आपने 2FA enable किया। हर login पर OTP आता है। आपको लगा — "अब account safe है, कोई hack नहीं कर सकता।"
यह assumption dangerous है। और यह fact इसे prove करता है।
2025 की LoginRadius report के अनुसार, 61% account compromises उन accounts पर हुए जिनमें 2FA enabled था। इसका मतलब यह नहीं कि 2FA useless है — इसका मतलब यह है कि 2FA को bypass करने के effective methods exist करते हैं, और ज़्यादातर users को उनके बारे में पता नहीं है।
आज हम वो real attacks देखेंगे — honest, educational, बिना किसी की मदद से attack करने की कोशिश के।
{getToc} $title={Table of Contents} $count={true} $width={full}
2FA Actually कैसे काम करता है — पहले यह समझो
2FA (Two-Factor Authentication) का idea simple है — login के लिए दो चीज़ें चाहिए:
- कुछ जो आप जानते हो — Password
- कुछ जो आपके पास है — Phone (OTP/authenticator app), या hardware key
यह combination इसलिए effective है क्योंकि अगर कोई आपका password चुरा ले — बिना second factor के login नहीं हो सकता। Theory में perfect है।
लेकिन attackers theory को bypass करते हैं। वो cryptography नहीं तोड़ते — वो उस human moment या system process को exploit करते हैं जहाँ authentication ceremony होती है।
2FA के attacks उसके math को नहीं तोड़ते। वो उस window को exploit करते हैं जब code आपके हाथ में है और server उसका wait कर रहा है। वो 30 seconds की window — वही battleground है।
Attack #1 — SIM Swapping: आपका Phone Number चुरा लिया
यह 2024-25 का सबसे explosive attack है। UK में SIM swap fraud के cases 2024 में 1,055% बढ़े — 289 से almost 3,000 incidents।
यह कैसे होता है
आपका phone number किसी और के SIM पर transfer हो जाता है। Attacker आपके mobile carrier को call करता है, आपकी personal details (name, DOB, address — जो data breaches से मिली थीं) provide करके आपकी identity pretend करता है, और कहता है "मेरा phone खो गया, नया SIM चाहिए।"
Carrier उनकी verification accept कर लेता है। Phone number नए SIM पर transfer हो जाता है। आपका phone "No Service" दिखाने लगता है। अब आपके number पर आने वाले सभी SMS — बैंक OTP, Gmail 2FA, सब — attacker के device पर जाते हैं।
एक real case: Michael Chen नाम के एक investor का phone January की सुबह "SOS Only" दिखाने लगा। तीन minutes में उनके crypto exchange accounts से $350,000 निकल गए।
T-Mobile को एक single SIM swap case में $33 million का arbitration payout करना पड़ा।
SMS 2FA इसीलिए कमज़ोर है
SMS-based OTP का पूरा security model यह मानता है कि आपका phone number आपके control में है। SIM swap यही assumption तोड़ता है।
SIM Swap से Protection: 1. SMS 2FA को Authenticator App से replace करो (Google Authenticator, Microsoft Authenticator, Authy) — ये locally code generate करते हैं, SMS पर depend नहीं 2. अपने mobile carrier पर "SIM Lock" या "Port Freeze" लगाओ — Airtel/Jio में customer care से request करो — कोई भी number transfer बिना in-person verification के न हो 3. Account recovery information में phone number कम rely करो — Email-based recovery या authenticator app use करो
Attack #2 — MFA Fatigue (Push Bombing): Approve करते करते थक गए
यह attack technical नहीं है — यह psychological है। और यह surprisingly effective है।
Microsoft, Cisco, Uber — सभी इस attack से hit हुए हैं।
यह कैसे काम करता है
जब आप push notification-based 2FA use करते हो (जैसे Microsoft Authenticator का "Approve/Deny" notification) — attacker के पास आपका password है। वो बार-बार login attempt करता है। आपके phone पर notification आता है — "Approve this login?" — आप deny करते हो। फिर आता है। फिर deny। रात 2 बजे फिर। सुबह आता है जब आप rush में हो।
एक moment — जब थका हुआ user गलती से "Approve" tap कर देता है, या notifications बंद करने के लिए approve कर देता है — बस। Account compromised।
कभी-कभी social engineering भी जुड़ती है — attacker call करता है यह pretend करते हुए कि वो IT support है और "कृपया उस notification को approve करें ताकि हम verify कर सकें।"
MFA Fatigue से Protection: 1. Unexpected push notification कभी approve मत करो अगर खुद login नहीं कर रहे — notification आया तो Deny करो फिर अपना password immediately change करो 2. Number Matching enable करो (अगर available है) Microsoft Authenticator में यह option है — app में वो number enter करना होता है जो login page पर दिखता है इससे blind approve नहीं हो सकता 3. Push notifications की जगह TOTP use करो Time-based codes push से secure हैं fatigue attacks के against
