सोशल इंजीनियरिंग क्या है, और आप इससे कैसे बच सकते हैं?
मैलवेयर के बारे में चिंता करने का एकमात्र ऑनलाइन खतरा नहीं है। सोशल इंजीनियरिंग एक बहुत बड़ा खतरा है, और यह आपको किसी भी ऑपरेटिंग सिस्टम पर मार सकता है। वास्तव में, सोशल इंजीनियरिंग फोन पर और आमने-सामने की स्थितियों में भी हो सकती है.
सोशल इंजीनियरिंग के बारे में जागरूक होना और तलाश करना महत्वपूर्ण है। सुरक्षा कार्यक्रम आपको अधिकांश सामाजिक इंजीनियरिंग के खतरों से नहीं बचाएंगे, इसलिए आपको अपनी सुरक्षा करनी होगी.
सोशल इंजीनियरिंग समझाया
पारंपरिक कंप्यूटर-आधारित हमले अक्सर कंप्यूटर के कोड में भेद्यता खोजने पर निर्भर करते हैं। उदाहरण के लिए, यदि आप एडोब फ्लैश के आउट-ऑफ-डेट संस्करण का उपयोग कर रहे हैं - या, भगवान ना करे, जावा, जो कि सिस्को के अनुसार 2013 में 91% हमलों का कारण था - आप एक दुर्भावनापूर्ण वेबसाइट और उस वेबसाइट पर जा सकते हैं आपके कंप्यूटर तक पहुँच प्राप्त करने के लिए आपके सॉफ़्टवेयर में भेद्यता का शोषण करेगा। हमलावर सॉफ़्टवेयर में बग्स में हेरफेर कर रहा है ताकि निजी जानकारी हासिल की जा सके.
सोशल इंजीनियरिंग के ट्रिक अलग-अलग हैं क्योंकि इसमें मनोवैज्ञानिक हेरफेर शामिल है। दूसरे शब्दों में, वे लोगों का शोषण करते हैं, न कि उनके सॉफ्टवेयर का.
आपने शायद फ़िशिंग के बारे में पहले ही सुना होगा, जो सोशल इंजीनियरिंग का एक रूप है। आपको अपने बैंक, क्रेडिट कार्ड कंपनी या किसी अन्य विश्वसनीय व्यवसाय से होने का दावा करने वाला एक ईमेल प्राप्त हो सकता है। वे आपको एक असली की तरह दिखने के लिए प्रच्छन्न नकली वेबसाइट पर ले जा सकते हैं या आपको एक दुर्भावनापूर्ण प्रोग्राम डाउनलोड और इंस्टॉल करने के लिए कह सकते हैं। लेकिन इस तरह के सोशल-इंजीनियरिंग ट्रिक्स में नकली वेबसाइट या मालवेयर शामिल नहीं होते हैं। फ़िशिंग ईमेल बस आपको निजी जानकारी के साथ एक ईमेल उत्तर भेजने के लिए कह सकती है। एक सॉफ्टवेयर में बग का फायदा उठाने की कोशिश करने के बजाय, वे सामान्य मानवीय बातचीत का फायदा उठाने की कोशिश करते हैं। स्पीयर फ़िशिंग और भी खतरनाक हो सकती है, क्योंकि यह विशिष्ट व्यक्तियों को लक्षित करने के लिए डिज़ाइन किए गए फ़िशिंग का एक रूप है.
सोशल इंजीनियरिंग के उदाहरण
चैट सेवाओं और ऑनलाइन गेम्स में एक लोकप्रिय ट्रिक है, "एडमिनिस्ट्रेटर" जैसे नाम के साथ एक खाता पंजीकृत करना और लोगों को डरावने संदेश भेजना जैसे "चेतावनी: हमने पाया है कि कोई व्यक्ति आपका खाता हैक कर सकता है, अपने आप को प्रमाणित करने के लिए अपने पासवर्ड के साथ जवाब दें।" यदि कोई लक्ष्य उनके पासवर्ड के साथ प्रतिक्रिया करता है, तो वे चाल के लिए गिर गए हैं और हमलावर के पास अब अपना खाता पासवर्ड है.
यदि किसी के पास आपकी व्यक्तिगत जानकारी है, तो वे इसका उपयोग आपके खातों तक पहुंच प्राप्त करने के लिए कर सकते हैं। उदाहरण के लिए, आपकी जन्मतिथि, सामाजिक सुरक्षा संख्या और क्रेडिट कार्ड नंबर जैसी जानकारी का उपयोग अक्सर आपकी पहचान करने के लिए किया जाता है। यदि किसी को यह जानकारी है, तो वे किसी व्यवसाय से संपर्क कर सकते हैं और आप होने का दिखावा कर सकते हैं। यह चाल प्रसिद्ध रूप से एक हमलावर द्वारा सारा पॉलिन के याहू तक पहुंच प्राप्त करने के लिए इस्तेमाल की गई थी! 2008 में मेल खाता, Yahoo के पासवर्ड रिकवरी फॉर्म के माध्यम से खाते तक पहुंच प्राप्त करने के लिए पर्याप्त व्यक्तिगत विवरण प्रस्तुत करना। यदि आपको व्यक्तिगत जानकारी की आवश्यकता होती है, तो फ़ोन का उपयोग करने के लिए उसी विधि का उपयोग किया जा सकता है। एक लक्ष्य पर कुछ जानकारी के साथ एक हमलावर उन्हें होने का नाटक कर सकता है और अधिक चीजों तक पहुंच प्राप्त कर सकता है.
