डोमेन वेरिफ़िकेशन क्यों जरूरी है?

फिशिंग का सबसे बड़ा हथियार तकनीक नहीं, जल्दबाज़ी है—“अभी क्लिक करो”, “अकाउंट लॉक हो जाएगा”, “रिफंड अटक गया” जैसी भाषा। ऐसे में यूज़र URL का “बस एक हिस्सा” देखकर भरोसा कर लेते हैं: जैसे “secure”, “login”, “bank” या किसी ब्रांड का नाम। लेकिन इंटरनेट पर असली पहचान ब्रांड नाम से नहीं, डोमेन से होती है।

अगर आप डोमेन पहचानना सीख जाएँ, तो आप 10 में से 8 फिशिंग प्रयास वहीं रोक सकते हैं—क्लिक किए बिना।

पहला नियम: “असली डोमेन” कहाँ होता है?

URL को एक लाइन की तरह न पढ़ें। उसे हिस्सों में तोड़ें। एक स्टैंडर्ड URL ऐसा दिखता है: https://sub.example.com/path?query=1

• Protocol: https://
• Subdomain: sub
• Domain: example.com
• Path: /path
• Query: ?query=1

सबसे अहम हिस्सा होता है example.com। यही “रूट” पहचान है। फिशिंग में ट्रिक यह होती है कि अटैकर URL के दूसरे हिस्सों में असली ब्रांड जैसा टेक्स्ट डाल देता है, ताकि आपकी नज़र डोमेन पर नहीं, बाकी टेक्स्ट पर जाए।

सबसे कॉमन ट्रैप: सबडोमेन का खेल

लोग सोचते हैं कि URL में अगर “brand.com” कहीं भी दिख रहा है तो साइट असली होगी। लेकिन फिशिंग में “brand.com” को सबडोमेन या पाथ में फेंक देना बहुत आसान है।

ट्रैप 1: brand नाम सबडोमेन में

उदाहरण: https://brand.com.login-secure.example.net
यहाँ असली डोमेन है example.net — “brand.com” सिर्फ एक सबडोमेन टेक्स्ट है। ब्राउज़र असली साइट की तरह दिखा सकता है, लेकिन मालिक example.net वाला है।

ट्रैप 2: brand नाम पाथ में

उदाहरण: https://example.net/brand.com/login
यहाँ भी असली डोमेन example.net ही है। “/brand.com/” सिर्फ एक फ़ोल्डर जैसा है।

ट्रैप 3: डॉट्स और लंबे URL का भ्रम

बहुत सारे डॉट्स वाला URL आपकी आंखों को थका देता है। नियम याद रखें: डोमेन आम तौर पर आख़िरी के दो हिस्से होते हैं (जैसे example + .com), लेकिन कुछ मामलों में यह “तीन हिस्से” भी हो सकता है (जैसे .co.in, .com.au)। इसलिए इंडियन संदर्भ में .co.in, .in जैसे endings पर खास ध्यान दें।

दूसरा नियम: URL में “@” और “//” जैसी चीज़ें दिखें तो सतर्क हो जाएँ

कुछ अटैकर्स URL में @ का उपयोग करके आपको भ्रमित करते हैं। कई सिस्टम में @ के पहले वाले हिस्से को “यूज़र-info” जैसा माना जा सकता है।

उदाहरण: https://secure-brand.com@evil.example/login
कई लोग “secure-brand.com” देखकर भरोसा कर लेते हैं, लेकिन असली डोमेन है evil.example।

इसी तरह, URL में अनपेक्षित double slashes या अजीब separators दिखें, तो उसे “सामान्य” लिंक न समझें।

तीसरा नियम: शॉर्ट लिंक (bit.ly आदि) को हमेशा “Expand” करें

शॉर्ट लिंक convenience के लिए बने हैं, लेकिन फिशिंग के लिए भी perfect हैं, क्योंकि वे असली डोमेन छुपा देते हैं। यदि आपको शॉर्ट लिंक मिले:

• सीधे क्लिक न करें, पहले preview/expand देखें (कुछ सेवाएं “preview” देती हैं)।
• अगर संदेश urgent है, तो ब्रांड की official वेबसाइट/ऐप से ही जाएँ, लिंक से नहीं।
• ब्राउज़र में खोलने पर पहला redirect कहाँ ले जा रहा है, उस पर नज़र रखें।

इंडियन यूज़र्स के लिए एक practical आदत: बैंक/UPI/टेलीकॉम जैसी चीज़ों में मैसेज का लिंक नहीं, हमेशा अपनी ऐप या official वेबसाइट से ही लॉगिन/पेमेंट करें।

चौथा नियम: Punycode/Lookalike Domains (नकली अक्षर)