Attack #3 — Real-Time OTP Phishing: 30 Seconds में Code चुराया
यह attack हमने phishing और public Wi-Fi articles में briefly mention किया था — लेकिन यहाँ यह 2FA के context में specifically important है।
Attacker एक fake login page बनाता है जो real site जैसी दिखती है। जब आप credentials enter करते हो — वो real-time में real site पर forward होते हैं। Real site 2FA code माँगता है। Fake page आपसे code माँगती है। आप code enter करते हो — attacker 30 seconds की window में उसे real site पर use कर लेता है।
OTP typically 30 seconds में expire होता है — यह window बहुत tight है, लेकिन automated systems इसमें successfully operate करते हैं।
Reddit के 2023 breach में एक employee को exactly इसी technique से phish किया गया — password और SMS OTP दोनों एक fake page से capture हुए।
Real-Time OTP Phishing से Protection: 1. URL carefully verify करो BEFORE entering any code Last dot के बाद ka first segment = real domain (हम यह public wifi article में detail से discuss कर चुके हैं) 2. Password Manager use करो Password managers domain check करते हैं — अगर URL different है, वो autofill नहीं करेंगे यह automatic phishing protection है 3. FIDO2/Passkeys use करो जहाँ available हो यह cryptographically domain-bound है — fake page पर passkey काम नहीं करता।
Attack #4 — AiTM (Adversary-in-the-Middle): Session Cookie Steal
यह 2FA bypass का सबसे sophisticated version है — और यह 2FA को completely irrelevant बना देता है।
AiTM proxy intercept करता है पूरा HTTPS session आपके और identity provider के बीच, capturing session tokens post-authentication। यह tokens 2FA को bypass करते हैं क्योंकि authentication already हो चुकी है।
Practically: आप real-time phishing page पर login किया — 2FA भी complete किया — आपको real site का page दिखा। Backend में attacker के पास आपका valid session cookie है। इस cookie से वो आपके account में login कर सकते हैं — 2FA की ज़रूरत नहीं। Authentication already हुई — उसी session का use हो रहा है।
AiTM से Protection: 1. Phishing-resistant MFA use करो (FIDO2/Passkeys) ये domain-bound हैं — proxy intercept नहीं कर सकता 2. Public WiFi पर sensitive logins avoid करो VPN use करो अगर ज़रूरी हो (हमने यह detail से discuss किया है) 3. Session cookies "Secure" और "HttpOnly" flags के साथ होनी चाहिए (यह platform's responsibility है — आप इसे force नहीं कर सकते, लेकिन reputable platforms यह करते हैं)
Attack #5 — SS7 Protocol Vulnerability: Telecom Infrastructure से OTP Intercept
यह technical attack है जो telecom network की एक पुरानी vulnerability exploit करता है।
SS7 (Signaling System 7) वो protocol है जो global phone calls और SMS routing handle करता है — 1970s में design हुआ था। इसमें authentication बहुत weak है। SMS interceptor bots इन कमज़ोरियों का फायदा उठाकर OTP SMS messages को intercept कर सकते हैं।
यह attack state-level actors या sophisticated criminal organizations के level पर होता है — आम attacker के लिए यह accessible नहीं है। लेकिन यह exist करता है, और यह एक reason है कि government agencies SMS OTP को "unsafe" classify करती हैं high-security use cases के लिए।
FBI ने 2024 में specifically Americans को "stop texting" की warning दी थी — SMS interception की concerns की वजह से।
Attack #6 — Password Reset Flow जो 2FA Disable कर देता है
यह एक implementation bug है — लेकिन surprisingly common है।
कुछ applications password reset के दौरान automatically 2FA disable कर देती हैं। Attacker email access पाता है, password reset trigger करता है, 2FA automatic disable हो जाता है, नया password set होता है, login हो जाता है।
यह platform की गलती है — user की नहीं। लेकिन इसे जानने से आप safer decisions ले सकते हो।
Password Reset Attack से Protection: 1. Email account को strongest security दो Email account = master key है। Gmail/Outlook पर FIDO2/Passkey use करो 2. Recovery email एक dedicated, less-known email रखो जिसे आप कहीं public में use नहीं करते 3. Account की "security settings" regularly check करो Trusted devices list देखो, connected apps देखो, Active sessions review करो
