विषय - सूची[छिपाना][प्रदर्शन]
हालांकि अधिकांश साइबर अपराधी कुशल जोड़तोड़ करने वाले होते हैं, इसका मतलब यह नहीं है कि वे हमेशा कुशल तकनीकी जोड़तोड़ करने वाले होते हैं; अन्य साइबर अपराधी लोगों के साथ छेड़छाड़ करने की प्रथा को पसंद करते हैं।
दूसरे शब्दों में, वे सोशल इंजीनियरिंग को अपनाते हैं, जो मानव स्वभाव की खामियों का फायदा उठाकर साइबर हमले शुरू करने की प्रथा है।
सोशल इंजीनियरिंग के सीधे-सीधे मामले में, यह तब हो सकता है जब कोई साइबर अपराधी किसी आईटी विशेषज्ञ का रूप धारण कर लेता है और आपके सिस्टम में सुरक्षा छेद को ठीक करने के लिए आपका लॉगिन विवरण मांगता है।
यदि आप जानकारी देते हैं, तो आपने अपने ईमेल या कंप्यूटर तक पहुँचने की चिंता किए बिना किसी बुरे व्यक्ति को अपने खाते तक पहुँच प्रदान की है।
हर सुरक्षा श्रृंखला में, हम आमतौर पर सबसे कमजोर कड़ी होते हैं क्योंकि हम विभिन्न प्रकार की चालबाजी के लिए अतिसंवेदनशील होते हैं। सोशल इंजीनियरिंग तकनीक लोगों में इस भेद्यता का लाभ उठाती है ताकि पीड़ितों को निजी जानकारी का खुलासा करने के लिए छल किया जा सके।
सोशल इंजीनियरिंग हमेशा विकसित हो रही है, जैसा कि अधिकांश साइबर खतरे हैं।
इस लेख में, हम सोशल इंजीनियरिंग की वर्तमान स्थिति, विभिन्न प्रकार के हमलों को देखने के लिए, और चेतावनी के संकेतों के बारे में चर्चा करेंगे।
आइए सोशल इंजीनियरिंग से परिचय शुरू करें।
सोशल इंजीनियरिंग क्या है?
कंप्यूटिंग में सोशल इंजीनियरिंग उन तकनीकों को संदर्भित करता है जो साइबर अपराधी पीड़ितों को एक संदिग्ध कार्रवाई करने के लिए राजी करने के लिए नियोजित करते हैं, जिसमें अक्सर सुरक्षा उल्लंघन, धन का संचरण, या व्यक्तिगत जानकारी का खुलासा होता है।
ये गतिविधियां अक्सर तर्क को चुनौती देती हैं और हमारे बेहतर निर्णय के खिलाफ जाती हैं।
हालांकि, धोखेबाज हमें तार्किक रूप से सोचना बंद करने के लिए मना सकते हैं और यह सोचे बिना कि हम वास्तव में क्या कर रहे हैं, सकारात्मक और नकारात्मक - जैसे क्रोध, भय और प्रेम के बारे में सोचे बिना वृत्ति पर कार्य करना शुरू कर सकते हैं।
सरल रूप से परिभाषित, सोशल इंजीनियरिंग है कि हैकर्स हमारे दिमाग से कैसे समझौता करते हैं, ठीक उसी तरह जैसे वे हमारी मशीनों से समझौता करने के लिए मैलवेयर और वायरस के साथ करते हैं।
हमलावर अक्सर सोशल इंजीनियरिंग का उपयोग करते हैं क्योंकि नेटवर्क या सॉफ़्टवेयर की कमजोरी की पहचान करने की तुलना में व्यक्तियों का लाभ उठाना अक्सर आसान होता है।
चूंकि अपराधियों और उनके पीड़ितों को कभी भी व्यक्तिगत रूप से बातचीत नहीं करनी पड़ती है, इसलिए सोशल इंजीनियरिंग हमेशा एक व्यापक घोटाले का एक घटक होता है।
पीड़ितों को प्राप्त करना: आम तौर पर प्रमुख लक्ष्य होता है:
- उनके स्मार्टफ़ोन पर दुर्भावनापूर्ण सॉफ़्टवेयर.
