कैसे हमलावर वास्तव में हैक खाते और कैसे खुद को बचाने के लिए
लोग अपने ऑनलाइन खाते "हैक" होने की बात करते हैं, लेकिन वास्तव में यह हैकिंग कैसे होती है? वास्तविकता यह है कि खातों को काफी सरल तरीकों से हैक किया जाता है - हमलावर काले जादू का उपयोग नहीं करते हैं.
ज्ञान ही शक्ति है। यह समझना कि खातों से वास्तव में समझौता कैसे किया जाता है, आपको अपने खातों को सुरक्षित रखने में मदद कर सकता है और अपने पासवर्ड को पहली बार में "हैक" होने से रोक सकता है.
पुन: उपयोग करने वाले पासवर्ड, विशेष रूप से लीक हुए लोग
कई लोग - शायद यहां तक कि ज्यादातर लोग - अलग-अलग खातों के लिए पासवर्ड का पुन: उपयोग करते हैं। कुछ लोग अपने द्वारा उपयोग किए जाने वाले प्रत्येक खाते के लिए एक ही पासवर्ड का उपयोग भी कर सकते हैं। यह बेहद असुरक्षित है। कई वेबसाइटों - यहां तक कि बड़े, जाने-माने लोगों जैसे लिंक्डइन और ई-हार्मनी ने पिछले कुछ वर्षों में अपने पासवर्ड डेटाबेस को लीक कर दिया है। उपयोगकर्ता नाम और ईमेल पते के साथ लीक पासवर्ड के डेटाबेस आसानी से ऑनलाइन सुलभ हैं। हमलावर इन ईमेल पते, उपयोगकर्ता नाम और पासवर्ड संयोजन को अन्य वेबसाइटों पर आज़मा सकते हैं और कई खातों तक पहुंच प्राप्त कर सकते हैं.
आपके ईमेल खाते के लिए एक पासवर्ड का पुन: उपयोग करना आपको और भी अधिक जोखिम में डालता है, क्योंकि आपके ईमेल खाते का उपयोग आपके सभी अन्य पासवर्डों को रीसेट करने के लिए किया जा सकता है, अगर किसी हमलावर ने उस तक पहुंच प्राप्त कर ली है।.
हालाँकि आप अपने पासवर्ड को सुरक्षित कर रहे हैं, लेकिन आप यह नियंत्रित नहीं कर सकते कि आप अपने पासवर्ड को सुरक्षित रखने के लिए कितनी अच्छी सेवाओं का उपयोग करते हैं। यदि आप पासवर्ड का पुन: उपयोग करते हैं और एक कंपनी खिसक जाती है, तो आपके सभी खाते खतरे में पड़ जाएंगे। आपको हर जगह अलग-अलग पासवर्ड का उपयोग करना चाहिए - एक पासवर्ड मैनेजर इसकी मदद कर सकता है.
keyloggers
Keyloggers सॉफ़्टवेयर के दुर्भावनापूर्ण टुकड़े हैं जो पृष्ठभूमि में चल सकते हैं, जो आपके द्वारा किए गए प्रत्येक कुंजी स्ट्रोक को लॉग करते हैं। वे अक्सर क्रेडिट कार्ड नंबर, ऑनलाइन बैंकिंग पासवर्ड और अन्य खाता क्रेडेंशियल्स जैसे संवेदनशील डेटा को पकड़ने के लिए उपयोग किए जाते हैं। फिर वे इस डेटा को इंटरनेट पर एक हमलावर को भेजते हैं.
इस तरह के मैलवेयर शोषण के माध्यम से आ सकते हैं - उदाहरण के लिए, यदि आप जावा के पुराने संस्करण का उपयोग कर रहे हैं, जैसा कि इंटरनेट पर अधिकांश कंप्यूटर हैं, तो आपको एक वेब पेज पर जावा एप्लेट के माध्यम से समझौता किया जा सकता है। हालाँकि, वे अन्य सॉफ़्टवेयर में प्रच्छन्न भी आ सकते हैं। उदाहरण के लिए, आप ऑनलाइन गेम के लिए थर्ड-पार्टी टूल डाउनलोड कर सकते हैं। उपकरण दुर्भावनापूर्ण हो सकता है, आपके गेम पासवर्ड को कैप्चर कर सकता है और इसे इंटरनेट पर हमलावर को भेज सकता है.
