अनुक्रमणिका[लपवा][दाखवा]
जरी बहुतेक सायबर गुन्हेगार हे कुशल हाताळणी करणारे असतात, याचा अर्थ ते नेहमी कुशल तांत्रिक हाताळणी करतात असा होत नाही; इतर सायबर गुन्हेगार लोकांशी छेडछाड करण्याच्या पद्धतीला प्राधान्य देतात.
दुसऱ्या शब्दांत, ते सामाजिक अभियांत्रिकी स्वीकारतात, जी मानवी स्वभावातील त्रुटींचा फायदा घेऊन सायबर हल्ला करण्याची प्रथा आहे.
सामाजिक अभियांत्रिकीच्या सरळ प्रकरणात, जर सायबर गुन्हेगाराने आयटी तज्ञाची तोतयागिरी केली आणि तुमच्या सिस्टममधील सुरक्षा छिद्र निश्चित करण्यासाठी तुमचे लॉगिन तपशील विचारले तर असे होऊ शकते.
तुम्ही माहिती दिल्यास, तुम्ही एका वाईट व्यक्तीला तुमच्या ईमेल किंवा कॉम्प्युटरमध्ये प्रवेश करण्याची चिंता न करता तुमच्या खात्यात प्रवेश दिला आहे.
प्रत्येक सुरक्षितता साखळीत, आम्ही जवळजवळ सर्वात कमकुवत दुवा असतो कारण आम्ही विविध प्रकारच्या फसवणुकीसाठी संवेदनाक्षम असतो. सामाजिक अभियांत्रिकी तंत्रे लोकांमध्ये या असुरक्षिततेचा फायदा घेतात जेणेकरून पीडितांना खाजगी माहिती उघड करण्यासाठी फसवता येईल.
बहुसंख्य सायबर धोक्यांप्रमाणेच सामाजिक अभियांत्रिकी नेहमीच विकसित होत असते.
या लेखात, आम्ही सामाजिक अभियांत्रिकीची सद्यस्थिती, विविध प्रकारचे हल्ले आणि लक्ष ठेवण्यासाठी चेतावणी चिन्हे यावर चर्चा करू.
चला सोशल इंजिनिअरिंगचा परिचय सुरू करूया.
सोशल इंजिनिअरिंग म्हणजे काय?
कॉम्प्युटिंगमधील सामाजिक अभियांत्रिकी म्हणजे सायबर गुन्हेगार पीडितांना संशयास्पद कृती करण्यास प्रवृत्त करण्यासाठी वापरत असलेल्या तंत्रांचा संदर्भ देते, ज्यामध्ये वारंवार सुरक्षा उल्लंघन, पैशाचे प्रसारण किंवा वैयक्तिक माहिती उघड करणे समाविष्ट असते.
या क्रियाकलाप वारंवार तर्काला आव्हान देतात आणि आमच्या चांगल्या निर्णयाच्या विरोधात जातात.
तथापि, फसवणूक करणारे आम्हाला तार्किक विचार करणे थांबवण्यास आणि राग, भीती आणि प्रेम यांसारख्या सकारात्मक आणि नकारात्मक अशा दोन्ही प्रकारच्या आमच्या भावना हाताळून आपण प्रत्यक्षात काय करत आहोत याचा विचार न करता अंतःप्रेरणेवर कार्य करण्यास प्रारंभ करू शकतात.
सोप्या भाषेत, सामाजिक अभियांत्रिकी म्हणजे हॅकर्स आपल्या मेंदूची तडजोड कशी करतात, जसे ते मालवेअर आणि व्हायरसशी आपल्या मशीनशी तडजोड करतात.
हल्लेखोर वारंवार सामाजिक अभियांत्रिकीचा वापर करतात कारण नेटवर्क किंवा सॉफ्टवेअर कमकुवतपणा ओळखण्यापेक्षा व्यक्तींचा फायदा घेणे वारंवार सोपे असते.
कारण गुन्हेगार आणि त्यांचे बळी यांना कधीही वैयक्तिकरित्या संवाद साधावा लागत नाही, सामाजिक अभियांत्रिकी हा नेहमीच एका व्यापक घोटाळ्याचा घटक असतो.
