स्पीयर फ़िशिंग क्या है, और यह बड़े निगमों को कैसे नीचे ले जाता है?
यह खबर सरकारों, बड़े निगमों और राजनीतिक कार्यकर्ताओं के खिलाफ इस्तेमाल किए जा रहे "स्पीयर-फ़िशिंग हमलों" की खबरों से भरी है। कई रिपोर्टों के अनुसार, स्पीयर-फ़िशिंग हमले अब कॉरपोरेट नेटवर्क से सबसे आम तरीके से समझौता किए जाते हैं.
स्पीयर-फ़िशिंग फ़िशिंग का एक नया और अधिक खतरनाक रूप है। एक कास्टिंग के बजाय सभी में कुछ भी पकड़ने की उम्मीद में एक व्यापक जाल, भाला-फ़िशर एक सावधानीपूर्वक हमले को शिल्प करता है और इसे व्यक्तिगत लोगों या एक विशिष्ट विभाग को लक्षित करता है।.
फिशिंग समझाया
फ़िशिंग किसी भरोसेमंद को आपकी जानकारी प्राप्त करने का प्रयास करने और प्राप्त करने के लिए प्रतिरूपण करने की प्रथा है। उदाहरण के लिए, कोई फ़िशर स्पैम ईमेल भेज सकता है, जो बैंक ऑफ़ अमेरिका से होने का दिखावा करता है, आपको एक लिंक पर क्लिक करने के लिए कहता है, एक नकली बैंक ऑफ़ अमेरिका की वेबसाइट (फ़िशिंग साइट) पर जाएँ, और अपना बैंकिंग विवरण दर्ज करें.
फ़िशिंग केवल ईमेल तक सीमित नहीं है, हालाँकि। एक फ़िशर स्काइप पर "स्काइप सपोर्ट" जैसे चैट नाम को पंजीकृत कर सकता है और स्काइप संदेशों के माध्यम से आपसे संपर्क कर सकता है, कह सकता है कि आपके खाते से छेड़छाड़ की गई थी और उन्हें आपकी पहचान सत्यापित करने के लिए आपके पासवर्ड या क्रेडिट कार्ड नंबर की आवश्यकता थी। यह ऑनलाइन गेम में भी किया गया है, जहां स्कैमर्स गेम एडमिनिस्ट्रेटर को इंपैक्ट करते हैं और आपके पासवर्ड के लिए मैसेज भेजते हैं, जिसका इस्तेमाल वे आपका अकाउंट चुराने के लिए करते हैं। फोन पर फ़िशिंग भी हो सकती है। अतीत में, आपको Microsoft से दावा करने वाले फ़ोन कॉल प्राप्त हो सकते हैं और कह सकते हैं कि आपके पास एक वायरस है जिसे आपको निकालने के लिए भुगतान करना होगा.
फिशर्स आमतौर पर एक बहुत व्यापक जाल डालते हैं। एक बैंक ऑफ़ अमेरिका फ़िशिंग ईमेल लाखों लोगों को भेजा जा सकता है, यहां तक कि ऐसे लोग जिनके पास बैंक ऑफ़ अमेरिका का खाता नहीं है। इस वजह से, फ़िशिंग अक्सर स्पॉट करना काफी आसान होता है। यदि आपका बैंक ऑफ अमेरिका के साथ कोई संबंध नहीं है और उनसे मिलने का दावा करने वाला ईमेल मिलता है, तो यह बहुत स्पष्ट होना चाहिए कि ईमेल एक घोटाला है। फिशर्स इस तथ्य पर निर्भर करते हैं कि, यदि वे पर्याप्त लोगों से संपर्क करते हैं, तो कोई अंततः उनके घोटाले के लिए गिर जाएगा। यही कारण है कि हमारे पास अभी भी स्पैम ईमेल हैं - कोई व्यक्ति उनके लिए गिर रहा होगा या वे लाभदायक नहीं होंगे.
अधिक जानकारी के लिए फ़िशिंग ईमेल की शारीरिक रचना पर एक नज़र डालें.
