کی میز کے مندرجات[چھپائیں][دکھائیں]
اگرچہ زیادہ تر سائبر مجرم ہنر مند ہیرا پھیری کرتے ہیں، اس کا مطلب یہ نہیں ہے کہ وہ ہمیشہ ہنر مند تکنیکی ہیرا پھیری کرتے ہیں۔ دوسرے سائبر کرائمین لوگوں کو جوڑ توڑ کے عمل کو ترجیح دیتے ہیں۔
دوسرے لفظوں میں، وہ سوشل انجینئرنگ کو اپناتے ہیں، جو کہ انسانی فطرت میں موجود خامیوں کا فائدہ اٹھا کر سائبر حملہ شروع کرنے کا رواج ہے۔
سوشل انجینئرنگ کے ایک سیدھے سادے معاملے میں، ایسا ہو سکتا ہے اگر کوئی سائبر کرائمین کسی IT ماہر کی نقالی کرتا ہے اور آپ کے سسٹم میں سیکیورٹی ہول کو ٹھیک کرنے کے لیے آپ کے لاگ ان کی تفصیلات طلب کرتا ہے۔
اگر آپ معلومات دیتے ہیں، تو آپ نے ابھی ایک برے شخص کو اپنے اکاؤنٹ تک رسائی دی ہے، یہاں تک کہ اسے آپ کے ای میل یا کمپیوٹر تک رسائی کی فکر کرنے کی ضرورت نہیں ہے۔
ہر حفاظتی سلسلہ میں، ہم تقریباً عام طور پر سب سے کمزور کڑی ہوتے ہیں کیونکہ ہم مختلف قسم کی چالوں کا شکار ہوتے ہیں۔ سماجی انجینئرنگ کی تکنیک متاثرین کو نجی معلومات کو ظاہر کرنے کے لیے دھوکہ دینے کے لیے لوگوں میں اس کمزوری کا فائدہ اٹھاتی ہے۔
سوشل انجینئرنگ ہمیشہ تیار ہوتی رہتی ہے، جیسا کہ سائبر خطرات کی اکثریت ہے۔
اس آرٹیکل میں، ہم سوشل انجینئرنگ کی موجودہ حالت، مختلف قسم کے حملوں کے بارے میں بات کریں گے، اور انتباہی علامات پر غور کریں گے۔
آئیے سوشل انجینئرنگ کا تعارف شروع کرتے ہیں۔
سوشل انجینئرنگ کیا ہے؟
کمپیوٹنگ میں سوشل انجینئرنگ سے مراد وہ تکنیک ہے جو سائبر مجرم متاثرین کو مشکوک کارروائی کرنے کے لیے استعمال کرتے ہیں، جس میں اکثر سیکیورٹی کی خلاف ورزی، رقم کی منتقلی، یا ذاتی معلومات کا افشاء شامل ہوتا ہے۔
یہ سرگرمیاں اکثر منطق کو چیلنج کرتی ہیں اور ہمارے بہتر فیصلے کے خلاف جاتی ہیں۔
تاہم، دھوکہ دہی کرنے والے ہمیں قائل کر سکتے ہیں کہ منطقی طور پر سوچنا چھوڑ دیں اور جبلت پر عمل کرنا شروع کر دیں اس کے بارے میں سوچے بغیر کہ ہم اپنے جذبات کو جوڑ کر کیا کر رہے ہیں — مثبت اور منفی دونوں — جیسے غصہ، خوف اور محبت۔
سیدھے الفاظ میں، سوشل انجینئرنگ یہ ہے کہ ہیکرز ہمارے دماغوں سے کس طرح سمجھوتہ کرتے ہیں، بالکل اسی طرح جیسے وہ میلویئر اور وائرس کے ساتھ ہماری مشینوں سے سمجھوتہ کرتے ہیں۔
حملہ آور اکثر سوشل انجینئرنگ کا استعمال کرتے ہیں کیونکہ نیٹ ورک یا سافٹ ویئر کی کمزوری کی نشاندہی کرنے کے مقابلے میں لوگوں سے فائدہ اٹھانا اکثر آسان ہوتا ہے۔
چونکہ مجرموں اور ان کے متاثرین کو کبھی بھی ذاتی طور پر بات چیت نہیں کرنی پڑتی ہے، اس لیے سوشل انجینئرنگ ہمیشہ ایک وسیع تر گھوٹالے کا حصہ ہوتی ہے۔