पीडितांना मिळवून देणे हे सामान्यतः प्रमुख ध्येय आहे:
- त्यांच्या स्मार्टफोनवरील दुर्भावनायुक्त सॉफ्टवेअर.
- तुमचे वापरकर्तानाव आणि पासवर्ड सोडून द्या.
- दुर्भावनायुक्त प्लगइन, विस्तार किंवा तृतीय-पक्ष अनुप्रयोगास परवानगी द्या.
- मनी ऑर्डर, इलेक्ट्रॉनिक फंड ट्रान्सफर किंवा गिफ्ट कार्डद्वारे पैसे पाठवा.
- बेकायदेशीर पैशांची देवाण-घेवाण आणि लॉन्डरिंगसाठी पैशाच्या खेचराची भूमिका बजावा.
सामाजिक अभियांत्रिकी तंत्रे गुन्हेगारांद्वारे वापरली जातात कारण तुमचा प्रोग्राम कसा हॅक करायचा हे शोधण्यापेक्षा इतरांवर विश्वास ठेवण्याच्या तुमच्या मूळ प्रवृत्तीचा फायदा घेणे वारंवार सोपे आहे.
उदाहरणार्थ, पासवर्ड खरोखर कमकुवत असल्याशिवाय, तो हॅक करण्याचा प्रयत्न करण्यापेक्षा एखाद्याला त्याचा पासवर्ड सांगण्याची फसवणूक करणे खूप सोपे आहे.
सामाजिक अभियांत्रिकी कसे कार्य करते?
सामाजिक अभियंते विविध धोरणांचा वापर करून सायबर हल्ले करतात. बहुतेक सामाजिक अभियांत्रिकी हल्ले हल्लेखोराने पीडितेवर शोध आणि संशोधन करून सुरू केले.
उदाहरणार्थ, जर लक्ष्य एखादे एंटरप्राइझ असेल, तर हॅकर कंपनीची संस्थात्मक रचना, अंतर्गत प्रक्रिया, उद्योग शब्द, संभाव्य व्यावसायिक भागीदार आणि इतर तपशीलांबद्दल जाणून घेऊ शकतो.
सुरक्षा रक्षक किंवा रिसेप्शनिस्ट सारख्या निम्न-स्तरीय तरीही प्रारंभिक प्रवेश असलेल्या कामगारांच्या कृती आणि सवयींवर लक्ष केंद्रित करणे ही सामाजिक अभियंता वापरणारी एक धोरण आहे.
हल्लेखोर शोधू शकतात सामाजिक मीडिया वैयक्तिक माहितीसाठी खाते आणि ऑनलाइन आणि वैयक्तिकरित्या त्यांच्या वर्तनाचे निरीक्षण करते.
सामाजिक अभियंता नंतर एकत्रित केलेल्या पुराव्याचा वापर हल्ल्याची योजना आखण्यासाठी करू शकतो आणि टोपण टप्प्यात आढळलेल्या त्रुटींचा फायदा घेऊ शकतो.
खरोखरच हल्ला झाल्यास, आक्रमणकर्त्याला संरक्षित प्रणाली किंवा नेटवर्क, लक्ष्यांकडून पैसे मिळू शकतात किंवा सामाजिक सुरक्षा क्रमांक, क्रेडिट कार्ड तपशील किंवा बँकिंग तपशील यासारख्या खाजगी डेटामध्ये प्रवेश मिळू शकतो.
सामाजिक अभियांत्रिकी हल्ल्यांचे सामान्य प्रकार
सामाजिक अभियांत्रिकीमध्ये वापरल्या जाणार्या विशिष्ट तंत्रांबद्दल शिकणे ही सामाजिक अभियांत्रिकीच्या हल्ल्यापासून स्वतःचा बचाव करण्यासाठी सर्वात मोठी रणनीती आहे.
आजकाल, सामाजिक अभियांत्रिकी सामान्यतः ऑनलाइन होते, सोशल मीडिया घोटाळ्यांसह, जेव्हा हल्लेखोर संवेदनशील माहिती उघड करण्यासाठी पीडितांना फसवण्यासाठी विश्वसनीय स्रोत किंवा उच्च पदावरील अधिकाऱ्याची ओळख गृहीत धरतात.
