सोशल इंजीनियरिंग क्या है?
सोशल इंजीनियरिंग लोगों को हेरफेर करने की कला है इसलिए वे गोपनीय जानकारी देते हैं। इन अपराधियों की जानकारी के प्रकार अलग-अलग हो सकते हैं, लेकिन जब व्यक्तियों को लक्षित किया जाता है तो अपराधी आमतौर पर आपको पासवर्ड या बैंक की जानकारी देने के लिए छल करते हैं, या आपके कंप्यूटर पर गुप्त रूप से दुर्भावनापूर्ण सॉफ़्टवेयर इंस्टॉल करने की कोशिश करते हैं - जिससे उन्हें आपकी पहुँच प्राप्त होगी पासवर्ड और बैंक की जानकारी के साथ-साथ उन्हें आपके कंप्यूटर पर नियंत्रण देना।
अपराधी सोशल इंजीनियरिंग की रणनीति का उपयोग करते हैं क्योंकि आमतौर पर अपने प्राकृतिक झुकाव का शोषण करना आसान होता है, जिस पर भरोसा करने के लिए यह आपके सॉफ़्टवेयर को हैक करने के तरीकों की खोज करना है। उदाहरण के लिए, किसी को अपना पासवर्ड देने में मूर्ख बनाना बहुत आसान है, क्योंकि आप उनके पासवर्ड को हैक करने की कोशिश करते हैं (जब तक कि पासवर्ड वास्तव में कमजोर न हो)।
सुरक्षा सभी को पता है कि किस पर और क्या भरोसा करना है। यह जानना महत्वपूर्ण है कि किसी व्यक्ति को उनके शब्द पर कब और क्या नहीं लेना चाहिए और जब आप जिस व्यक्ति के साथ संवाद कर रहे हैं, वे कहते हैं कि वे कौन हैं। ऑनलाइन इंटरैक्शन और वेबसाइट के उपयोग के बारे में भी यही सच है: जब आप भरोसा करते हैं कि आप जिस वेबसाइट का उपयोग कर रहे हैं वह वैध है या आपकी जानकारी प्रदान करने के लिए सुरक्षित है?
किसी भी सुरक्षा पेशेवर से पूछें और वे आपको बताएंगे कि सुरक्षा श्रृंखला में सबसे कमजोर लिंक वह मानव है जो किसी व्यक्ति या परिदृश्य को अंकित मूल्य पर स्वीकार करता है। इससे कोई फर्क नहीं पड़ता कि आपके दरवाजे और खिड़कियों पर कितने ताले और डेडबोल्ट हैं, या यदि गार्ड डॉग, अलार्म सिस्टम, फ्लडलाइट्स, कांटेदार तार के साथ बाड़ और सशस्त्र सुरक्षाकर्मी हैं; यदि आप गेट पर उस व्यक्ति पर भरोसा करते हैं जो कहता है कि वह पिज्जा डिलीवरी आदमी है और आपने उसे पहले चेक किए बिना यह देखने के लिए कि क्या वह वैध है तो आप जो भी जोखिम का प्रतिनिधित्व करते हैं, वह पूरी तरह से उजागर हो जाता है।
फ़िशिंग हमले सामाजिक इंजीनियरिंग रणनीति का एक सबसेट हैं जो एक विश्वसनीय स्रोत की नकल करते हैं और लॉगिन क्रेडेंशियल या अन्य संवेदनशील व्यक्तिगत डेटा को सौंपने के लिए एक उचित तार्किक परिदृश्य को व्यक्त करते हैं। वेबरोट के आंकड़ों के अनुसार, वित्तीय संस्थान बड़ी संख्या में प्रतिरूपित कंपनियों का प्रतिनिधित्व करते हैं और, Verizon की वार्षिक डेटा ब्रीच जांच रिपोर्ट के अनुसार, फ़िशिंग और प्रीटेक्सिंग (नीचे देखें) सहित सामाजिक इंजीनियरिंग हमले 93% सफल डेटा बेंच के लिए जिम्मेदार हैं।
एक सम्मोहक कहानी या बहाने का उपयोग करते हुए, ये संदेश हो सकते हैं:
What is Social Engineering?