متاثرین کو حاصل کرنا: عام طور پر بڑا مقصد ہے:
- ان کے اسمارٹ فون پر بدنیتی پر مبنی سافٹ ویئر۔
- اپنا صارف نام اور پاس ورڈ ترک کر دیں۔
- نقصان دہ پلگ ان، ایکسٹینشن، یا فریق ثالث کی درخواست کے لیے اجازت دیں۔
- منی آرڈر، الیکٹرانک فنڈ ٹرانسفر، یا گفٹ کارڈز کے ذریعے رقم بھیجیں۔
- غیر قانونی رقم کی ترسیل اور لانڈرنگ کے لیے پیسے کے خچر کا کردار ادا کریں۔
سوشل انجینئرنگ کی تکنیک مجرموں کے ذریعہ استعمال کی جاتی ہے کیونکہ دوسروں پر بھروسہ کرنے کے اپنے موروثی رجحان کا فائدہ اٹھانا اکثر آسان ہوتا ہے اس سے کہ یہ معلوم کرنا کہ آپ کے پروگرام کو کیسے ہیک کیا جائے۔
مثال کے طور پر، جب تک کہ پاس ورڈ واقعی کمزور نہ ہو، کسی کو آپ کو اپنا پاس ورڈ بتانے کے لیے دھوکہ دینا اس کو ہیک کرنے کی کوشش کرنے سے کہیں زیادہ آسان ہے۔
سوشل انجینئرنگ کیسے کام کرتی ہے؟
سوشل انجینئرز متعدد حکمت عملیوں کا استعمال کرتے ہوئے سائبر حملے کرتے ہیں۔ زیادہ تر سوشل انجینئرنگ حملے حملہ آور کے شکار پر تحقیق اور تحقیق کرنے سے شروع ہوتے ہیں۔
مثال کے طور پر، اگر ہدف ایک انٹرپرائز ہے، تو ہیکر کمپنی کے تنظیمی ڈھانچے، اندرونی عمل، صنعت کی اصطلاح، ممکنہ کاروباری شراکت داروں اور دیگر تفصیلات کے بارے میں جان سکتا ہے۔
کم درجے کے ابھی تک ابتدائی رسائی کے حامل کارکنوں کے اعمال اور عادات پر توجہ مرکوز کرنا، جیسے سیکیورٹی گارڈ یا ریسپشنسٹ، سوشل انجینئرز کے ذریعے استعمال کی جانے والی ایک حکمت عملی ہے۔
حملہ آور تلاش کر سکتے ہیں۔ سوشل میڈیا ذاتی معلومات کا اکاؤنٹ بناتا ہے اور آن لائن اور ذاتی طور پر ان کے رویے کا مشاہدہ کرتا ہے۔
سوشل انجینئر اگلا حملہ کی منصوبہ بندی کرنے اور جاسوسی کے مرحلے کے دوران دریافت ہونے والی خامیوں سے فائدہ اٹھانے کے لیے جمع کیے گئے شواہد کا استعمال کر سکتا ہے۔
اگر واقعتاً حملہ ہوتا ہے تو حملہ آور کو محفوظ نظام یا نیٹ ورکس، اہداف سے رقم، یا نجی ڈیٹا تک رسائی جیسے سوشل سیکیورٹی نمبر، کریڈٹ کارڈ کی تفصیلات، یا بینکنگ کی تفصیلات مل سکتی ہیں۔
سوشل انجینئرنگ حملوں کی عام اقسام
سوشل انجینئرنگ میں استعمال ہونے والی عام تکنیکوں کے بارے میں سیکھنا اپنے آپ کو سوشل انجینئرنگ کے حملے سے بچانے کے لیے سب سے بڑی حکمت عملیوں میں سے ایک ہے۔
آج کل، سوشل انجینئرنگ عام طور پر آن لائن ہوتی ہے، بشمول سوشل میڈیا گھوٹالوں کے ذریعے، جب حملہ آور حساس معلومات کے افشاء کرنے کے لیے متاثرین کو دھوکہ دینے کے لیے کسی قابل اعتماد ذریعہ یا اعلیٰ عہدے دار کی شناخت کرلیتے ہیں۔