यह थोड़ा advanced है लेकिन बेहद जरूरी। कुछ डोमेन्स ऐसे अक्षर इस्तेमाल कर सकते हैं जो दिखने में English जैसे लगते हैं, पर असल में दूसरे language के characters होते हैं। इसे homograph attack भी कहा जाता है।

उदाहरण के तौर पर “a” जैसा दिखने वाला अक्षर किसी और script से आ सकता है। कई बार ब्राउज़र इसे xn-- वाले punycode में दिखाता है। अगर URL में xn-- दिखे, या अक्षर अजीब लगें, तो extra सावधानी रखें।

एक सरल व्यवहार: अगर यह आपका रोज़ का भरोसेमंद ब्रांड है, तो आप उसके डोमेन को “पहचानते” हैं। और यदि पहचान नहीं रहे, तो लिंक से लॉगिन न करें—official domain manually type करें या bookmark इस्तेमाल करें।

पाँचवाँ नियम: HTTPS “जरूरी” है, लेकिन “पर्याप्त” नहीं

बहुत लोग सोचते हैं कि “ताला (🔒) है तो साइट safe है”। HTTPS का मतलब सिर्फ इतना है कि आपके और साइट के बीच connection encrypted है। लेकिन फिशिंग साइट भी HTTPS लगा सकती है।

फिर भी HTTPS आपको दो चीज़ें देता है:

• डेटा ट्रांसमिशन encryption
• सर्टिफिकेट के जरिए डोमेन का basic validation

इसलिए HTTPS को “minimum requirement” मानें, पर decision डोमेन देखकर लें।

क्लिक करने से पहले 10-सेकंड चेकलिस्ट (बहुत काम की)

• Hover/Long-press: लिंक पर mouse hover (desktop) या long-press (mobile) करके URL देखें।
• Root domain: असली डोमेन क्या है? ब्रांड नाम सिर्फ text तो नहीं?
• Spelling: extra hyphen, double letters, weird spelling (g00gle, paypaI जैसी)?
• TLD: .com की जगह .net/.xyz/.top जैसा कुछ तो नहीं?
• Short link: अगर short है, expand/preview जरूर करें।
• Context: क्या यह मेल/मैसेज expected था? “Urgent” दबाव तो नहीं?
• Action: क्या यह आपसे password/OTP/UPI PIN मांग रहा है? तो रुकें।

अगर क्लिक हो गया तो क्या करें? (Damage control)

कई बार गलती से क्लिक हो जाता है—panic करने से बेहतर है सही कदम उठाना।

1) आपने सिर्फ पेज खोला, कुछ टाइप नहीं किया

• टैब बंद करें, ब्राउज़र history/active sessions चेक करें (अगर suspicious लगे)।
• अगर साइट ने कोई file डाउनलोड कर दी हो, उसे open न करें।

2) आपने username/password डाल दिया

• तुरंत असल वेबसाइट/ऐप पर जाकर पासवर्ड बदलें।
• जहाँ संभव हो 2FA enable करें।
• उस अकाउंट के active sessions logout करें।

3) आपने OTP/UPI PIN/कार्ड डिटेल्स डाली

• बैंक/UPI ऐप में तुरंत security actions लें: कार्ड block, UPI reset, limits adjust।
• आवश्यक लगे तो official support से संपर्क करें।
• ट्रांज़ैक्शन alerts पर नजर रखें।

प्रैक्टिकल habit: “लिंक से नहीं, सोर्स से जाएँ”

सबसे मजबूत सुरक्षा आदत यह है कि आप बैंक, पेमेंट, अकाउंट, या लॉगिन जैसे critical काम के लिए किसी मैसेज/ईमेल के लिंक का उपयोग न करें। इसके बजाय:

• Official app खोलें
• या ब्राउज़र में domain खुद टाइप करें
• या पहले से saved bookmark/पासवर्ड मैनेजर का trusted entry इस्तेमाल करें

भारत में जहां SMS और WhatsApp scams तेजी से बढ़े हैं, यह आदत आपको बहुत बार बचाती है। “सिर्फ एक क्लिक” कई बार बड़ा नुकसान करा देता है, जबकि “10 सेकंड की जांच” सब रोक देती है।

निष्कर्ष

Safe Link Handling कोई भारी-भरकम साइबर सिक्योरिटी कोर्स नहीं है—यह रोज़मर्रा की कुछ आदतों का खेल है। डोमेन पहचानना, short links को expand करना, subdomain tricks समझना, और urgent-pressure वाली भाषा से सावधान रहना— यही आपके सबसे मजबूत बचाव हैं। जब भी doubt हो, याद रखें: आपका डेटा कीमती है, लिंक नहीं। क्लिक करने से पहले डोमेन वेरिफ़ाई करें—और जहां संभव हो, link के बजाय official source से जाएँ।