सामाजिक इंजीनियरिंग का उपयोग व्यक्ति में भी किया जा सकता है। एक हमलावर एक व्यवसाय में चल सकता है, सचिव को सूचित कर सकता है कि वे एक आधिकारिक व्यक्ति, नए कर्मचारी या अग्नि निरीक्षक हैं जो एक आधिकारिक और आश्वस्त स्वर में हैं, और फिर हॉल में घूमते हैं और कॉर्पोरेट जासूसी करने के लिए गोपनीय डेटा या संयंत्र कीड़े चोरी करते हैं। यह ट्रिक हमलावर पर निर्भर करता है कि वह खुद को किसी ऐसे व्यक्ति के रूप में पेश कर रहा है जो वे नहीं हैं। यदि कोई सचिव, डोरमैन, या अन्य जो भी प्रभारी है, बहुत अधिक प्रश्न नहीं पूछते हैं या बहुत बारीकी से देखते हैं, तो चाल सफल होगी.
सोशल-इंजीनियरिंग हमलों में फर्जी वेबसाइटों, धोखाधड़ी वाले ईमेल, और नापाक चैट संदेशों की सीमा होती है, जो किसी को फोन या इन-पर्सन पर किसी को लागू करने के लिए संदेश भेजते हैं। ये हमले विभिन्न प्रकार के रूपों में आते हैं, लेकिन इन सभी में एक चीज समान है - वे मनोवैज्ञानिक प्रवंचना पर निर्भर हैं। सोशल इंजीनियरिंग को मनोवैज्ञानिक हेरफेर की कला कहा गया है। यह मुख्य तरीकों में से एक है "हैकर्स" वास्तव में ऑनलाइन "हैक" खाते हैं.
सोशल इंजीनियरिंग से कैसे बचें
सोशल इंजीनियरिंग मौजूद है यह जानकर आपको इससे लड़ने में मदद मिल सकती है। अनचाहे ईमेल, चैट संदेश और फोन कॉल पर संदेह करें जो निजी जानकारी मांगते हैं। ईमेल पर कभी भी वित्तीय जानकारी या महत्वपूर्ण व्यक्तिगत जानकारी का खुलासा न करें। संभावित खतरनाक ईमेल अटैचमेंट डाउनलोड न करें और उन्हें चलाएं, भले ही ईमेल दावा करें कि वे महत्वपूर्ण हैं.
आपको संवेदनशील वेबसाइटों पर ईमेल में लिंक का पालन नहीं करना चाहिए। उदाहरण के लिए, आपके बैंक से प्रतीत होने वाले ईमेल में लिंक पर क्लिक न करें और लॉग-इन करें। यह आपके बैंक की साइट के रूप में प्रच्छन्न एक नकली फ़िशिंग साइट पर ले जा सकता है, लेकिन एक अलग URL के साथ। इसके बजाय सीधे वेबसाइट पर जाएं.
यदि आपको एक संदिग्ध अनुरोध प्राप्त होता है - उदाहरण के लिए, आपके बैंक से एक फोन कॉल व्यक्तिगत जानकारी मांगता है - सीधे अनुरोध के स्रोत से संपर्क करें और पुष्टि के लिए पूछें। इस उदाहरण में, आप अपने बैंक को कॉल करेंगे और पूछेंगे कि वे उस व्यक्ति को जानकारी देने के बजाय क्या चाहते हैं जो आपके बैंक होने का दावा करता है.
ईमेल प्रोग्राम, वेब ब्राउज़र और सुरक्षा सुइट्स में आम तौर पर फ़िशिंग फ़िल्टर होते हैं जो आपको एक फ़िशिंग साइट पर जाने पर चेतावनी देंगे। जब आप किसी ज्ञात फ़िशिंग साइट पर जाते हैं या एक फ़िशिंग ईमेल प्राप्त करते हैं, तो वे आपको चेतावनी दे सकते हैं, और वे सभी फ़िशिंग साइटों या ईमेलों के बारे में नहीं जानते हैं। अधिकांश भाग के लिए, यह आप पर निर्भर है कि आप अपनी सुरक्षा कैसे करें - सुरक्षा कार्यक्रम केवल थोड़ी मदद कर सकते हैं.
निजी डेटा और कुछ और जो सामाजिक-इंजीनियरिंग हमला हो सकता है, के अनुरोधों से निपटने के लिए एक स्वस्थ संदेह का उपयोग करना एक अच्छा विचार है। संदेह और सावधानी ऑनलाइन और ऑफलाइन दोनों तरीके से आपकी रक्षा करने में मदद करेगी.
छवि क्रेडिट: फ़्लिकर पर जेफ टर्नेट