येथे काही इतर प्रचलित सामाजिक अभियांत्रिकी हल्ले आहेत:
फिशिंग
फिशिंग हा एक प्रकारचा सामाजिक अभियांत्रिकी दृष्टीकोन आहे ज्यामध्ये संप्रेषणे वेषात ठेवली जातात जेणेकरून ते विश्वासार्ह स्त्रोताकडून आलेले दिसतात.
हे संप्रेषण, जे वारंवार ईमेल असतात, वैयक्तिक किंवा आर्थिक माहिती उघड करण्यासाठी पीडितांना फसवण्याच्या उद्देशाने असतात.
शेवटी, आपल्या ओळखीच्या एखाद्या मित्राच्या, कुटुंबातील सदस्याच्या किंवा कंपनीच्या ईमेलच्या वैधतेवर आपण संशय का घ्यावा? घोटाळेबाज या आत्मविश्वासाचा फायदा घेतात.
शुभेच्छा
विशिंग हा फिशिंग आक्रमणाचा एक जटिल प्रकार आहे. हे "व्हॉइस फिशिंग" म्हणून देखील ओळखले जाते. या हल्ल्यांमध्ये, प्रामाणिक वाटण्यासाठी फोन नंबर वारंवार बनावट केला जातो - हल्लेखोर आयटी कर्मचारी, सहकारी किंवा बँकर म्हणून उभे राहू शकतात.
काही हल्लेखोर त्यांची ओळख अधिक अस्पष्ट करण्यासाठी व्हॉइस चेंजर्स नियुक्त करू शकतात.
भाला फिशिंग
मोठ्या कंपन्या किंवा विशिष्ट लोक भाले फिशिंगचे लक्ष्य आहेत, एक प्रकारचा सामाजिक अभियांत्रिकी हल्ला. भाल्याच्या फिशिंग हल्ल्यांचे लक्ष्य मजबूत व्यक्ती किंवा छोटे गट आहेत, जसे की व्यावसायिक नेते आणि सार्वजनिक व्यक्ती.
सामाजिक अभियांत्रिकी हल्ल्याचे हे स्वरूप वारंवार चांगले संशोधन केले जाते आणि फसव्या पद्धतीने छद्म केले जाते, ज्यामुळे ते शोधणे आव्हानात्मक होते.
धूम्रपान
स्मिशिंग हा एक प्रकारचा फिशिंग हल्ला आहे जो मजकूर (SMS) संदेशांचा संवादाचे माध्यम म्हणून वापर करतो. क्लिक करण्यासाठी हानिकारक URL किंवा संपर्क करण्यासाठी फोन नंबर सादर करून, हे हल्ले विशेषत: त्यांच्या पीडितांकडून जलद कारवाईची मागणी करतात.
पीडितांना वारंवार खाजगी माहिती प्रदान करण्यास सांगितले जाते जे हल्लेखोर त्यांच्या विरोधात वापरू शकतात.
पीडितांना त्वरेने वागण्यासाठी आणि हल्ल्याला बळी पडण्यासाठी प्रवृत्त करण्यासाठी, स्मिशिंग हल्ले वारंवार निकडीची भावना दर्शवतात.
Scareware
सामाजिक अभियांत्रिकीचा वापर लोकांना भयभीत करण्यासाठी बनावट सुरक्षा सॉफ्टवेअर स्थापित करण्यासाठी किंवा मालवेअर-संक्रमित वेबसाइट्समध्ये प्रवेश करण्यासाठी स्कियरवेअर म्हणून ओळखले जाते.
स्केअरवेअर सामान्यत: पॉप-अप विंडोच्या रूपात प्रकट होते जे तुमच्या लॅपटॉपवरून कथित संगणक संसर्ग नष्ट करण्यात तुम्हाला मदत करतात. पॉप-अप वर क्लिक करून, तुम्ही अनावधानाने पुढील मालवेअर इंस्टॉल करू शकता किंवा धोकादायक वेबसाइटवर पाठवले जाऊ शकता.
तुमच्याकडे स्केअरवेअर किंवा दुसरे अनाहूत पॉप-अप आहे असे तुम्हाला वाटत असल्यास तुमचा संगणक अनेकदा स्कॅन करण्यासाठी विश्वसनीय व्हायरस निर्मूलन प्रोग्राम वापरा. डिजिटल स्वच्छतेसाठी तुमच्या डिव्हाइसची जोखमीसाठी वेळोवेळी तपासणी करणे महत्त्वाचे आहे.