Examples & Prevention Tips
अपराधी सोशल इंजीनियरिंग की रणनीति का उपयोग करते हैं क्योंकि आमतौर पर अपने प्राकृतिक झुकाव का शोषण करना आसान होता है, जिस पर भरोसा करने के लिए यह आपके सॉफ़्टवेयर को हैक करने के तरीकों की खोज करना है। उदाहरण के लिए, किसी को अपना पासवर्ड देने में मूर्ख बनाना बहुत आसान है, क्योंकि आप उनके पासवर्ड को हैक करने की कोशिश करते हैं (जब तक कि पासवर्ड वास्तव में कमजोर न हो)।
सुरक्षा सभी को पता है कि किस पर और क्या भरोसा करना है। यह जानना महत्वपूर्ण है कि किसी व्यक्ति को उनके शब्द पर कब और क्या नहीं लेना चाहिए और जब आप जिस व्यक्ति के साथ संवाद कर रहे हैं, वे कहते हैं कि वे कौन हैं। ऑनलाइन इंटरैक्शन और वेबसाइट के उपयोग के बारे में भी यही सच है: जब आप भरोसा करते हैं कि आप जिस वेबसाइट का उपयोग कर रहे हैं वह वैध है या आपकी जानकारी प्रदान करने के लिए सुरक्षित है?
किसी भी सुरक्षा पेशेवर से पूछें और वे आपको बताएंगे कि सुरक्षा श्रृंखला में सबसे कमजोर लिंक वह मानव है जो किसी व्यक्ति या परिदृश्य को अंकित मूल्य पर स्वीकार करता है। इससे कोई फर्क नहीं पड़ता कि आपके दरवाजे और खिड़कियों पर कितने ताले और डेडबोल्ट हैं, या यदि गार्ड डॉग, अलार्म सिस्टम, फ्लडलाइट्स, कांटेदार तार के साथ बाड़ और सशस्त्र सुरक्षाकर्मी हैं; यदि आप गेट पर उस व्यक्ति पर भरोसा करते हैं जो कहता है कि वह पिज्जा डिलीवरी आदमी है और आपने उसे पहले चेक किए बिना यह देखने के लिए कि क्या वह वैध है तो आप जो भी जोखिम का प्रतिनिधित्व करते हैं, वह पूरी तरह से उजागर हो जाता है।
What Does a Social Engineering Attack Look Like?
किसी अन्य विश्वसनीय स्रोत से ईमेल करेंफ़िशिंग हमले सामाजिक इंजीनियरिंग रणनीति का एक सबसेट हैं जो एक विश्वसनीय स्रोत की नकल करते हैं और लॉगिन क्रेडेंशियल या अन्य संवेदनशील व्यक्तिगत डेटा को सौंपने के लिए एक उचित तार्किक परिदृश्य को व्यक्त करते हैं। वेबरोट के आंकड़ों के अनुसार, वित्तीय संस्थान बड़ी संख्या में प्रतिरूपित कंपनियों का प्रतिनिधित्व करते हैं और, Verizon की वार्षिक डेटा ब्रीच जांच रिपोर्ट के अनुसार, फ़िशिंग और प्रीटेक्सिंग (नीचे देखें) सहित सामाजिक इंजीनियरिंग हमले 93% सफल डेटा बेंच के लिए जिम्मेदार हैं।
एक सम्मोहक कहानी या बहाने का उपयोग करते हुए, ये संदेश हो सकते हैं:
- अपनी मदद के लिए आग्रह करें। आपका 'मित्र' देश X में अटका हुआ है, लूट लिया गया है, पीटा गया है और अस्पताल में है। उन्हें आपको पैसे भेजने की आवश्यकता है ताकि वे घर पहुंच सकें और वे आपको बताएं कि अपराधी को पैसे कैसे भेजें।