- अपना उपयोगकर्ता नाम और पासवर्ड त्यागें।
- दुर्भावनापूर्ण प्लग इन, एक्सटेंशन, या तृतीय-पक्ष एप्लिकेशन के लिए अनुमति दें।
- मनी ऑर्डर, इलेक्ट्रॉनिक फंड ट्रांसफर या गिफ्ट कार्ड के जरिए पैसे भेजें।
- अवैध धन के हस्तांतरण और शोधन के लिए एक धन खच्चर की भूमिका निभाएं।
अपराधियों द्वारा सोशल इंजीनियरिंग तकनीकों का उपयोग किया जाता है क्योंकि दूसरों पर भरोसा करने की अपनी अंतर्निहित प्रवृत्ति का लाभ उठाना अक्सर आसान होता है, यह पता लगाने के लिए कि आपके प्रोग्राम को कैसे हैक करना है।
उदाहरण के लिए, जब तक कि पासवर्ड वास्तव में कमजोर न हो, किसी को अपना पासवर्ड हैक करने की कोशिश करने की तुलना में आपको धोखा देना बहुत आसान है।
सोशल इंजीनियरिंग कैसे काम करती है?
सामाजिक इंजीनियर कई प्रकार की रणनीतियों का उपयोग करके साइबर हमले करते हैं। अधिकांश सोशल इंजीनियरिंग हमले हमलावर द्वारा शिकार पर टोही और शोध करने के साथ शुरू होते हैं।
उदाहरण के लिए, यदि लक्ष्य एक उद्यम है, तो हैकर कंपनी की संगठनात्मक संरचना, आंतरिक प्रक्रियाओं, उद्योग शब्दजाल, संभावित व्यावसायिक भागीदारों और अन्य विवरणों के बारे में जान सकता है।
एक सुरक्षा गार्ड या रिसेप्शनिस्ट की तरह, निम्न-स्तरीय अभी तक प्रारंभिक पहुंच वाले श्रमिकों के कार्यों और आदतों पर ध्यान केंद्रित करना, सामाजिक इंजीनियरों द्वारा उपयोग की जाने वाली एक रणनीति है।
हमलावर खोज सकते हैं सोशल मीडिया व्यक्तिगत जानकारी के लिए खाते और ऑनलाइन और व्यक्तिगत रूप से उनके व्यवहार का निरीक्षण करते हैं।
सामाजिक अभियंता अगली बार एकत्र किए गए सबूतों का उपयोग हमले की योजना बनाने और टोही चरण के दौरान खोजी गई खामियों का लाभ उठाने के लिए कर सकता है।
यदि वास्तव में हमला होता है, तो हमलावर को संरक्षित सिस्टम या नेटवर्क, लक्ष्य से धन, या सामाजिक सुरक्षा नंबर, क्रेडिट कार्ड विवरण, या बैंकिंग विवरण जैसे निजी डेटा तक पहुंच प्राप्त हो सकती है।
सामान्य प्रकार के सोशल इंजीनियरिंग हमले
सोशल इंजीनियरिंग में इस्तेमाल की जाने वाली विशिष्ट तकनीकों के बारे में सीखना सोशल इंजीनियरिंग के हमले से खुद को बचाने के लिए सबसे बड़ी रणनीतियों में से एक है।
आजकल, सोशल इंजीनियरिंग आमतौर पर ऑनलाइन होती है, जिसमें सोशल मीडिया घोटालों के माध्यम से, जब हमलावर संवेदनशील जानकारी का खुलासा करने के लिए पीड़ितों को धोखा देने के लिए एक विश्वसनीय स्रोत या उच्च पदस्थ अधिकारी की पहचान मान लेते हैं।
यहाँ कुछ अन्य प्रचलित सोशल इंजीनियरिंग हमले हैं:
फिशिंग
फ़िशिंग एक प्रकार का सोशल इंजीनियरिंग दृष्टिकोण है जिसमें संचार को छिपाया जाता है ताकि वे एक भरोसेमंद स्रोत से प्रतीत हों।