भविष्यातील सामाजिक अभियांत्रिकी हल्ल्यांना प्रतिबंध करून ते तुमच्या वैयक्तिक माहितीचे संरक्षण करण्यात देखील मदत करू शकते.
आमिष दाखवणे
सामाजिक अभियांत्रिकी हल्ले ऑफलाइन देखील सुरू करू शकतात; ते ऑनलाइन लॉन्च केले जाणे आवश्यक नाही.
आमिष दाखवणे म्हणजे आक्रमणकर्त्याने मालवेअर-संक्रमित वस्तू, जसे की यूएसबी ड्राइव्ह, जिथे ते शोधले जाण्याची शक्यता आहे तिथे सोडण्याची प्रथा आहे. स्वारस्य वाढवण्यासाठी ही उपकरणे वारंवार हेतुपुरस्सर ब्रँड केली जातात.
जो वापरकर्ता गॅझेट उचलतो आणि कुतूहलाने किंवा लालसेपोटी ते स्वतःच्या संगणकात ठेवतो तो अनावधानाने त्या मशीनला व्हायरसने संक्रमित करण्याचा धोका असतो.
व्हेलिंग
विनाशकारी परिणामांसह सर्वात धाडसी फिशिंग प्रयत्नांपैकी एक म्हणजे व्हेल मारणे. या प्रकारच्या सामाजिक अभियांत्रिकी हल्ल्याचे विशिष्ट लक्ष्य एकल, उच्च-मूल्य असलेली व्यक्ती आहे.
"CEO फ्रॉड" हा शब्द अधूनमधून व्हेलिंगचे वर्णन करण्यासाठी वापरला जातो, जो तुम्हाला लक्ष्याचा संकेत देतो.
कारण ते प्रभावीपणे योग्य व्यवसायासारखे बोलण्याचा टोन गृहीत धरतात आणि त्यांच्या फायद्यासाठी अंतर्गत उद्योग ज्ञानाचा वापर करतात, इतर फिशिंग हल्ल्यांपेक्षा व्हेल आक्रमण शोधणे अधिक कठीण आहे.
पूर्व मजकूर
बहाणा करणे ही खोटी परिस्थिती किंवा "बहाणे" तयार करण्याची प्रक्रिया आहे जी कलाकार त्यांच्या पीडितांना फसवण्यासाठी वापरतात.
बहाणा करणे, जे ऑफलाइन किंवा ऑनलाइन होऊ शकतात, हे सर्वात यशस्वी सामाजिक अभियांत्रिकी तंत्रांपैकी एक आहे कारण आक्रमणकर्ते स्वतःला विश्वासार्ह दिसण्यासाठी खूप प्रयत्न करतात.
अनोळखी व्यक्तींना खाजगी माहिती उघड करताना सावधगिरी बाळगा कारण एखाद्या बहाण्याने केलेली फसवणूक शोधणे कठीण होऊ शकते.
सामाजिक अभियांत्रिकी प्रयत्न नाकारण्यासाठी, एखाद्या व्यक्तीने तुम्हाला तातडीच्या गरजेबद्दल फोन केल्यास थेट कंपनीशी संपर्क साधा.
हनी ट्रॅप
मधाचा सापळा हा एक प्रकारचा सामाजिक अभियांत्रिकी दृष्टीकोन आहे ज्यामध्ये हल्लेखोर पीडितेला असुरक्षित लैंगिक सेटिंगमध्ये फसवतो.
हल्लेखोर नंतर परिस्थितीचा फायदा घेत ब्लॅकमेल करतात किंवा सेक्सटोर्शन करतात. ते "तुमच्या कॅमेर्याद्वारे तुम्हाला पाहत आहेत" किंवा तितकेच घृणास्पद काहीतरी असल्याचे खोटे भासवून स्पॅम ईमेल पाठवून, सामाजिक अभियंते वारंवार मधाचे सापळे लावतात.
तुम्हाला असा संदेश मिळाल्यास, तुमचा वेबकॅम संरक्षित असल्याची खात्री करा.
मग, फक्त तयार रहा आणि प्रतिसाद देणे टाळा, कारण हे ईमेल स्पॅमपेक्षा अधिक काही नाहीत.
