लेख

तेजी से परिष्कृत हो रहे हैं सोशल इंजीनियरिंग हमले.. सतर्क रहें..!

• By श्रीमती विजया तिवारी
• 11-02-2024 03:12 pm

लेख//Rajasthan/Kota :

आसान शब्दों में अगर हम सोशल इंजीनियरिंग को समझना चाहते हैं तो सोशल इंजीनियरिंग आपके कंप्यूटर सिस्टम पर नियंत्रण पाने के लिए आपको हेरफेर करने, प्रभावित करने या धोखा देने की कला है। अटेकर आपकी साइकोलॉजी के साथ खेलता है। सोशल इंजीनियरिंग कोई साइबर हमला नहीं है अपितु, सोशल इंजीनियरिंग अनुनय के मनोविज्ञान के बारे में है: यह आपको आपकी कमजोरी को जान-समझ कर अपना लक्ष्य निर्धारित करता है, अटैकर आपकी इंटरेस्ट की चीज आपके आगे परोस कर आपका विश्वास जीतकर आगे बढ़ता है।

यही कारण है कि हम अपनी सुरक्षा कम कर देते हैं। इसके पश्चात अटैकर हमारी  व्यक्तिगत जानकारी प्रकट करने या वेब लिंक पर क्लिक करने या दुर्भावनापूर्ण अनुलग्नक खोलने जैसे असुरक्षित कार्य करने के लिए प्रोत्साहित करते हैं।

सोशल इंजीनियरिंग के सबसे बड़े खतरों में से एक यह है कि हमलों को हर किसी के खिलाफ काम करने की ज़रूरत नहीं है: एक सफलतापूर्वक मूर्ख बनाया गया पीड़ित एक हमले को शुरू करने के लिए पर्याप्त जानकारी प्रदान कर सकता है जो पूरे संगठन को प्रभावित कर सकता है।

समय के साथ, सोशल इंजीनियरिंग हमले तेजी से परिष्कृत हो गए हैं।  न केवल नकली वेबसाइटें या ईमेल इतने यथार्थवादी दिखते हैं कि वे पीड़ितों को डेटा का खुलासा करने के लिए मूर्ख बनाते हैं, जिसका उपयोग पहचान की चोरी के लिए किया जा सकता है, बल्कि सोशल इंजीनियरिंग भी हमलावरों के लिए किसी संगठन की प्रारंभिक सुरक्षा में सेंध लगाने के सबसे आम तरीकों में से एक बन गई है ताकि आगे व्यवधान पैदा किया जा सके और  चोट।

वॉटरिंग होल पर हमले (Watering Hole Attacks)

 वाटरिंग होल हमले एक बहुत ही लक्षित प्रकार की सोशल इंजीनियरिंग हैं।  एक हमलावर उस समूह को सीधे लक्षित करने के बजाय, उस वेबसाइट से समझौता करके जाल बिछाएगा जिस पर किसी विशेष समूह के लोगों द्वारा जाने की संभावना है।  एक उदाहरण उद्योग की वेबसाइटें हैं जिन पर ऊर्जा या सार्वजनिक सेवा जैसे किसी निश्चित क्षेत्र के कर्मचारी अक्सर आते हैं।  वाटरिंग होल हमले के पीछे के अपराधी वेबसाइट से समझौता करेंगे और उस लक्ष्य समूह के एक व्यक्ति को पकड़ने का लक्ष्य रखेंगे।  किसी व्यक्ति के डेटा या डिवाइस से छेड़छाड़ होने के बाद उनके द्वारा और हमले करने की संभावना है।

व्यावसायिक ईमेल समझौता हमले (  Business Email Compromise Attacks)

बिजनेस ईमेल समझौता (बीईसी) हमले ईमेल धोखाधड़ी का एक रूप है जहां हमलावर सी-स्तर के कार्यकारी के रूप में प्रकट होता है और प्राप्तकर्ता को अपने व्यावसायिक कार्य करने के लिए धोखा देने का प्रयास करता है, जैसे कि उन्हें पैसे देना।  कभी-कभी वे व्यक्ति को बुलाने और कार्यकारी का प्रतिरूपण करने तक की हद तक चले जाते हैं।