ये संचार, जो अक्सर ईमेल होते हैं, का उद्देश्य पीड़ितों को व्यक्तिगत या वित्तीय जानकारी का खुलासा करने के लिए धोखा देना है।
आखिर, हमें किसी मित्र, परिवार के सदस्य या कंपनी के ईमेल की वैधता पर संदेह क्यों करना चाहिए जिसे हम जानते हैं? स्कैमर्स इस भरोसे का फायदा उठाते हैं।
विशिंग
विशिंग एक जटिल प्रकार का फ़िशिंग हमला है। इसे "वॉयस फ़िशिंग" के रूप में भी जाना जाता है। इन हमलों में, प्रामाणिक प्रतीत होने के लिए अक्सर एक फ़ोन नंबर नकली होता है - हमलावर आईटी कर्मचारी, सहकर्मी या बैंकर के रूप में खुद को प्रस्तुत कर सकते हैं।
कुछ हमलावर अपनी पहचान को और भी अधिक अस्पष्ट करने के लिए वॉयस चेंजर का उपयोग कर सकते हैं।
फ़िशिंग भाला
बड़ी कंपनियां या खास लोग स्पीयर फ़िशिंग के निशाने पर हैं, जो एक तरह का सोशल इंजीनियरिंग हमला है। स्पीयर फ़िशिंग हमलों के लक्ष्य मजबूत व्यक्ति या छोटे समूह होते हैं, जैसे कि व्यापारिक नेता और सार्वजनिक हस्तियां।
सोशल इंजीनियरिंग हमले के इस रूप पर अक्सर अच्छी तरह से शोध किया जाता है और भ्रामक रूप से छलावरण किया जाता है, जिससे इसे पहचानना चुनौतीपूर्ण हो जाता है।
धूम्रपान
स्मिशिंग एक प्रकार का फ़िशिंग हमला है जो संचार के माध्यम के रूप में टेक्स्ट (एसएमएस) संदेशों का उपयोग करता है। क्लिक करने के लिए हानिकारक URL या संपर्क करने के लिए फ़ोन नंबर प्रस्तुत करके, ये हमले आमतौर पर अपने पीड़ितों से त्वरित कार्रवाई की मांग करते हैं।
पीड़ितों को अक्सर निजी जानकारी प्रदान करने के लिए कहा जाता है जिसका उपयोग हमलावर उनके खिलाफ कर सकते हैं।
पीड़ितों को तेजी से कार्रवाई करने और हमले के लिए गिरने के लिए राजी करने के लिए, स्मिशिंग हमले अक्सर तात्कालिकता की भावना को चित्रित करते हैं।
scareware
सोशल इंजीनियरिंग का उपयोग व्यक्तियों को नकली सुरक्षा सॉफ़्टवेयर स्थापित करने या मैलवेयर-संक्रमित वेबसाइटों तक पहुँचने के लिए डराने के लिए स्केयरवेयर के रूप में जाना जाता है।
स्केयरवेयर आमतौर पर पॉप-अप विंडो के रूप में प्रकट होता है जो आपके लैपटॉप से कथित कंप्यूटर संक्रमण को मिटाने में आपकी सहायता करने की पेशकश करता है। पॉप-अप पर क्लिक करके, आप अनजाने में और मैलवेयर इंस्टॉल कर सकते हैं या किसी खतरनाक वेबसाइट पर भेजे जा सकते हैं।
अपने कंप्यूटर को अक्सर स्कैन करने के लिए एक विश्वसनीय वायरस उन्मूलन कार्यक्रम का उपयोग करें यदि आपको लगता है कि आपके पास स्केयरवेयर या कोई अन्य घुसपैठिया पॉप-अप है। डिजिटल स्वच्छता के लिए समय-समय पर जोखिमों के लिए अपने डिवाइस की जांच करना महत्वपूर्ण है।