कैसे भाला फ़िशिंग अलग है
यदि पारंपरिक फ़िशिंग किसी चीज़ को पकड़ने की उम्मीद में एक विस्तृत जाल डालने का कार्य है, तो भाला फ़िशिंग एक विशिष्ट व्यक्ति या संगठन को सावधानीपूर्वक लक्षित करने और उन पर हमले को व्यक्तिगत रूप से सिलाई करने का कार्य है.
जबकि अधिकांश फ़िशिंग ईमेल बहुत विशिष्ट नहीं हैं, एक भाला-फ़िशिंग हमले घोटाले को वास्तविक बनाने के लिए व्यक्तिगत जानकारी का उपयोग करता है। उदाहरण के लिए, "प्रिय महोदय, कृपया शानदार धन और धन के लिए इस लिंक पर क्लिक करें" पढ़ने के बजाय, ईमेल कह सकता है "हाय बॉब, कृपया इस व्यवसाय योजना को पढ़ें जिसे हमने मंगलवार की बैठक में तैयार किया था और हमें बताएं कि आप क्या सोचते हैं।" ईमेल किसी ऐसे व्यक्ति से जिसे आप जानते हैं (संभवतः एक जाली ईमेल पते के साथ, लेकिन संभवतः एक वास्तविक ईमेल पते के साथ व्यक्ति फ़िशिंग हमले में समझौता किए जाने के बाद) प्रकट हो सकता है, बजाय इसके कि आप किसी को नहीं जानते। अनुरोध अधिक सावधानी से तैयार किया गया है और ऐसा लगता है कि यह वैध हो सकता है। ईमेल किसी ऐसे व्यक्ति को संदर्भित कर सकता है जिसे आप जानते हैं, आपके द्वारा की गई खरीदारी, या व्यक्तिगत जानकारी का एक और टुकड़ा.
उच्च-मूल्य लक्ष्य पर स्पीयर-फ़िशिंग हमलों को अधिकतम नुकसान के लिए शून्य-दिन के शोषण के साथ जोड़ा जा सकता है। उदाहरण के लिए, एक स्कैमर किसी विशेष व्यवसाय में एक व्यक्ति को यह कहते हुए ईमेल कर सकता है कि "हाय बॉब, क्या आप इस व्यवसाय रिपोर्ट पर एक नज़र डालेंगे?" जेन ने कहा कि आप हमें कुछ प्रतिक्रिया देंगे। ”एक वैध दिखने वाले ईमेल पते के साथ। लिंक एम्बेडेड जावा या फ्लैश सामग्री के साथ एक वेब पेज पर जा सकता है जो कंप्यूटर से समझौता करने के लिए शून्य-दिन का लाभ उठाता है। (जावा विशेष रूप से खतरनाक है, क्योंकि ज्यादातर लोग पुराने और कमजोर जावा प्लग-इन स्थापित हैं।) एक बार कंप्यूटर से समझौता हो जाने के बाद, हमलावर अपने कॉर्पोरेट नेटवर्क तक पहुंच सकता है या अन्य व्यक्तियों के खिलाफ लक्षित भाला-फ़िशिंग हमलों को लॉन्च करने के लिए अपने ईमेल पते का उपयोग कर सकता है। संगठन.
एक स्कैमर भी एक खतरनाक फ़ाइल को संलग्न कर सकता है जो हानिरहित फ़ाइल की तरह दिखने के लिए प्रच्छन्न है। उदाहरण के लिए, एक भाला-फ़िशिंग ईमेल में एक पीडीएफ फाइल हो सकती है जो वास्तव में एक .exe फ़ाइल संलग्न है.
कौन वास्तव में चिंता करने की जरूरत है
बड़े निगमों और सरकारों के खिलाफ अपने आंतरिक नेटवर्क तक पहुंचने के लिए स्पीयर-फ़िशिंग हमलों का उपयोग किया जा रहा है। हम हर उस निगम या सरकार के बारे में नहीं जानते हैं जो सफल भाले-फिशिंग हमलों से समझौता कर चुकी है। संगठन अक्सर सटीक प्रकार के हमले का खुलासा नहीं करते हैं जो उन्हें समझौता करता है। वे यह भी स्वीकार करना पसंद नहीं करते कि उन्हें बिल्कुल हैक कर लिया गया है.