یہاں کچھ دوسرے مروجہ سوشل انجینئرنگ حملے ہیں:
فریب دہی
فشنگ ایک قسم کا سوشل انجینئرنگ طریقہ ہے جس میں مواصلات کو بھیس میں رکھا جاتا ہے تاکہ وہ ایک قابل اعتماد ذریعہ سے نظر آئیں۔
یہ مواصلات، جو اکثر ای میلز ہوتے ہیں، کا مقصد متاثرین کو ذاتی یا مالی معلومات کا انکشاف کرنے کے لیے دھوکہ دینا ہوتا ہے۔
آخر کار، ہمیں اپنے کسی دوست، خاندان کے رکن، یا کمپنی جس کو ہم جانتے ہیں، کی ای میل کی قانونی حیثیت پر شک کیوں کرنا چاہئے؟ دھوکہ باز اس اعتماد کا فائدہ اٹھاتے ہیں۔
ماہی گیری
وِشنگ فشنگ حملہ کی ایک پیچیدہ قسم ہے۔ اسے "وائس فشنگ" کے نام سے بھی جانا جاتا ہے۔ ان حملوں میں، ایک فون نمبر کو مستند معلوم ہونے کے لیے اکثر جعلی بنایا جاتا ہے - حملہ آور IT عملہ، ساتھی کارکن، یا بینکرز کے طور پر ظاہر ہو سکتے ہیں۔
کچھ حملہ آور اپنی شناخت کو مزید دھندلا دینے کے لیے آواز بدلنے والوں کو ملازم رکھ سکتے ہیں۔
نیزہ سازی
بڑی کمپنیاں یا خاص لوگ اسپیئر فشنگ کا نشانہ ہیں، ایک طرح کا سوشل انجینئرنگ حملہ۔ سپیئر فشنگ حملوں کا ہدف مضبوط افراد یا چھوٹے گروپ ہوتے ہیں، جیسے کاروباری رہنما اور عوامی شخصیات۔
سوشل انجینئرنگ کے حملے کی یہ شکل اکثر اچھی طرح سے تحقیق کی جاتی ہے اور دھوکہ دہی سے چھپائی جاتی ہے، جس کی وجہ سے اس کی نشاندہی کرنا مشکل ہو جاتا ہے۔
سگریٹ نوشی
Smishing ایک قسم کا فشنگ حملہ ہے جو ٹیکسٹ (SMS) پیغامات کو مواصلات کے ذریعہ کے طور پر استعمال کرتا ہے۔ کلک کرنے کے لیے نقصان دہ URLs پیش کرنے یا رابطہ کرنے کے لیے فون نمبرز پیش کرنے سے، یہ حملے عام طور پر اپنے متاثرین سے فوری کارروائی کا مطالبہ کرتے ہیں۔
متاثرین کو اکثر نجی معلومات فراہم کرنے کے لیے کہا جاتا ہے جسے حملہ آور ان کے خلاف استعمال کر سکتے ہیں۔
متاثرین کو تیزی سے کام کرنے اور حملہ کرنے پر آمادہ کرنے کے لیے، مسکراتے ہوئے حملے اکثر عجلت کے احساس کو پیش کرتے ہیں۔
سکور ویئر
جعلی سیکیورٹی سافٹ ویئر انسٹال کرنے یا میلویئر سے متاثرہ ویب سائٹس تک رسائی حاصل کرنے کے لیے لوگوں کو خوفزدہ کرنے کے لیے سوشل انجینئرنگ کے استعمال کو اسکیئر ویئر کے نام سے جانا جاتا ہے۔
Scareware عام طور پر پاپ اپ ونڈو کے طور پر ظاہر ہوتا ہے جو آپ کے لیپ ٹاپ سے مبینہ کمپیوٹر انفیکشن کو ختم کرنے میں آپ کی مدد کرنے کی پیشکش کرتا ہے۔ پاپ اپ پر کلک کرنے سے، آپ غیر ارادی طور پر مزید میلویئر انسٹال کر سکتے ہیں یا کسی خطرناک ویب سائٹ پر بھیجے جا سکتے ہیں۔