- वैध-प्रतीत होने वाली पृष्ठभूमि के साथ फ़िशिंग प्रयासों का उपयोग करें। आमतौर पर, एक फ़िशर एक ई-मेल, आईएम, टिप्पणी या पाठ संदेश भेजता है जो एक वैध, लोकप्रिय कंपनी, बैंक, स्कूल या संस्थान से आता है।
- आपको उनके धर्मार्थ निधि या किसी अन्य कारण से दान करने के लिए कहें। अपराधी को पैसा कैसे भेजा जाए, इस निर्देश के साथ। दयालुता और उदारता पर निर्भर, ये फिशर्स जो भी आपदा, राजनीतिक अभियान, या दान के लिए सहायता या समर्थन मांगते हैं, वह क्षण-दर-समय शीर्ष पर है।
- एक समस्या पेश करें जिसे आपको प्रदर्शित लिंक पर क्लिक करके और उनके रूप में जानकारी प्रदान करके अपनी जानकारी को "सत्यापित" करना होगा। लिंक स्थान सभी सही लोगो के साथ बहुत वैध लग सकता है, और सामग्री (वास्तव में, अपराधियों ने वैध साइट के सटीक प्रारूप और सामग्री की नकल की हो सकती है)। क्योंकि सब कुछ वैध लग रहा है, आप ईमेल और फ़ॉनी साइट पर भरोसा करते हैं और बदमाश से जो भी जानकारी पूछते हैं वह प्रदान करते हैं। इस प्रकार के फ़िशिंग स्कैम में अक्सर एक चेतावनी शामिल होती है कि क्या होगा यदि आप जल्द ही कार्य करने में विफल हो जाते हैं क्योंकि अपराधियों को पता है कि यदि वे आपको सोचने से पहले कार्य करने के लिए प्राप्त कर सकते हैं, तो आपको उनके फ़िशिंग प्रयास के लिए गिरने की अधिक संभावना है।
- आपको सूचित करें कि आप एक 'विजेता' हैं। हो सकता है कि ईमेल लॉटरी, या किसी मृत रिश्तेदार, या अपनी साइट पर क्लिक करने के लिए दसवें व्यक्ति आदि से दावा करता हो, ताकि आपको अपनी 'जीत' देनी पड़े। अपने बैंक रूटिंग के बारे में जानकारी प्रदान करें ताकि वे यह जान सकें कि इसे आपको कैसे भेजा जाए या अपना पता और फ़ोन नंबर दिया जाए ताकि वे पुरस्कार भेज सकें, और आपको यह साबित करने के लिए भी कहा जा सकता है कि आप अक्सर अपने सामाजिक सुरक्षा नंबर सहित कौन हैं। ये 'लालच के कारण' होते हैं, जहां कहानी के बहाने पतले होने पर भी लोग चाहते हैं कि क्या दिया जाए और अपनी जानकारी देकर उसके लिए गिर जाएं, फिर उनका बैंक खाता खाली कर दिया जाए, और पहचान चुरा ली जाए।
- बॉस या सहकर्मी के रूप में मुद्रा। यह एक महत्वपूर्ण, मालिकाना परियोजना पर एक अद्यतन के लिए पूछ सकता है जो आपकी कंपनी वर्तमान में काम कर रही है, कंपनी क्रेडिट कार्ड से संबंधित भुगतान जानकारी के लिए, या दिन के कारोबार के रूप में कुछ अन्य पूछताछ की जा रही है।
काटने के परिदृश्य
इन सामाजिक इंजीनियरिंग योजनाओं को पता है कि यदि आप कुछ लोगों को चाहते हैं, तो बहुत से लोग चारा लेंगे। ये योजनाएँ अक्सर पीयर-टू-पीर साइटों पर पाई जाती हैं जो किसी हॉट नई फिल्म या संगीत जैसी किसी चीज़ का डाउनलोड प्रदान करती हैं। लेकिन योजनाएं सोशल नेटवर्किंग साइटों, दुर्भावनापूर्ण वेबसाइटों पर भी आपको खोज परिणामों के माध्यम से मिल जाती हैं।
