे 2FA SMS में लिखा होता है, "यह code किसी को मत बताइए!" जबकि login के समय वही code उसी website में खुद डालकर भेजना पड़ता है
      ऐसे warning message हमेशा बहुत झुंझलाहट पैदा करते हैं

    • मैं एक heavily regulated industry में काम करता हूँ, और कुछ साल पहले एक employee के phishing का शिकार होने के बाद regulator ने 5 साल के phishing test और training records मांगे थे
      हमारे जैसे लोगों के लिए यह training भी एक तरह की ज़रूरी बुराई है

    • मूल article में इसी same paper का link भी दिया गया है

    • "हमारे Zoomer बच्चे कहते हैं कि हम जैसे बड़े लोग इतने पुराने ढर्रे के हैं कि इस तरह की चीज़ों पर भरोसा नहीं किया जा सकता" — इस बात से सहमति महसूस होती है
      फिर भी इसे humor के साथ लेना अच्छा लगता है

  • "X पर पोस्ट की गई content ने violation किया है" वाले phishing email इतने आम हैं कि मुझे लगभग हर हफ्ते 10 से ज़्यादा मिलते हैं
    इसलिए मुझे mail filter कई बार बदलने पड़े (सिर्फ X अक्षर पकड़ लेना आसान नहीं है, और scammers भी wording बदलते रहते हैं)
    मैंने आखिरकार अपनी पुरानी email security service बदल दी, और कई vendors आज़माने के बाद सिर्फ Check Point ही सभी X phishing mail को block कर पाया (यह advertisement नहीं है, सिर्फ जानकारी के लिए)
    security companies के नज़रिए से देखें तो phishing के संकेत अक्सर इतने साफ़ होते हैं कि उन्हें न पकड़ पाना शर्मनाक लगता है

  • कुछ महीने पहले मैं भी बिल्कुल इसी तरह के phishing attack का शिकार हुआ था
    UI engineering का स्तर वाकई कमाल का था
    phishing screen का screenshot साझा किया

    • ख़बर है कि Chromium browser में local AI features जोड़ने पर काम कर रहा है, और लगता है कि कभी न कभी ऐसी चीज़ें security check में भी काम आ सकती हैं
      उदाहरण के लिए, बाहर की किसी site पर new tab में खुलने वाले link के लिए AI यह पहचानकर warning दे सकता है कि 'यह page किसी प्रसिद्ध site जैसा दिख रहा है लेकिन URL अलग है'
      सिर्फ top 1000 लोकप्रिय sites पर भी यह लागू हो जाए तो phishing incidents काफ़ी कम हो सकते हैं

    • "imagecontent-x.com" जैसे URL को तो कोई भी सावधानी का संकेत मानेगा

    • सोच रहा हूँ कि उस मामले में browser ने login info अपने-आप fill क्यों नहीं की
      क्या ऐसा legit traffic में भी अक्सर होता है, और क्या address bar के बगल में lock icon सही तरह से दिखता है

  • यह देखकर हैरानी होती है कि attacker ने fake landing page और phishing mail को कितना विश्वसनीय बना दिया
    मैं आम तौर पर crypto दुनिया से ज़्यादा परिचित नहीं हूँ, इसलिए समझ नहीं आता कि attackers ने यह क्यों कहा कि 'सफलता की संभावना कम है और नुकसान भी नहीं है'
    जानना चाहूँगा कि fake landing page में इस्तेमाल हुए wallet को track करके यह पुष्टि की जा सकती है या नहीं कि वास्तव में कोई नुकसान नहीं हुआ

  • इसने फिर से याद दिलाया कि सही तरह से काम करने वाला password manager कितना महत्वपूर्ण है
    अगर आप website operator हैं, तो यह सुनिश्चित करना चाहिए कि password manager टूटे नहीं
    अगर किसी site पर password autofill काम नहीं करता, तो वह तुरंत बहुत बड़ा warning sign बन जाता है
    code-based 2FA phishing रोकने में बिल्कुल बेकार है
    अगर मैं login करता हूँ, तो attacker भी 2FA code ले सकता है, इसलिए तरीका कोई भी हो, फ़ायदा नहीं

    • haveibeenpwned.com बनाने वाले व्यक्ति के साथ भी phishing हो चुका है (password manager इस्तेमाल करने के बावजूद)

    • जानना चाहूँगा कि तकनीकी रूप से सक्षम लोग जो password manager इस्तेमाल करते हैं, उनके phishing का शिकार होने के मामलों को आप कैसे देखते हैं

    • autofill feature बंद कर देनी चाहिए
      नए attacks में tapjacking जैसी तकनीकें भी होती हैं, इसलिए यह ख़तरनाक है

  • मैं सोच रहा था कि यह post ऊपर क्यों आई, लेकिन आखिर में author का नाम (Kurt) देखकर समझ गया
    सबक यह है कि "अगर Kurt फंस सकता है, तो कोई भी फंस सकता है"
    इस बार नुकसान बहुत छोटा था, लेकिन हर किसी के पास blind spot होते हैं, और ऐसे vulnerability अक्सर किसी अनदेखे कोने में छिपी रहती हैं
    अगर attacker सिर्फ साधारण scammer नहीं बल्कि सच में malicious होता, तो शायद वह कंपनी के official account से शुरू करके आगे social engineering भी कर सकता था

    • शायद बात Kurt नाम के व्यक्ति की ही हो रही है

  • लेख खुद भी शानदार है, लेकिन phishing technique वाकई बहुत sophisticated लगी

    • सुना है कि यह phishing scam हाल में काफ़ी चलन में रहा है, और सिर्फ हम ही इसका शिकार नहीं हुए
      लेकिन यह सब होने से पहले मुझे पता नहीं था

    • self-deprecating humor अच्छा लगा
      मैं खुद भी पहले एक-दो बार लगभग फंस ही चुका हूँ
      आम तौर पर एक बार click करने के तुरंत बाद ही 'ओह' महसूस होता है, और फिर मैंने तुरंत account lock करके नुकसान रोका है
      किस्सा देखने के लिए image