2FA Types की Strength Comparison — कौन सा कितना Safe है
| 2FA Type | SIM Swap | Real-Time Phishing | MFA Fatigue | AiTM |
| SMS OTP | ❌ Vulnerable | ❌ Vulnerable | ✅ Resistant | ❌ Vulnerable |
| Authenticator App (TOTP) | ✅ Resistant | ❌ Vulnerable | ✅ Resistant | ❌ Vulnerable |
| Push Notification | ✅ Resistant | ⚠️ Partial | ❌ Vulnerable | ❌ Vulnerable |
| FIDO2 / Passkey | ✅ Resistant | ✅ Resistant | ✅ Resistant | ✅ Resistant |
Passkey और FIDO2 — वो Future जो Already Here है
Passkeys FIDO2 को platform authenticators तक extend करते हैं — biometric sensors जो modern smartphones और laptops में built-in हैं। एक passkey एक device-bound credential है — private key device से कभी नहीं निकलती और credential domain-bound है — इसलिए passkeys phishing, push bombing, और AiTM proxying के against resistant हैं।
Practically: Passkey के साथ, fake phishing page पर passkey work नहीं करती — क्योंकि वो cryptographically उस domain से bound है जहाँ originally setup हुई थी। Attacker उसे intercept या relay नहीं कर सकता।
Apple, Google, और Microsoft तीनों ने अपने platforms में passkey support integrate किया है। आज ही अपने Google Account पर Passkey enable कर सकते हो।
Google Account पर Passkey Enable करना: myaccount.google.com → Security → How you sign in to Google → Passkeys → + Create a passkey → Follow prompts (Biometric — fingerprint या face — use होता है) Microsoft Account: account.microsoft.com → Security → Advanced security options → Passkey (FIDO2) → Add a new way to sign in Instagram/WhatsApp पर: Settings → Security → Passkeys (अगर available है)
India में OTP Fraud — एक Local Angle
India में एक specific fraud pattern है जो 2FA को target करता है — और जो ज़्यादातर cybersecurity articles में miss होता है।
Fraudster call करता है — "TRAI/BSNL से बोल रहा हूँ, आपका SIM band होने वाला है। Verify करने के लिए OTP share करें।" या "Bank से बोल रहा हूँ, आपके account में fraud हुआ है, verification के लिए OTP बताएं।"
यह social engineering का simplest form है — और यह बड़े पैमाने पर India में काम करता है।
Rule जो कभी break नहीं करना: कोई भी legitimate organization — bank, telecom, government — कभी भी OTP phone पर माँगती नहीं। Never. कभी नहीं।
यह सब Tools के Context में क्यों Important है
जैसे Rojgar Sangam Tools पर sensitive documents process करते समय browser-based processing इसीलिए important है — आपकी files server पर नहीं जातीं — वैसे ही 2FA में भी यह principle apply होता है: अपने sensitive authentication data को ऐसी जगह रखो जहाँ intercepted नहीं हो सके।
Authenticator apps — जो locally code generate करती हैं — उसी principle को follow करती हैं: code server से नहीं आता, intercept नहीं हो सकता। FIDO2 keys उसी principle का next level हैं।
और जैसे public Wi-Fi पर HTTPS काफी नहीं था — वैसे ही SMS 2FA काफी नहीं है। Layers matter करती हैं।
Action Plan — अभी क्या करें
- Gmail, Email, Banking पर SMS OTP की जगह Authenticator App लगाओ — Google Authenticator या Microsoft Authenticator — free, easy।
- जहाँ Passkey available है — enable करो — Google Account, Microsoft Account।
- Unexpected push notification को कभी approve मत करो — खुद login नहीं कर रहे? Deny करो।
- OTP कभी किसी को phone पर share मत करो — कोई भी legitimate service नहीं माँगती।
- Recovery options review करो — Trusted devices list, backup codes — इन्हें secure रखो।
निष्कर्ष
2FA को enable करना अच्छा है। लेकिन यह think करना कि "2FA है तो completely safe हूँ" — यह dangerous है।
SIM Swap, MFA Fatigue, Real-Time OTP Phishing, AiTM, SS7 Interception — यह सब real attacks हैं जो 2FA के साथ भी काम करते हैं। इनमें से किसी भी attack में 2FA को cryptographically नहीं तोड़ा गया — बस उस moment को exploit किया गया जब code आपके हाथ में था।
Defense का answer है: SMS OTP → Authenticator App → Passkey। यह sequence follow करो। हर step पर security meaningfully better होती है।
Cybersecurity से related कोई specific सवाल है — यहाँ contact करो।