नुकसानभरपाई
लॅटिनचा अर्थ "काहीतरीसाठी काहीतरी" असा होतो, या उदाहरणात ते पीडित व्यक्तीला त्यांच्या सहकार्याच्या बदल्यात बक्षीस प्राप्त करतात.
हॅकर्स जेव्हा आयटी सहाय्यक म्हणून उभे राहतात तेव्हा एक उत्कृष्ट उदाहरण आहे. ते फर्ममध्ये शक्य तितक्या कर्मचार्यांना फोन करतील आणि एक सोपा उपाय असल्याचा दावा करतील, "तुम्हाला फक्त तुमचा AV अक्षम करणे आवश्यक आहे."
जो कोणी याला बळी पडतो त्याच्या संगणकावर रॅन्समवेअर किंवा इतर व्हायरस इन्स्टॉल केलेले असतात.
टेलगेटिंग
टेलगेटिंग, ज्याला पिग्गीबॅकिंग असेही म्हणतात, जेव्हा हॅकर एखाद्या सुरक्षित इमारतीमध्ये वैध प्रवेश कार्ड वापरून एखाद्या व्यक्तीचे अनुसरण करते तेव्हा होते.
हा हल्ला घडवून आणण्यासाठी, असे गृहीत धरले जाते की ज्या व्यक्तीला इमारतीत प्रवेश करण्याची परवानगी आहे तो त्यांच्या मागून येणाऱ्या व्यक्तीसाठी दरवाजा उघडा ठेवण्यासाठी पुरेसा विचारशील असेल.
तुम्ही सोशल इंजिनिअरिंगचे हल्ले कसे रोखू शकता?
या प्रतिबंधात्मक उपायांचा वापर करून, तुम्हाला आणि तुमच्या कर्मचार्यांना सामाजिक अभियांत्रिकी आक्रमण टाळण्याची उत्तम संधी मिळेल.
कर्मचाऱ्यांना शिक्षित करा
सामाजिक अभियांत्रिकी हल्ल्यांमध्ये कर्मचार्यांच्या कमीपणाचे मुख्य कारण म्हणजे अज्ञान. सामान्य उल्लंघनाच्या प्रयत्नांवर प्रतिक्रिया कशी द्यावी हे कर्मचार्यांना शिकवण्यासाठी, संस्थांनी सुरक्षा जागरूकता प्रशिक्षण दिले पाहिजे.
उदाहरणार्थ, एखाद्या कर्मचाऱ्याला कामाच्या ठिकाणी जाण्याचा प्रयत्न केल्यास किंवा संवेदनशील माहिती विचारल्यास काय करावे.
काही वारंवार होणारे सायबर हल्ले खाली दिलेल्या सूचीमध्ये वर्णन केले आहेत:
- DDoS हल्ले
- फिशिंग हल्ला
- क्लिकजॅकिंग हल्ले
- Ransomware हल्ला
- मालवेअर हल्ला
- टेलगेटिंगला प्रतिसाद कसा द्यायचा
आक्रमण प्रतिकार तपासा
आपल्या कंपनीची चाचणी घेण्यासाठी नियंत्रित सामाजिक अभियांत्रिकी आक्रमण करा. खोटे फिशिंग ईमेल पाठवा आणि संलग्नक उघडणार्या, हानिकारक लिंकवर क्लिक करणार्या किंवा प्रतिक्रिया देणार्या कर्मचार्यांना हळूवारपणे फटकारणे.
सायबरसुरक्षा अयशस्वी म्हणून समजण्याऐवजी, ही उदाहरणे उच्च शैक्षणिक परिस्थिती म्हणून पाहिली पाहिजेत.
ऑपरेशन सुरक्षा
OPSEC ही मैत्रीपूर्ण वागणूक शोधण्याची एक पद्धत आहे जी भविष्यातील आक्रमणकर्त्यासाठी फायदेशीर असू शकते. OPSEC संवेदनशील किंवा महत्त्वाचा डेटा उघड करू शकते जर त्यावर योग्य प्रकारे प्रक्रिया केली गेली आणि इतर डेटासह गटबद्ध केले गेले.
तुम्ही OPSEC प्रक्रिया वापरून सामाजिक अभियंते मिळवू शकणार्या माहितीचे प्रमाण मर्यादित करू शकता.