اگر آپ کو لگتا ہے کہ آپ کے پاس خوفناک سامان یا کوئی اور دخل اندازی کرنے والا پاپ اپ ہے تو اکثر اپنے کمپیوٹر کو اسکین کرنے کے لیے ایک قابل اعتماد وائرس کے خاتمے کا پروگرام استعمال کریں۔ ڈیجیٹل حفظان صحت کے لیے وقتاً فوقتاً خطرات کے لیے آپ کے آلے کی جانچ کرنا ضروری ہے۔
یہ مستقبل کے سوشل انجینئرنگ حملوں کو روکنے کے ذریعے آپ کی ذاتی معلومات کی حفاظت میں بھی مدد کر سکتا ہے۔
بیٹنگ
سوشل انجینئرنگ کے حملے آف لائن بھی شروع ہو سکتے ہیں۔ ضروری نہیں کہ وہ آن لائن شروع کیے جائیں۔
بیٹنگ ایک حملہ آور کا میلویئر سے متاثرہ شے، جیسے کہ USB ڈرائیو، ایسی جگہ چھوڑنے کا عمل ہے جہاں اس کے دریافت ہونے کا امکان ہو۔ دلچسپی پیدا کرنے کے لیے ان آلات کو اکثر مقصد کے مطابق برانڈ کیا جاتا ہے۔
ایک صارف جو تجسس یا لالچ میں گیجٹ اٹھاتا ہے اور اسے اپنے کمپیوٹر میں رکھتا ہے غیر ارادی طور پر اس مشین کو وائرس سے متاثر ہونے کا خطرہ ہے۔
وہیلنگ
تباہ کن نتائج کے ساتھ، سب سے زیادہ جرات مندانہ فشنگ کوششوں میں سے ایک وہیلنگ ہے۔ اس قسم کے سوشل انجینئرنگ حملے کا عام ہدف ایک واحد، اعلیٰ قدر والا شخص ہے۔
اصطلاح "CEO فراڈ" کبھی کبھار وہیلنگ کو بیان کرنے کے لیے استعمال ہوتی ہے، جو آپ کو ہدف کا اشارہ دیتی ہے۔
چونکہ وہ مؤثر طریقے سے کاروباری جیسا مناسب لہجہ اپناتے ہیں اور اندرونی صنعت کے علم کو اپنے فائدے کے لیے استعمال کرتے ہیں، اس لیے وہیل کے حملوں کو دوسرے فشنگ حملوں کے مقابلے میں تلاش کرنا زیادہ مشکل ہے۔
پری ٹیکسٹنگ
بہانہ کرنا ایک جھوٹی صورت حال، یا "بہانہ" بنانے کا عمل ہے جسے فنکار اپنے متاثرین کو دھوکہ دینے کے لیے استعمال کرتے ہیں۔
بہانہ کرنے والے حملے، جو آف لائن یا آن لائن ہوسکتے ہیں، سوشل انجینئرنگ کی کامیاب ترین تکنیکوں میں سے ہیں کیونکہ حملہ آور خود کو قابل اعتماد ظاہر کرنے کے لیے بہت زیادہ کوششیں کرتے ہیں۔
اجنبیوں کے سامنے نجی معلومات کا انکشاف کرتے وقت محتاط رہیں کیونکہ کسی بہانے کی دھوکہ دہی کو تلاش کرنا مشکل ہو سکتا ہے۔
سوشل انجینئرنگ کی کوشش کو مسترد کرنے کے لیے، اگر کوئی آپ کو فوری ضرورت کے بارے میں فون کرتا ہے تو براہ راست کمپنی سے رابطہ کریں۔
ہنی ٹریپ
ہنی ٹریپ ایک قسم کا سوشل انجینئرنگ طریقہ ہے جس میں حملہ آور شکار کو غیر محفوظ جنسی ماحول کی طرف مائل کرتا ہے۔
حملہ آور پھر حالات کا فائدہ اٹھا کر بلیک میل کرتا ہے یا جنسی زیادتی میں ملوث ہوتا ہے۔ اس جھوٹے بہانے کے ساتھ سپیم ای میلز بھیج کر کہ وہ "آپ کو آپ کے کیمرے کے ذریعے دیکھ رہے ہیں" یا اتنی ہی مذموم چیز، سوشل انجینئرز اکثر شہد کے جال بچھاتے ہیں۔
اگر آپ کو اس طرح کا پیغام ملتا ہے تو یقینی بنائیں کہ آپ کا ویب کیم محفوظ ہے۔