या, योजना वर्गीकृत साइटों, नीलामी साइटों, आदि पर आश्चर्यजनक रूप से शानदार सौदा दिखा सकती है। अपने संदेह को दूर करने के लिए, आप देख सकते हैं कि विक्रेता की रेटिंग अच्छी है (सभी योजनाबद्ध और समय से पहले तैयार की गई है)।
जो लोग चारा लेते हैं वे दुर्भावनापूर्ण सॉफ़्टवेयर से संक्रमित हो सकते हैं जो अपने और उनके संपर्कों के खिलाफ किसी भी तरह के नए कारनामे उत्पन्न कर सकते हैं, उनकी खरीदी गई वस्तु को प्राप्त किए बिना अपना पैसा खो सकते हैं, और, अगर वे चेक के साथ भुगतान करने के लिए पर्याप्त मूर्ख थे, तो मिल सकता है उनका बैंक खाता खाली है।
एक सवाल का जवाब जो आपके पास कभी नहीं था
अपराधी अधिक मदद की पेशकश करते हुए किसी कंपनी से आपके 'मदद के लिए अनुरोध' का जवाब देने का दिखावा कर सकते हैं। वे ऐसी कंपनियों को चुनते हैं जो लाखों लोग सॉफ्टवेयर कंपनी या बैंक का उपयोग करते हैं। यदि आप उत्पाद या सेवा का उपयोग नहीं करते हैं, तो आप ईमेल, फोन कॉल, या संदेश की उपेक्षा करेंगे, लेकिन यदि आप सेवा का उपयोग करने के लिए करते हैं, तो एक अच्छा मौका है जो आप जवाब देंगे क्योंकि आप शायद एक समस्या के साथ मदद चाहते हैं ।
उदाहरण के लिए, भले ही आपको पता हो कि आपने मूल रूप से एक प्रश्न पूछा है जो आपके कंप्यूटर के ऑपरेटिंग सिस्टम के साथ एक समस्या है और आप इसे ठीक करने के लिए इस अवसर पर जब्त करते हैं। मुफ्त का! जिस क्षण आप जवाब देते हैं कि आपने बदमाश की कहानी खरीदी है, उन्हें अपना भरोसा दिया और खुद को शोषण के लिए खोल दिया।
प्रतिनिधि, जो वास्तव में एक अपराधी है, को आपको 'प्रमाणित' करने की आवश्यकता होगी, क्या आपने 'उनके सिस्टम' में लॉग इन किया है, या क्या आपने अपने कंप्यूटर में लॉग इन किया है और या तो उन्हें अपने कंप्यूटर पर रिमोट एक्सेस दे सकते हैं ताकि वे इसे 'ठीक' कर सकें। आप, या आपको आज्ञाएँ बताते हैं ताकि आप इसे स्वयं उनकी सहायता से ठीक कर सकें - जहाँ आपके द्वारा बताई गई कुछ आज्ञाएँ बाद में आपके कंप्यूटर में वापस आने के लिए अपराधी के लिए एक रास्ता खोल देंगी।इन सामाजिक इंजीनियरिंग योजनाओं को पता है कि यदि आप कुछ लोगों को चाहते हैं, तो बहुत से लोग चारा लेंगे। ये योजनाएँ अक्सर पीयर-टू-पीर साइटों पर पाई जाती हैं जो किसी हॉट नई फिल्म या संगीत जैसी किसी चीज़ का डाउनलोड प्रदान करती हैं। लेकिन योजनाएं सोशल नेटवर्किंग साइटों, दुर्भावनापूर्ण वेबसाइटों पर भी आपको खोज परिणामों के माध्यम से मिल जाती हैं।
या, योजना वर्गीकृत साइटों, नीलामी साइटों, आदि पर आश्चर्यजनक रूप से शानदार सौदा दिखा सकती है। अपने संदेह को दूर करने के लिए, आप देख सकते हैं कि विक्रेता की रेटिंग अच्छी है (सभी योजनाबद्ध और समय से पहले तैयार की गई है)।