डेटा लीक शोधा
फिशिंग प्रयत्नामुळे क्रेडेन्शियल उघड झाले आहेत की नाही हे जाणून घेणे आव्हानात्मक असू शकते.
तुमच्या कंपनीने सतत डेटा एक्सपोजर आणि लीक झालेली क्रेडेन्शियल शोधली पाहिजे कारण काही फिशर्सना ते जमवलेल्या क्रेडेन्शियलचा गैरफायदा घेण्यासाठी काही महिने किंवा वर्षे लागू शकतात.
मल्टी-फॅक्टर ऑथेंटिकेशन लागू करा
एक बहु-घटक प्रमाणीकरण पद्धत लागू करा ज्यासाठी वापरकर्त्यांकडे टोकन असणे आवश्यक आहे, पासवर्ड माहित असणे आवश्यक आहे आणि गंभीर स्त्रोतांमध्ये प्रवेश मिळविण्यासाठी त्यांचे बायोमेट्रिक्स असणे आवश्यक आहे.
तृतीय-पक्ष जोखीम व्यवस्थापन प्रणाली लागू करा
नवीन विक्रेते आणण्यापूर्वी किंवा सध्याच्या पुरवठादारांसोबत काम करणे सुरू ठेवण्यापूर्वी, तृतीय पक्षांचे जोखीम व्यवस्थापित करण्यासाठी एक प्रणाली तयार करा, एक विक्रेता व्यवस्थापन धोरण आणि आचार सायबर सुरक्षा धोका मूल्यांकन
विशेषत: डार्क वेबवर चोरीला गेलेला डेटा विकल्यानंतर, ते साफ करण्यापेक्षा डेटाचे उल्लंघन टाळणे खूप सोपे आहे.
विक्रेता जोखीम स्वयंचलितपणे व्यवस्थापित करू शकणारे सॉफ्टवेअर शोधा आणि नियमितपणे आपल्या विक्रेत्यांच्या सायबरसुरक्षा ट्रॅक, रँक आणि मूल्यांकन करू शकतात.
तुमची स्पॅम ईमेल प्राधान्ये सुधारित करा.
सामाजिक अभियांत्रिकीच्या प्रयत्नांपासून स्वतःचा बचाव करण्यासाठी तुमची ईमेल सेटिंग्ज बदलणे ही एक सोपी पद्धत आहे. सामाजिक अभियांत्रिकी घोटाळ्याचे ईमेल तुमच्या इनबॉक्सच्या बाहेर ठेवण्यासाठी तुम्ही तुमचे स्पॅम फिल्टर सुधारू शकता.
तुमच्या डिजिटल संपर्क सूचींमध्ये तुम्हाला माहीत असलेल्या व्यक्ती आणि संस्थांचे ईमेल पत्ते तुम्ही थेट जोडू शकता - कोणीही ते असल्याचे भासवत असेल परंतु भविष्यात वेगळा पत्ता वापरणारा बहुधा सामाजिक अभियंता असेल.
निष्कर्ष
शेवटी, सामाजिक अभियांत्रिकी हे एक सोपे तंत्र आहे ज्याचा उपयोग फसवणूक, फसवणूक किंवा इतर गुन्हे करण्यासाठी केला जाऊ शकतो. हे वैयक्तिकरित्या, फोनवर किंवा ऑनलाइन कोणालाही होऊ शकते.
सामाजिक अभियंते फार तांत्रिक असण्याची गरज नाही; त्यांना फक्त तुम्हाला खाजगी माहिती देण्यास सक्षम असणे आवश्यक आहे.
आपण सर्व धोक्यात असल्यामुळे ही एक संभाव्य विनाशकारी फसवणूक आहे. सोशल मीडियाने सोशल इंजिनीअर्सना खोटी खाती तयार करण्यास सक्षम करून अधिक धूर्त बनण्यास सक्षम केले आहे जे वास्तविक व्यक्तींसाठी चुकीचे आहे किंवा अगदी वास्तविक व्यक्तींची तोतयागिरी करू शकते.
सोशल मीडियावर विचित्र किंवा अपरिचित प्रोफाइल पाहताना नेहमी सावधगिरी बाळगा.
प्रत्युत्तर द्या