پھر، صرف کمپوزڈ رہیں اور جواب دینے سے گریز کریں، کیونکہ یہ ای میلز اسپام سے زیادہ کچھ نہیں ہیں۔
Quid Pro Quo
لاطینی کا مطلب ہے "کچھ کے بدلے کچھ،" اس مثال میں اس سے مراد شکار کو ان کے تعاون کے بدلے میں انعام ملتا ہے۔
ایک بہترین مثال وہ ہے جب ہیکرز آئی ٹی اسسٹنٹ کے طور پر ظاہر ہوتے ہیں۔ وہ کسی فرم میں زیادہ سے زیادہ ملازمین کو فون کریں گے اور ایک آسان حل ہونے کا دعویٰ کریں گے، اور مزید کہا کہ "آپ کو صرف اپنے AV کو غیر فعال کرنے کی ضرورت ہے۔"
جو بھی اس کا شکار ہو جاتا ہے اس کے کمپیوٹر پر رینسم ویئر یا دیگر وائرس انسٹال ہوتے ہیں۔
ٹیل گیٹنگ
ٹیل گیٹنگ، جسے پگی بیکنگ بھی کہا جاتا ہے، اس وقت ہوتا ہے جب ہیکر کسی محفوظ عمارت میں درست رسائی کارڈ کا استعمال کرتے ہوئے کسی شخص کا پیچھا کرتا ہے۔
اس حملے کو انجام دینے کے لیے، یہ خیال کیا جاتا ہے کہ جس شخص کو عمارت میں داخل ہونے کی اجازت ہے، وہ اتنا خیال رکھتا ہو گا کہ وہ اپنے پیچھے آنے والے شخص کے لیے دروازہ کھلا رکھے۔
آپ سوشل انجینئرنگ کے حملوں کو کیسے روک سکتے ہیں؟
ان روک تھام کے اقدامات کو استعمال کرنے سے، آپ اور آپ کے عملے کو سوشل انجینئرنگ کے حملوں سے بچنے کا بہترین موقع ملے گا۔
ملازمین کو تعلیم دیں۔
سوشل انجینئرنگ کے حملوں میں ملازمین کی کمی کی بنیادی وجہ لاعلمی ہے۔ اہلکاروں کو یہ سکھانے کے لیے کہ خلاف ورزی کی عام کوششوں پر کیسے رد عمل ظاہر کیا جائے، تنظیموں کو حفاظتی آگاہی کی تربیت پیش کرنی چاہیے۔
مثال کے طور پر، اگر کوئی ملازم کو کام کی جگہ پر لے جانے کی کوشش کرے یا حساس معلومات طلب کرے تو کیا کرنا چاہیے۔
اکثر سائبر حملوں میں سے کچھ کو ذیل کی فہرست میں بیان کیا گیا ہے:
- DDoS حملوں
- ماہی گیری کے حملوں
- کلک جیکنگ حملے
- Ransomware حملوں
- میلویئر کے حملے
- ٹیلگیٹنگ کا جواب کیسے دیں۔
حملے کے خلاف مزاحمت کی جانچ کریں۔
اسے جانچنے کے لیے اپنی کمپنی پر کنٹرول شدہ سوشل انجینئرنگ حملے کریں۔ جھوٹی فشنگ ای میلز بھیجیں، اور عملے کے ارکان کو نرمی سے ملامت کریں جو اٹیچمنٹ کھولتے ہیں، نقصان دہ لنکس پر کلک کرتے ہیں، یا رد عمل ظاہر کرتے ہیں۔
سائبر سیکیورٹی کی ناکامیوں کے طور پر سمجھنے کے بجائے، ان مثالوں کو انتہائی تعلیمی حالات کے طور پر دیکھا جانا چاہیے۔
آپریشن سیکیورٹی
OPSEC دوستانہ رویے کی نشاندہی کرنے کا ایک طریقہ ہے جو مستقبل کے حملہ آور کے لیے فائدہ مند ہو سکتا ہے۔ OPSEC حساس یا اہم ڈیٹا کو ظاہر کر سکتا ہے اگر اسے مناسب طریقے سے پروسیس کیا جائے اور دوسرے ڈیٹا کے ساتھ گروپ کیا جائے۔