जो लोग चारा लेते हैं वे दुर्भावनापूर्ण सॉफ़्टवेयर से संक्रमित हो सकते हैं जो अपने और उनके संपर्कों के खिलाफ किसी भी तरह के नए कारनामे उत्पन्न कर सकते हैं, उनकी खरीदी गई वस्तु को प्राप्त किए बिना अपना पैसा खो सकते हैं, और, अगर वे चेक के साथ भुगतान करने के लिए पर्याप्त मूर्ख थे, तो मिल सकता है उनका बैंक खाता खाली है।
एक सवाल का जवाब जो आपके पास कभी नहीं था
अपराधी अधिक मदद की पेशकश करते हुए किसी कंपनी से आपके 'मदद के लिए अनुरोध' का जवाब देने का दिखावा कर सकते हैं। वे ऐसी कंपनियों को चुनते हैं जो लाखों लोग सॉफ्टवेयर कंपनी या बैंक का उपयोग करते हैं। यदि आप उत्पाद या सेवा का उपयोग नहीं करते हैं, तो आप ईमेल, फोन कॉल, या संदेश की उपेक्षा करेंगे, लेकिन यदि आप सेवा का उपयोग करने के लिए करते हैं, तो एक अच्छा मौका है जो आप जवाब देंगे क्योंकि आप शायद एक समस्या के साथ मदद चाहते हैं ।
उदाहरण के लिए, भले ही आपको पता हो कि आपने मूल रूप से एक प्रश्न पूछा है जो आपके कंप्यूटर के ऑपरेटिंग सिस्टम के साथ एक समस्या है और आप इसे ठीक करने के लिए इस अवसर पर जब्त करते हैं। मुफ्त का! जिस क्षण आप जवाब देते हैं कि आपने बदमाश की कहानी खरीदी है, उन्हें अपना भरोसा दिया और खुद को शोषण के लिए खोल दिया।
अविश्वास पैदा करना
कुछ सामाजिक इंजीनियरिंग, अविश्वास पैदा करने, या संघर्ष शुरू करने के बारे में है; ये अक्सर उन लोगों द्वारा किए जाते हैं जिन्हें आप जानते हैं और जो आपसे नाराज़ हैं, लेकिन यह भी बुरा लोगों द्वारा किया जाता है, जो केवल कहर बरपाने की कोशिश कर रहे हैं, जो लोग पहले दूसरों के बारे में आपके मन में अविश्वास पैदा करना चाहते हैं, इसलिए वे एक के रूप में कदम रख सकते हैं नायक और अपना विश्वास हासिल करें, या जबरन वसूली करने वालों से, जो जानकारी में हेरफेर करना चाहते हैं और फिर आपको खुलासे की धमकी देते हैं।
सामाजिक इंजीनियरिंग हमलों के हजारों रूपांतर हैं। इस प्रकार के शोषण के माध्यम से वे सामाजिक रूप से इंजीनियर उपयोगकर्ताओं की संख्या की सीमा तक ही अपराधी की कल्पना कर सकते हैं। और आप एक ही हमले में कई प्रकार के कारनामों का अनुभव कर सकते हैं। तब अपराधी को आपकी जानकारी दूसरों को बेचने की संभावना होती है, ताकि वे भी आपके, आपके दोस्तों, आपके दोस्तों के दोस्तों के खिलाफ अपने कारनामों को चला सकें और इसी तरह अपराधी लोगों के गलत भरोसे का फायदा उठा सकें।
इसका शिकार न बनें