एक सभ्य एंटीवायरस प्रोग्राम का उपयोग करें, अपने सॉफ़्टवेयर को अपडेट रखें, और अविश्वसनीय सॉफ़्टवेयर डाउनलोड करने से बचें.
सोशल इंजीनियरिंग
हमलावर आमतौर पर आपके खातों तक पहुंचने के लिए सोशल इंजीनियरिंग ट्रिक्स का उपयोग करते हैं। फ़िशिंग आमतौर पर सोशल इंजीनियरिंग का एक जाना-पहचाना रूप है - अनिवार्य रूप से, हमलावर किसी का प्रतिरूपण करता है और आपसे पासवर्ड मांगता है। कुछ उपयोगकर्ता अपने पासवर्ड को आसानी से सौंप देते हैं। यहां सोशल इंजीनियरिंग के कुछ उदाहरण दिए गए हैं:
- आपको एक ईमेल प्राप्त होता है जो आपके बैंक से होने का दावा करता है, आपको एक नकली बैंक वेबसाइट पर निर्देशित करता है और आपको अपना पासवर्ड भरने के लिए कहता है.
- आपको फेसबुक या किसी अन्य सोशल वेबसाइट पर एक उपयोगकर्ता से एक संदेश प्राप्त होता है जो आधिकारिक फेसबुक अकाउंट होने का दावा करता है, आपसे खुद को प्रमाणित करने के लिए अपना पासवर्ड भेजने के लिए कहता है।.
- आप एक ऐसी वेबसाइट पर जाते हैं, जो आपको कुछ मूल्यवान देने का वादा करती है, जैसे स्टीम पर मुफ्त गेम या वर्ल्ड ऑफ विक्टर में मुफ्त सोना। इस नकली इनाम को पाने के लिए, वेबसाइट को सेवा के लिए आपके उपयोगकर्ता नाम और पासवर्ड की आवश्यकता होती है.
इस बात से सावधान रहें कि आप अपना पासवर्ड किसको देते हैं - ईमेल में लिंक पर क्लिक न करें और अपने बैंक की वेबसाइट पर जाएं, अपना पासवर्ड किसी को भी न दें जो आपसे संपर्क करता है और उससे अनुरोध करता है, और अपने खाते को पहचान न दें वेबसाइटें, विशेष रूप से वे जो सच होने के लिए बहुत अच्छी दिखाई देती हैं.
सुरक्षा के सवालों का जवाब देना
सुरक्षा सवालों के जवाब देकर पासवर्ड को अक्सर रीसेट किया जा सकता है। सुरक्षा सवाल आम तौर पर अविश्वसनीय रूप से कमजोर होते हैं - अक्सर "आप कहाँ पैदा हुए थे?", "आप किस हाई स्कूल में गए थे?", और "आपकी माँ का पहला नाम क्या था?" जैसी चीजें। सार्वजनिक रूप से सुलभ सोशल नेटवर्किंग साइटों पर यह जानकारी प्राप्त करना बहुत आसान है, और अधिकांश सामान्य लोग आपको बताएंगे कि यदि उनसे पूछा गया तो वे किस हाई स्कूल में गए थे। इस आसानी से प्राप्त जानकारी के साथ, हमलावर अक्सर पासवर्ड रीसेट कर सकते हैं और खातों तक पहुंच प्राप्त कर सकते हैं.
आदर्श रूप से, आपको सुरक्षा प्रश्नों का उपयोग उन उत्तरों के साथ करना चाहिए जो आसानी से खोजे या अनुमान नहीं किए गए हैं। वेबसाइटों को भी लोगों को खाते में प्रवेश करने से सिर्फ इसलिए रोकना चाहिए क्योंकि वे कुछ सुरक्षा सवालों के जवाब जानते हैं, और कुछ - और - कुछ नहीं करते हैं.