यह भविष्य में होने वाले सोशल इंजीनियरिंग हमलों को रोककर आपकी व्यक्तिगत जानकारी को सुरक्षित रखने में भी मदद कर सकता है।
बैटिंग
सोशल इंजीनियरिंग के हमले ऑफलाइन भी शुरू हो सकते हैं; जरूरी नहीं कि वे ऑनलाइन लॉन्च हों।
बैटिंग एक हमलावर द्वारा मैलवेयर से संक्रमित वस्तु, जैसे यूएसबी ड्राइव, को कहीं छोड़कर जाने की प्रथा है, जहां इसके खोजे जाने की संभावना है। रुचि जगाने के उद्देश्य से इन उपकरणों को अक्सर ब्रांडेड किया जाता है।
एक उपयोगकर्ता जो गैजेट उठाता है और उसे अपने कंप्यूटर में जिज्ञासा या लालच से डालता है, अनजाने में उस मशीन को वायरस से संक्रमित करने का जोखिम उठाता है।
whaling
सबसे साहसी फ़िशिंग प्रयासों में से एक, विनाशकारी परिणामों के साथ, व्हेलिंग है। इस तरह के सोशल इंजीनियरिंग हमले का विशिष्ट लक्ष्य एक एकल, उच्च मूल्य वाला व्यक्ति होता है।
शब्द "सीईओ धोखाधड़ी" कभी-कभी व्हेलिंग का वर्णन करने के लिए प्रयोग किया जाता है, जो आपको लक्ष्य का संकेत देता है।
क्योंकि वे प्रभावी रूप से एक उपयुक्त व्यावसायिक रूप से बोलने के स्वर को ग्रहण करते हैं और अपने लाभ के लिए अंदरूनी उद्योग ज्ञान का उपयोग करते हैं, अन्य फ़िशिंग हमलों की तुलना में व्हेलिंग हमलों को पहचानना अधिक कठिन होता है।
प्री-टेक्सटिंग
प्रीटेक्सटिंग एक झूठी परिस्थिति, या "बहाना" बनाने की प्रक्रिया है, जिसे चोर कलाकार अपने पीड़ितों को धोखा देने के लिए नियोजित करते हैं।
प्रीटेक्स्टिंग हमले, जो ऑफ़लाइन या ऑनलाइन हो सकते हैं, सबसे सफल सोशल इंजीनियरिंग तकनीकों में से हैं क्योंकि हमलावर खुद को भरोसेमंद दिखाने के लिए बहुत प्रयास करते हैं।
अजनबियों को निजी जानकारी का खुलासा करते समय सतर्क रहें क्योंकि किसी बहाने के झांसे को पहचानना मुश्किल हो सकता है।
सोशल इंजीनियरिंग के प्रयास को रद्द करने के लिए, अगर कोई आपको तत्काल आवश्यकता के बारे में फोन करता है तो सीधे कंपनी से संपर्क करें।
शहद का जाल
हनी ट्रैप एक प्रकार का सोशल इंजीनियरिंग दृष्टिकोण है जिसमें हमलावर पीड़ित को असुरक्षित यौन सेटिंग में बहकाता है।
फिर हमलावर परिस्थिति का फायदा उठाकर ब्लैकमेल करता है या सेक्सटॉर्शन में शामिल होता है। झूठे ढोंग के साथ स्पैम ईमेल भेजकर कि वे "आपको अपने कैमरे के माध्यम से देख रहे थे" या कुछ समान रूप से नापाक, सामाजिक इंजीनियर अक्सर हनी ट्रैप लगाते हैं।
अगर आपको इस तरह का कोई संदेश मिलता है, तो सुनिश्चित करें कि आपका वेबकैम सुरक्षित है।
फिर, बस बने रहें और जवाब देने से बचें, क्योंकि ये ईमेल स्पैम से ज्यादा कुछ नहीं हैं।
मुआवज़ा
लैटिन का अर्थ है "कुछ के लिए कुछ", इस उदाहरण में यह पीड़ित को उनके सहयोग के बदले में एक पुरस्कार प्राप्त करने के लिए संदर्भित करता है।