जबकि फ़िशिंग हमले बड़े पैमाने पर होते हैं, अल्पकालिक होते हैं, और एक सफल अभियान के लिए चारा लेने के लिए केवल कुछ उपयोगकर्ताओं की आवश्यकता होती है, अपने आप को बचाने के लिए तरीके हैं। अधिकांश को केवल आपके सामने विवरणों पर ध्यान देने की तुलना में बहुत अधिक आवश्यकता नहीं है। अपने आप को फ़िश होने से बचने के लिए निम्नलिखित बातों का ध्यान रखें।
- सोशल इंजीनियरिंग का यह रूप अक्सर एक ईमेल खाते या आईएम क्लाइंट, सोशल नेटवर्क, चैट, फ़ोरम आदि पर एक अन्य संचार खाते तक पहुंच प्राप्त करने से शुरू होता है, वे इसे हैकिंग, सोशल इंजीनियरिंग या केवल वास्तव में कमजोर पासवर्ड का अनुमान लगाकर पूरा करते हैं।
- दुर्भावनापूर्ण व्यक्ति तब बुनियादी संपादन तकनीकों का उपयोग करके संवेदनशील या निजी संचार (छवियों और ऑडियो सहित) को बदल सकता है और इनका उपयोग अन्य लोगों को नाटक, अविश्वास, शर्मिंदगी आदि पैदा करने के लिए कर सकता है, वे इसे ऐसा लग सकते हैं जैसे यह गलती से भेजा गया था, या ऐसा प्रतीत होता है। वे आपको बता रहे हैं कि 'वास्तव में' क्या चल रहा है।
सामाजिक इंजीनियरिंग हमलों के हजारों रूपांतर हैं। इस प्रकार के शोषण के माध्यम से वे सामाजिक रूप से इंजीनियर उपयोगकर्ताओं की संख्या की सीमा तक ही अपराधी की कल्पना कर सकते हैं। और आप एक ही हमले में कई प्रकार के कारनामों का अनुभव कर सकते हैं। तब अपराधी को आपकी जानकारी दूसरों को बेचने की संभावना होती है, ताकि वे भी आपके, आपके दोस्तों, आपके दोस्तों के दोस्तों के खिलाफ अपने कारनामों को चला सकें और इसी तरह अपराधी लोगों के गलत भरोसे का फायदा उठा सकें।
इसका शिकार न बनें
- याद रखने के लिए टिप्स:
- गति कम करो। स्पैमर चाहते हैं कि आप पहले अभिनय करें और बाद में सोचें। यदि संदेश तात्कालिकता की भावना व्यक्त करता है या उच्च दबाव वाली बिक्री रणनीति का संदेह करता है; कभी भी उनकी तात्कालिकता को आपकी सावधानीपूर्वक समीक्षा को प्रभावित न करें।
- तथ्यों पर शोध करें। किसी भी अनचाहे संदेश पर संदेह करें। यदि ईमेल ऐसा लगता है कि यह आपके द्वारा उपयोग की जाने वाली कंपनी का है, तो अपना स्वयं का शोध करें। वास्तविक कंपनी की साइट पर जाने के लिए एक खोज इंजन का उपयोग करें, या उनका फ़ोन नंबर खोजने के लिए फ़ोन निर्देशिका।
- जहां आप लैंड करते हैं, वहां लिंक को नियंत्रित न होने दें। एक खोज इंजन का उपयोग करके वेबसाइट को स्वयं ढूंढकर नियंत्रण में रहें, यह सुनिश्चित करने के लिए कि आप जहां लैंड करना चाहते हैं, वहां उतरें। ईमेल में लिंक पर मँडरा वास्तविक तल पर वास्तविक URL दिखाएगा, लेकिन एक अच्छा नकली अभी भी आपको गलत कर सकता है।
- ईमेल अपहर्ता बड़े पैमाने पर है। हैकर्स, स्पैमर और सामाजिक इंजीनियर लोगों के ईमेल खातों (और अन्य संचार एसीसी) को नियंत्रित करते हैं