एक त्वरित खोज से पता चलता है कि व्हाइट हाउस, फेसबुक, ऐप्पल, अमेरिकी रक्षा विभाग, द न्यूयॉर्क टाइम्स, वॉल स्ट्रीट जर्नल और ट्विटर सहित संगठनों ने भाला-फ़िशिंग हमलों से सभी संभावित रूप से समझौता किया है। उन संगठनों में से कुछ हैं जिन्हें हम जानते हैं कि समझौता किया गया है - समस्या की सीमा बहुत अधिक होने की संभावना है.
यदि कोई हमलावर वास्तव में एक उच्च-मूल्य लक्ष्य, एक भाला-फ़िशिंग हमले से समझौता करना चाहता है - शायद काले बाजार में खरीदे गए एक नए शून्य-दिन के शोषण के साथ - अक्सर ऐसा करने के लिए एक बहुत प्रभावी तरीका है। स्पीयर-फ़िशिंग हमलों को अक्सर उस कारण के रूप में वर्णित किया जाता है जब एक उच्च-मूल्य लक्ष्य का उल्लंघन किया जाता है.
अपने आप को स्पीयर फ़िशिंग से बचाना
एक व्यक्ति के रूप में, आपको सरकारों और बड़े निगमों की तुलना में इस तरह के एक परिष्कृत हमले का लक्ष्य होने की संभावना कम है। हालाँकि, हमलावर अभी भी फ़िशिंग ईमेल में व्यक्तिगत जानकारी को शामिल करके आपके खिलाफ भाला-फ़िशिंग रणनीति का उपयोग करने का प्रयास कर सकते हैं। यह महसूस करना महत्वपूर्ण है कि फ़िशिंग हमले अधिक परिष्कृत हो रहे हैं.
जब यह फ़िशिंग की बात आती है, तो आपको सतर्क रहना चाहिए। यदि आप ईमेल में लिंक पर क्लिक करते हैं तो अपने सॉफ़्टवेयर को अद्यतित रखें ताकि आप बेहतर समझौता कर सकें। ईमेल से जुड़ी फाइलें खोलते समय अतिरिक्त सतर्क रहें। व्यक्तिगत जानकारी के लिए असामान्य अनुरोधों से सावधान रहें, यहां तक कि ऐसा लगता है जैसे कि वे वैध हो सकते हैं। विभिन्न वेबसाइटों पर पासवर्डों का पुनः उपयोग न करें, बस अगर आपका पासवर्ड बाहर निकल जाता है.
फ़िशिंग हमले अक्सर उन चीजों को करने की कोशिश करते हैं जो वैध व्यवसाय कभी नहीं करेंगे। आपका बैंक आपको कभी ईमेल नहीं करेगा और आपके पासवर्ड के लिए पूछेगा, जिस व्यवसाय से आपने सामान खरीदा है वह आपको कभी भी ईमेल नहीं करेगा और आपके क्रेडिट कार्ड नंबर के लिए पूछेगा, और आपको कभी भी एक वैध संगठन से त्वरित संदेश नहीं मिलेगा जो आपसे आपका पासवर्ड मांगेगा। या अन्य संवेदनशील जानकारी। ईमेल में लिंक पर क्लिक न करें और संवेदनशील व्यक्तिगत जानकारी दें, चाहे फ़िशिंग ईमेल और फ़िशिंग साइट का कितना भी महत्व हो.
फ़िशिंग के सभी रूपों की तरह, भाला-फ़िशिंग सामाजिक इंजीनियरिंग हमले का एक रूप है, जो विशेष रूप से रक्षा करना मुश्किल है। यह सब लेता है एक व्यक्ति एक गलती कर रहा है और हमलावरों ने आपके नेटवर्क में एक पैर की अंगुली स्थापित की होगी.
छवि क्रेडिट: फ़्लिकर पर फ्लोरिडा मछली और वन्यजीव