آپ OPSEC طریقہ کار کو استعمال کرکے سوشل انجینئرز حاصل کرنے والی معلومات کی مقدار کو محدود کرسکتے ہیں۔
ڈیٹا لیکس تلاش کریں۔
یہ جاننا کہ آیا کسی فریب دہی کی کوشش کے نتیجے میں اسناد سامنے آئی ہیں، مشکل ہو سکتا ہے۔
آپ کی کمپنی کو ڈیٹا کی نمائش اور لیک ہونے والی اسناد کی مسلسل تلاش کرنی چاہیے کیونکہ کچھ فشرز کو ان کی جمع کردہ اسناد سے فائدہ اٹھانے میں مہینوں یا سال بھی لگ سکتے ہیں۔
ملٹی فیکٹر تصدیق کو لاگو کریں۔
ایک ملٹی فیکٹر توثیق کا طریقہ نافذ کریں جس کے لیے صارفین کو ضروری وسائل تک رسائی حاصل کرنے کے لیے ٹوکن، پاس ورڈ جاننے اور اپنے بایومیٹرکس رکھنے کی ضرورت ہے۔
تیسرے فریق کے رسک مینجمنٹ سسٹم کو نافذ کریں۔
نئے وینڈرز کو لانے یا موجودہ سپلائرز کے ساتھ کام جاری رکھنے سے پہلے، فریق ثالث کے خطرات کے انتظام کے لیے ایک نظام بنائیں، وینڈر مینجمنٹ پالیسی، اور سائبر سیکیورٹی کا خطرہ تشخیص کے.
خاص طور پر ڈارک ویب پر چوری شدہ ڈیٹا فروخت ہونے کے بعد، ڈیٹا کی خلاف ورزیوں سے بچنا ان کو صاف کرنے کے بجائے کافی آسان ہے۔
ایسا سافٹ ویئر تلاش کریں جو خود بخود وینڈر کے خطرے کا انتظام کر سکے اور آپ کے وینڈرز کی سائبر سیکیورٹی کو باقاعدگی سے ٹریک، رینک اور جانچ سکے۔
اپنی اسپام ای میل کی ترجیحات میں ترمیم کریں۔
اپنی ای میل کی ترتیبات کو تبدیل کرنا سوشل انجینئرنگ کی کوششوں سے اپنے آپ کو بچانے کے آسان ترین طریقوں میں سے ایک ہے۔ سوشل انجینئرنگ اسکیم ای میلز کو اپنے ان باکس سے باہر رکھنے کے لیے آپ اپنے اسپام فلٹرز کو بہتر بنا سکتے ہیں۔
آپ ان افراد اور تنظیموں کے ای میل پتے بھی براہ راست شامل کر سکتے ہیں جنہیں آپ جانتے ہیں کہ آپ کی ڈیجیٹل رابطہ فہرستوں میں حقیقی ہیں - کوئی بھی ان کے ہونے کا بہانہ کر رہا ہے لیکن مستقبل میں مختلف ایڈریس استعمال کرنے والا زیادہ تر ممکنہ طور پر سوشل انجینئر ہے۔
نتیجہ
آخر میں، سوشل انجینئرنگ ایک سادہ تکنیک ہے جسے دھوکہ دہی، دھوکہ دہی، یا دیگر جرائم کے ارتکاب کے لیے استعمال کیا جا سکتا ہے۔ یہ ذاتی طور پر، فون پر، یا آن لائن کسی کو بھی ہو سکتا ہے۔
سوشل انجینئرز کو زیادہ تکنیکی ہونے کی ضرورت نہیں ہے۔ انہیں صرف آپ کو نجی معلومات دینے کے قابل ہونے کی ضرورت ہے۔
یہ ایک ممکنہ طور پر تباہ کن دھوکہ ہے کیونکہ ہم سب خطرے میں ہیں۔ سوشل میڈیا نے سوشل انجینئرز کو جھوٹے اکاؤنٹس بنانے کے قابل بنا کر مزید ہوشیار بننے کے قابل بنا دیا ہے جو حقیقی کے لیے غلطی کرنا آسان ہیں یا حقیقی افراد کی نقالی کرنے کے لیے بھی آسان ہیں۔
سوشل میڈیا پر عجیب یا غیر مانوس پروفائلز دیکھتے وقت ہمیشہ احتیاط برتیں۔
جواب دیجئے