एक उत्कृष्ट उदाहरण है जब हैकर्स आईटी सहायकों के रूप में पेश आते हैं। वे एक फर्म में अधिक से अधिक कर्मचारियों को फोन करेंगे और एक सरल समाधान होने का दावा करेंगे, यह कहते हुए कि "आपको केवल अपने एवी को अक्षम करने की आवश्यकता है।"
जो कोई भी इसका शिकार होता है, उसके कंप्यूटर पर रैंसमवेयर या अन्य वायरस इंस्टॉल हो जाते हैं।
tailgating
टेलगेटिंग, जिसे पिगीबैकिंग के रूप में भी जाना जाता है, तब होता है जब एक हैकर एक सुरक्षित भवन में वैध एक्सेस कार्ड का उपयोग करने वाले व्यक्ति का अनुसरण करता है।
इस हमले को अंजाम देने के लिए, यह माना जाता है कि जिस व्यक्ति को इमारत में प्रवेश करने की अनुमति है, वह उसके पीछे आने वाले व्यक्ति के लिए दरवाजा खुला रखने के लिए पर्याप्त होगा।
आप सोशल इंजीनियरिंग के हमलों को कैसे रोक सकते हैं?
इन निवारक उपायों का उपयोग करके, आपके और आपके कर्मचारियों के पास सोशल इंजीनियरिंग के हमलों से बचने का सबसे अच्छा मौका होगा।
कर्मचारियों को शिक्षित करें
सोशल इंजीनियरिंग हमलों के लिए कर्मचारी की गिरावट का मुख्य कारण अज्ञानता है। कर्मियों को यह सिखाने के लिए कि विशिष्ट उल्लंघन प्रयासों पर कैसे प्रतिक्रिया दी जाए, संगठनों को सुरक्षा जागरूकता प्रशिक्षण प्रदान करना चाहिए।
उदाहरण के लिए, अगर कोई किसी कर्मचारी को कार्यस्थल पर ले जाने की कोशिश करता है या संवेदनशील जानकारी मांगता है, तो उसे क्या करना चाहिए।
सबसे अधिक बार होने वाले साइबर हमलों में से कुछ का वर्णन नीचे दी गई सूची में किया गया है:
- डीडीओएस हमलों
- फ़िशिंग आक्रमण
- क्लिकजैकिंग हमले
- Ransomware हमलों
- मैलवेयर के हमले
- टेलगेटिंग का जवाब कैसे दें
हमले के प्रतिरोध की जाँच करें
इसका परीक्षण करने के लिए अपनी कंपनी पर नियंत्रित सामाजिक इंजीनियरिंग हमले करें। झूठे फ़िशिंग ईमेल भेजें, और अटैचमेंट खोलने वाले, हानिकारक लिंक पर क्लिक करने या प्रतिक्रिया करने वाले स्टाफ़ सदस्यों को धीरे से फटकारें।
साइबर सुरक्षा विफलताओं के रूप में माने जाने के बजाय, इन उदाहरणों को अत्यधिक शैक्षिक स्थितियों के रूप में देखा जाना चाहिए।
ऑपरेशन सुरक्षा
OPSEC दोस्ताना व्यवहार का पता लगाने का एक तरीका है जो भविष्य के हमलावर के लिए फायदेमंद हो सकता है। OPSEC संवेदनशील या महत्वपूर्ण डेटा को उजागर कर सकता है यदि इसे उचित रूप से संसाधित किया जाता है और अन्य डेटा के साथ समूहीकृत किया जाता है।
आप OPSEC प्रक्रियाओं का उपयोग करके सामाजिक इंजीनियरों द्वारा प्राप्त की जा सकने वाली जानकारी की मात्रा को सीमित कर सकते हैं।
डेटा लीक खोजें