ईमेल अकाउंट और पासवर्ड रीसेट करें
यदि कोई हमलावर आपके ईमेल खातों तक पहुंच प्राप्त करने के लिए उपरोक्त विधियों में से किसी का उपयोग करता है, तो आप बड़ी परेशानी में हैं। आपका ईमेल खाता आम तौर पर आपके मुख्य खाते के रूप में ऑनलाइन कार्य करता है। आपके द्वारा उपयोग किए जाने वाले अन्य सभी खाते इससे जुड़े हुए हैं, और ईमेल खाते तक पहुंच रखने वाला कोई भी व्यक्ति आपके ईमेल पते पर आपके द्वारा पंजीकृत किसी भी साइट पर अपना पासवर्ड रीसेट करने के लिए इसका उपयोग कर सकता है।.
इस कारण से, आपको अपने ईमेल खाते को यथासंभव सुरक्षित करना चाहिए। विशेष रूप से इसके लिए एक अद्वितीय पासवर्ड का उपयोग करना और इसे सावधानी से संरक्षित करना महत्वपूर्ण है.
पासवर्ड "हैकिंग" क्या नहीं है
ज्यादातर लोगों की संभावना है कि हमलावर हर संभव पासवर्ड को अपने ऑनलाइन खाते में लॉग इन करने की कोशिश कर रहे हैं। यह नहीं हो रहा है। यदि आपने किसी के ऑनलाइन खाते में प्रवेश करने की कोशिश की और पासवर्ड का अनुमान लगाना जारी रखा, तो आपको धीमा कर दिया जाएगा और एक से अधिक पासवर्ड की कोशिश करने से रोका जाएगा।.
यदि कोई हमलावर केवल पासवर्ड का अनुमान लगाकर एक ऑनलाइन खाते में जाने में सक्षम था, तो यह संभावना है कि पासवर्ड कुछ स्पष्ट था जो पहले कुछ प्रयासों पर अनुमान लगाया जा सकता है, जैसे कि "पासवर्ड" या व्यक्ति का पालतू जानवर का नाम।.
यदि हमलावर आपके डेटा तक स्थानीय पहुंच रखते हैं, तो केवल ऐसे ही क्रूर-बल तरीकों का उपयोग कर सकते हैं - उदाहरण के लिए, मान लें कि आप अपने ड्रॉपबॉक्स खाते में एक एन्क्रिप्टेड फ़ाइल संग्रहीत कर रहे थे और हमलावरों ने इस तक पहुंच प्राप्त कर ली और एन्क्रिप्टेड फ़ाइल डाउनलोड कर ली। फिर वे एन्क्रिप्शन को ब्रूट-फोर्स करने की कोशिश कर सकते थे, अनिवार्य रूप से एक काम करने तक हर एक पासवर्ड संयोजन की कोशिश कर रहे थे.
जो लोग कहते हैं कि उनके खातों को "हैक" किया गया है, वे पासवर्ड का फिर से उपयोग करने, कुंजी लकड़हारा स्थापित करने, या सोशल इंजीनियरिंग ट्रिक के बाद एक हमलावर को अपनी साख देने के लिए दोषी हैं। आसानी से अनुमान लगाए गए सुरक्षा प्रश्नों के परिणामस्वरूप उनका समझौता भी हो सकता है.
यदि आप उचित सुरक्षा सावधानी बरतते हैं, तो आपके खातों को "हैक" करना आसान नहीं होगा। दो-कारक प्रमाणीकरण का उपयोग करने से भी मदद मिल सकती है - एक हमलावर को अंदर जाने के लिए केवल आपके पासवर्ड से अधिक की आवश्यकता होगी.
इमेज क्रेडिट: फ्लर्ट पर रोबर्ट वैन डेर स्टिग, फ़्लिकर पर एसेनट