भौतिक सामाजिक इंजीनियरिंग (Physical Social Engineering )

साइबर सुरक्षा के बारे में बात करते समय, हमें डेटा और संपत्तियों की सुरक्षा के भौतिक पहलुओं के बारे में भी बात करने की ज़रूरत है।  आपके संगठन के कुछ लोग--जैसे हेल्प डेस्क कर्मचारी, रिसेप्शनिस्ट और बार-बार आने वाले यात्री--व्यक्तिगत रूप से होने वाले शारीरिक सामाजिक इंजीनियरिंग हमलों से अधिक जोखिम में हैं।

आपके संगठन में विज़िटर लॉग, एस्कॉर्ट आवश्यकताएं और पृष्ठभूमि जांच जैसे प्रभावी भौतिक सुरक्षा नियंत्रण होने चाहिए।  सामाजिक-इंजीनियरिंग हमलों के लिए उच्च जोखिम वाले पदों पर कार्यरत कर्मचारियों को भौतिक सामाजिक इंजीनियरिंग हमलों से विशेष प्रशिक्षण से लाभ हो सकता है।

 यूएसबी बैटिंग ( USB Baiting)

USB बैटिंग थोड़ा अवास्तविक लगता है, लेकिन यह जितना आप सोच सकते हैं उससे कहीं अधिक बार होता है।  मूल रूप से होता यह है कि साइबर अपराधी यूएसबी स्टिक पर मैलवेयर इंस्टॉल करते हैं और उन्हें रणनीतिक स्थानों पर छोड़ देते हैं, यह उम्मीद करते हुए कि कोई यूएसबी उठाएगा और इसे कॉर्पोरेट वातावरण में प्लग कर देगा, जिससे अनजाने में उनके संगठन में दुर्भावनापूर्ण कोड आ जाएगा।

जानें कैसे रहे सुरक्षित,?

पासवर्ड प्रबंधन: दिशानिर्देश जैसे कि प्रत्येक पासवर्ड में वर्णों की संख्या और प्रकार शामिल होना चाहिए, पासवर्ड को कितनी बार बदला जाना चाहिए, और यहां तक ​​कि एक सरल नियम भी है कि कर्मचारियों को किसी को भी पासवर्ड का खुलासा नहीं करना चाहिए - भले ही उनकी स्थिति कुछ भी हो - सुरक्षित रखने में मदद मिलेगी  सूचना संपत्ति.

बहु-कारक प्रमाणीकरण (two step authentication) मॉडेम पूल और वीपीएन जैसी उच्च जोखिम वाली नेटवर्क सेवाओं के प्रमाणीकरण के लिए निश्चित पासवर्ड के बजाय बहु-कारक प्रमाणीकरण का उपयोग करना चाहिए।

फ़िशिंग-विरोधी सुरक्षा के साथ ईमेल सुरक्षा: ईमेल सुरक्षा की कई परतें फ़िशिंग और अन्य सामाजिक-इंजीनियरिंग हमलों के खतरे को कम कर सकती हैं।  कुछ ईमेल सुरक्षा उपकरणों में फ़िशिंग-रोधी उपाय अंतर्निहित होते हैं

श्रीमती विजया तिवारी

By News Thikhana

श्रीमती विजया तिवारी, एक पेशेवर सायबर फॉरेंसिक साइंस की विशेषज्ञ और सलाहकार हैं। वे वर्तमान में 'तथ्य फॉरेंसिक विंग फेडरेशन' की कार्यकारी निदेशक हैं, जो उत्तर प्रदेश, बिहार, झारखंड, मध्यप्रदेश और छत्तीसगढ़ जैसे राज्यों के जिलों में फॉरेंसिंक डॉक्यूमेंट की रिसर्च के साथ फॉरेंसिक मामलों को सुलझाने में मदद कर रही है। साथ ही देश की प्रतिष्ठित प्रयोगशालाओं को ट्रेनिंग देने का काम भी कर रही है।