यह जानना कि क्या किसी फ़िशिंग प्रयास के परिणामस्वरूप क्रेडेंशियल उजागर हुए हैं, चुनौतीपूर्ण हो सकता है।
आपकी कंपनी को लगातार डेटा एक्सपोजर और लीक हुए क्रेडेंशियल्स की खोज करनी चाहिए क्योंकि कुछ फिशर्स को उनके द्वारा एकत्रित किए गए क्रेडेंशियल्स का फायदा उठाने में महीनों या साल भी लग सकते हैं।
बहु-कारक प्रमाणीकरण लागू करें
एक बहु-कारक प्रमाणीकरण पद्धति लागू करें जिसके लिए महत्वपूर्ण संसाधनों तक पहुंच प्राप्त करने के लिए उपयोगकर्ताओं को टोकन रखने, पासवर्ड जानने और उनके बायोमेट्रिक्स की आवश्यकता होती है।
तृतीय-पक्ष जोखिम प्रबंधन प्रणाली लागू करें
नए विक्रेताओं को लाने या मौजूदा आपूर्तिकर्ताओं के साथ काम करना जारी रखने से पहले, तीसरे पक्ष के जोखिमों के प्रबंधन के लिए एक प्रणाली बनाएं, एक विक्रेता प्रबंधन नीति, और एक आचरण करें साइबर सुरक्षा जोखिम मूल्यांकन।
विशेष रूप से चोरी किए गए डेटा को डार्क वेब पर बेचे जाने के बाद, डेटा उल्लंघनों से बचने के लिए उन्हें साफ करने की तुलना में काफी आसान है।
सॉफ़्टवेयर ढूंढें जो स्वचालित रूप से विक्रेता जोखिम का प्रबंधन कर सकता है और नियमित रूप से आपके विक्रेताओं की साइबर सुरक्षा को ट्रैक, रैंक और मूल्यांकन कर सकता है।
अपनी स्पैम ईमेल प्राथमिकताओं को संशोधित करें।
अपनी ईमेल सेटिंग बदलना सोशल इंजीनियरिंग के प्रयासों से अपना बचाव करने के सबसे सरल तरीकों में से एक है। सोशल इंजीनियरिंग स्कैम ईमेल को अपने इनबॉक्स से बाहर रखने के लिए आप अपने स्पैम फ़िल्टर में सुधार कर सकते हैं।
आप उन व्यक्तियों और संगठनों के ईमेल पते भी सीधे जोड़ सकते हैं जिन्हें आप जानते हैं कि आपकी डिजिटल संपर्क सूचियों में वास्तविक हैं - कोई भी व्यक्ति जो उनके होने का नाटक कर रहा है लेकिन भविष्य में एक अलग पते का उपयोग कर रहा है, एक सामाजिक इंजीनियर होने की सबसे अधिक संभावना है।
निष्कर्ष
अंत में, सोशल इंजीनियरिंग एक सरल तकनीक है जिसका उपयोग धोखाधड़ी, धोखाधड़ी या अन्य अपराध करने के लिए किया जा सकता है। यह व्यक्तिगत रूप से, फोन पर या ऑनलाइन किसी को भी हो सकता है।
सामाजिक इंजीनियरों को बहुत तकनीकी होने की आवश्यकता नहीं है; उन्हें केवल आपको निजी जानकारी देने में सक्षम होने की आवश्यकता है।
यह एक संभावित विनाशकारी ठग है क्योंकि हम सभी खतरे में हैं। सोशल मीडिया ने सोशल इंजीनियरों को झूठे खाते बनाने में सक्षम बनाकर और अधिक चालाक बनने में सक्षम बनाया है जो वास्तविक लोगों के लिए गलती करने के लिए आसान हैं या यहां तक कि वास्तविक व्यक्तियों का प्रतिरूपण करने के लिए भी सक्षम हैं।
सोशल मीडिया पर अजीब या अपरिचित प्रोफाइल देखते समय हमेशा सावधानी बरतें।
एक जवाब लिखें